UTILISATION PRIVEE RESIDUELLE ET NOMMAGE DES DONNEES PRIVEES6
DROITS D’ACCES AUX DONNEES7
ATTRIBUTION ET RETRAIT DU DROIT D’ACCES AU SYSTEME D’INFORMATION8
ATTRIBUTION8
GESTION DES ABSENCES8
GESTION DES DEPARTS9
LA PROTECTION DU SYSTEME D’INFORMATION9
PROTECTION DES RESSOURCES ET DES INFORMATIONS9
VIRUS INFORMATIQUES ET AUTRES EVENEMENTS MALVEILLANTS9
UTILISATION DES SUPPORTS AMOVIBLES10
CHIFFREMENT11
UTILISATION DES MOYENS DE COMMUNICATION, OUTILS COLLABORATIFS, INTRANET, INTERNET12
LES OUTILS COLLABORATIFS (MESSAGERIE, ESPA ES COLLABORATIFS, RESEAUX SOCIAUX D’ENTREPRISE, MESSAGERIE INSTANTANEE, SMARTPHONES, …)12
INTRANET12
INTERNET12
MOBILITE ET MATERIELS MIS A DISPOSITION PAR L’ORGANISME14
LES OBJETS CONNECTES15
DONNEES PERSONNELLES15
PROPRIETE INTELLECTUELLE16
ANALYSE ET CONTROLE DE L’UTILISATION DES RESSOURCES DU SYSTEME D’INFORMATION 16
PRINCIPE DIRECTEUR16
ACTIONS DES ADMINISTRATEURS DU SYSTEME D’INFORMATION16
SAUVEGARDE ET ARCHIVAGE16
DONNEES GENERALES16
DONNEES TECHNIQUES17
ARCHIVAGE ET DESTRUCTION17
CONTROLE DE L’APPLICATION DE LA CHARTE17
JOURNAUX D’EVENEMENTS18
SANCTIONS18
DISPOSITIONS SPECIFIQUES LIEES AUX ORGANISATIONS SYNDICALES18
SUIVI DE LA MISE EN APPLICATION DE LA CHARTE18
ENTREE EN VIGUEUR18
Préambule
L’organisme met à la disposition des utilisateurs, dans le cadre de leur activité professionnelle, des
ressources informatiques et responsabilité. de communication électronique, dont l’usage est source de
Il est important de rappeler que le statut des personnels de l'organisme ne protège en aucune
manière l’utilisateur d’une mise en cause
de sa responsabilité civile ou pénale en cas d’utilisation illicite de ces moyens.
Compte tenu de la présomptio de caractère professionnel des données prés
entes sur le poste de
travail, la présente charte vise à informer et sensibiliser chaque salarié de l’Assurance Maladie sur ses droits et obligations dans l’usage des Technologies et l’Information et la Communication (TIC). L’usage correct des ressources informatiques et de communication électronique permet de garantir l’intégrité et la disponibilité du système d’information pour une utilisation conforme à son objet. Il participe au respect du secret professionnel (et/ou médical) et de la confidentialité des données. Enfin, il permet de préserver l’image de marque de l’organisme en évitant de porter atteinte à sa réputation.
Champ d’application de la charte
La présente charte s'applique à l'outil professionnel que constitue le Système d'Information de l’organisme et à l'infrastructure associée. L’organisme est responsable de toutes les ressources mises à disposition des utilisateurs :
‐les logiciels et leurs mises à jour exigences de sécurité, conformes aux préconisations CNAM et répondant aux
‐les moyens de communication (téléphone, smartphone, messageries électronique et
instantanée, Internet, Visio conférence, accès à distance tel que le télétravail, …), ‐les fichiers, informations, données…, ‐les périphériques externes (Imprimantes, Scanner, Fax, les supports de stockage type clés USB, …).
L’organisme doit en encadrer l’usage, notamment en cas de travail en dehors des locaux (télétravail, nomadisme) en restreignant ou interdisant l’accès aux données sensibles. Cette charte veille au respect des règles du Système d’Information et des dispositions relatives à la protection des données dans et en dehors des locaux de l’organisme. Toute ressource ou moyen de communication connecté au réseau de l’Assurance Maladie utilisé à
des fins professionnelles mais appartenant aux utilisateurs est inte dit, sauf dérogation ex la Direction après réalisation d’une analyse de risque. resse de
Personnes concernées
Les obligations décrites dans la présente charte s'appliquent de droit aux utilis
ateurs de l’Assurance
Maladie et assimilés mais aussi, à titre exceptionnel, aux tiers accédants qui doivent tiliser le
système d’information mis à leur disposition.
‐
Les utilisateurs : Agents de l’assurance maladie amenés à créer, consulter, modifier et/ou mettre en œuvre les ressources informatiques et de communication électronique.
‐
Les personnels assimilés : personnes en situation de mise à disposition ou détachement dans l’Assurance Maladie.
‐
Les administrateurs : Agents de l’assurance Maladie pour lesquels il convient de se référer aux conditions d’utilisation des droits administrateur imposés par le Système d’information de l’Assurance Maladie.
A titre exceptionnel, les tiers d’entités extérieurs à l’organism (prestatai
res notamment) qui
peuvent avoir accès aux ressources informatiques et de communication électronique ou traiter des informations extraites du système d’information.
Diffusion
La diffusion de la charte sera réalisée par voie de note de service après modification du Règlement Intérieur pour ce qui concerne les organismes du réseau.
Règles d’utilisation du système d’information
Règles générales
Les ressources informatiques et moyens de communication électronique mis à disposition des
utilisateurs doivent être utilisé dans la stricte application de la charte. Toute modification de la ressource ou d’un élément du SI ne peut être réalisée que par du personnel habilité.
Les utilisateurs du SI doivent être vigilants par rapport à la sécurisation des équipements qui leur
sont confiés. L’utilisation des ressources informatiques et des moyens de communication
électronique est limitée à un usage professionnel.
Utilisation privées
privée
résiduelle et nommage
des données
L’utilisation des moyens de communication électroniques (messagerie et Internet) à titre privé est tolérée dans le cadre d’un usage raisonnable.
L’utilisateur doit supprimer toute mention relative à l’employeur (signature de mail…) ou indication qui pourrait laisser croire que le message est rédigé dans le cadre de son exercice professionnel au nom de son employeur. De mê e il doit s’abstenir de tout commentaire de nature à porter atteinte à la vie privée ou à la réputation d’une personne physique ou morale, y compris de l’employeur.
Un employé a le droit, même au trava
il, au respect de sa vie privée et au secret de ses
correspondances privées.
Un employeur ne peut pas librement consulter les courriels personnels de ses employés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.
Les messages personnels doivent être identifiés comme tels, par ex mple :
‐en précisant dans leur objet « Personnel » ou « Privé »,
‐en les stockant dans un répertoire intitulé « Personnel » ou « Privé ».
Les courriers ne seront pas considérés comme personnels du simple fait de leur classement dans le répertoire « mes documents » ou dans un dossier identifié par les in tiales de l’employé.
L’Organisme se réserve la possibilité de se retourner contre l’utilisateur si sa responsabilité venait à être engagée.
Sauf autorisation expresse de la direction, la participation au nom de l’employeur à un service de type communautaire, en particulier forums, réseaux sociaux… est interdite.
L’utilisateur peut stocker des données p
rivées dans
un répertoire nommé « PERSONNEL» ou
« PRIVE » en veillant toutefois à ce que la taille du dossier reste dans les limites d’une volumétrie raisonnable et qu’il ne comporte pas de données professionnelles.
En cas d’abus, l’organisme se réserve le droit de prendre toute sanction appropr
iée.
Droits d’accès aux données
Les dossiers, fichiers y compris sur supports amovibles (même personnels qui par ailleurs ne sont pas autorisés) créés par un salarié grâce à l’o
rdinateur mis à sa disposition par son employeur pour
l’exécution de son contrat de travail sont présumés avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors de sa présence, sauf si le salarié les a identifiés comme étant personnels.
L’employeur n’est autorisé à accéder aux fichiers personnels de ses salariés qu’en sa présence ou par une décision de justice ou par une autorité habilitée (police, gendarmerie, do
uanes, Cnil, Direction générale de la concurrence, de la consommation et de la répression des fraudes, etc.) ou en présence d’un risque avéré en termes notamment de sécurité, de continuité de service, d’un risque grave de voir sa responsabilité engagée, ou en cas de suspicion d’acte malveillant pouvant impacter le SI. Les modalités et les circonstances d’accès ainsi que les données accédées sont notifiées par écrit au salarié.
Par défaut, les fichiers ont un caractère professionnel et l’employeur peut
y accéder librement.
Lorsque les fichiers sont identifi s comme « personnels » ou « privés », l’employeur peut y accéder :
‐en présence de l’employé ou après l’avoir informé,
‐en cas de risque ou évènement particulier, qu’il appartient aux juridictions d’apprécier.
Les courriels adressés ou reçus par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé sauf s’ils sont identifiés comme personnels.
Les conditions d’accès par l’employeur à la messagerie électronique professionnelle des agents sont précisées dans la Charte de messagerie.
Attribution et retrait du droit d’accès au système d’information
Attribution
Chaque utilisateur reçoit un droit d'accès individuel, personnel et confidentiel qui se matérialise par un ou plusieurs moyen(s) d’authentification (identifiant, mot de passe, carte avec ou sans code PIN) qui ne doit(vent) pas être communiqué(s).
La carte agent doit faire l’objet d’une attention particulière dans le cadre de l’activité professionnelle.
A ce titre, elle ne doit donc pas être prêtée à un tiers, même appartenant au personnel de
l’organisme, et elle momentanée. doit être systématiquement enlevée du lecteur en cas d’absence, même
L’utilisateur s’engage à respecter la politique de gestion des mots de passe (changement régulier, complexité…) énoncée au nivea national.
Celui‐ci devra donc signaler à on responsable la perte ou le vol de sa carte de même que tout
événement faisant suspecter un usage frauduleux, afin de dégager sa responsab
ilité.
La protection de ces moyens est placée sous la responsabilité d l'usage de son droit d'accès peut engager sa responsabilité. l'utilisateur, qui reconnaît que
L’identifiant est strictement confidentiel. Cela emporte pour conséquence que l’accès aux ressources informatiques et de communication électronique via cet identifiant est réputé avoir été réalisé par le titulaire, qui devra donc assumer la responsabilité d’usage non conforme, sa
uf à démontrer avoir demandé, préalablement, une suspension ou une suppression de son droit d’accès.
L’utilisateur ne doit accéder qu’aux seules informations nécessaires à son activité professionnelle au titre du «besoin d’en connaître».
Il est interdit d'user, par quelque moyen que ce soit, de l’identité et du dro
it d’accès d'un autre utilisateur.
Gestion des absences
En cas d’absence prolongée, l’organisme «
suspend » le droit d’usage et/ou d’a ccès d’un utilisateur. Pour des raisons de service, la Direction de l’organisme se réserve le droit d'accéder directement aux fichiers et/ou messages professionnels (cf. Modalités d’accès aux données au §3.3).
Gestion des départs
Au moment de son départ de l’organisme, il appartient à l’utilisateur de :
‐détruire son répertoirePERSONNEL ›› et tous les messages de nature privée,
‐restituer l’ensemble des informatio
ns professionnelles, des moyens d’accès informatiques et
de communications électroniques, nationale de sortie du personnel. y compris les matériels nomades, selon la procédure
A son départ, l’utilisateur perd tout droit d’accès au système d’information.
La protection du système d’information
Protection des ressources et des informations
L'utilisateur doit systématiquement verrouiller son momentanée. poste de travail en cas d'absence, même
Les utilisateurs doivent signaler tout incident de sécurité, toute suspicion de compromission d’une information, toute tentative d’intrusion ext
érieure sur le SI, de falsi ication, d’usurpation de droit ou
de présence de virus selon les modalités incidents de sécurité. décrites dans la procédure nationale de gestion des
L’utilisateur ne doit pas, sauf autorisation préalable de la Direction de l’organisme :
‐communiquer à des tiers toute information du système d’information, ‐modifier les configurations informatiques, ‐déroger aux consignes d’utilisation des outils informatiques, ‐désactiver ou contourner le disposit
if technique de sécurité.
Virus informatiques et autres évènements malveillants
Le poste de travail est équip d'un logiciel antivirus et d’autres dispositif
s de lutte
contre la
malveillance dont le paramétrage ne doit p
as être modifié. De plus, son fonctionnement ne doit pas
être entravé ou arrêté. L'utilisation des applications commun cantes (navigateur Internet et messagerie en particulier) et des supports de stockage externes peut provoquer la transmission et l'installation, de programmes ou de fichiers, qui altèrent ou suppriment les données et logiciels du poste.
Si un utilisateur suspecte ou constate un dysfonctionnement de l’anti‐virus sur son poste de travail, il
doit cesser toute activité sur le poste et organisme. avertir le service informatique et le MSSI/RSSI de son
Utilisation des supports amovibles
Il existe de nombreux supports informatiques amovibles capables de se connecter aux ordinateurs : clés USB, CD‐ROM, baladeurs numériques, mémoires flash, appareils photos, assistants personnels numériques, clés U3, téléphones, smart phones, tablettes…
Ces supports présentent un risque pour
le système
d’information car ils peuvent contenir des
logiciels malveillants (virus, logiciels espions, logiciels de prise de contrôle à distance).
Par conséquent, la connexion d Maladie est interdite. supports amovibles personnels à un poste de
travail de l’Assurance
Toutefois, l’utilisation de supports amovibles professionnels est tolé ée sous certaines conditions :
‐le support, de préférence sécurisé est fourni par l’organisme (ou par les circuits de la
Diffusion Nationale), ou son utilisation a o l’organisme (RSSI ou MSSI), tenu l’accord de la fonction sécurité de
‐le support apporté par un tiers doit être utilisé de façon exc ptionnelle
et avec la plus grande vigilance (un avis du MSSI / RSSI est recommandé).
Recommandations d’utilisation de supports amovibles :
‐Faire un examen systématique à l'antivirus lors de l’utilisation d’un support amovible.
‐Procéder au chiffrement des données sensibles au regard de la classification.
‐Sauvegarder utilisation. lesdocumentsnécessairesdansunespacesécuriséaprès chaque
‐Effacer les données et déconnecter le support du poste d doit servir qu’au transport des données. travail, le support amovible ne
Toute connexion de supports amovibles extérieurs à l’organisme su le poste de travail est interdite.
Toutefois, si la connexion est indispensable pour des raisons de service, il convient de prendre les précautions complémentaires suivantes :
‐Ne jamais utiliser de support amovible dont l’origine ne peut être garanti.
‐Ne pas double‐cliquer sur les documents, mais les ouvrir à partir des log
iciels de son poste de travail (par exemple : exécuter Word puis menu fichier/ouvrir un fichier Word sur la clé),
‐Ne pas exécuter de logiciels situés s
ur le support (.exe, .jar, .bat etc.), et de manière générale ne pas double‐cliquer sur des fichiers inconnus ni les importer sur le poste de travail.
Dans tous les cas il convient d’être prudent et vigilant, de signaler tout incident ou anomalie et de ne pas hésiter à se rapprocher du service informatique, ou du MSSI /RSSI de l’organisme pour connaître la conduite à tenir.
Chiffrement
La transmission en interne ou en externe de données sensibles (données classées « secret » et « confidentiel ») doit impérativement répondre aux préconisations des documents de référence portant sur la « Classification des informations ».
L’utilisation d’outils de chiffrement est encadrée par le service informati que et le MSSI de
l’organisme dans le respect des préconisations de la CNAM. Tout autre moyen de chiffrement est interdit, même s’il se trouve en libre accès sur internet.
Toutes précisions sur ces sujets peuvent être demandées au MSSI /RSSI.
Utilisation des intranet, internet
oyens
de communication, outils collaboratifs,
Les outils collaboratifs (messagerie, espaces collaboratifs,
Elle fait l’objet d’une charte spécifique qui définit les droits et obligations que l’organisme et
l'utilisateur s'engagent à respecter, notamment les conditions de contrôles port
ant sur l'utilisation de la messagerie électronique ainsi que le cadre légal dans lequel s'inscrit son usage.
Elle précise les sanctions prévues en cas de non‐respect des règles é ablies. Elle est complétée d’un guide de bonnes pratiques auquel chaque utilisateur doit se référer.
Intranet
L’organisme met à la disposition de chaque agent un site Intranet avec les inf
ormations e services
nécessaires à l'exercice de son activité (règlement intérieur, réglementation liée aux règlements des prestations, circulaires, modes opératoires, processus qualité, information assurés, SSI,…) et à la vie dans l'entreprise (projet d'entreprise, actualités, vacances de poste, réservation de salles en ligne...). Il s'agit d'un outil d'information et de travail.
Les responsabilités et les engagements de chaque agent avec l’Intranet sont les suivants :
‐Seuls les documents classifiés « publics » peuvent être diffusés en externe.
‐Les contributions à cara tère diffamatoire, discriminatoire ou incorrect sont interdites.
Internet
L’Internet est un espace à risques dans lequel sont présentes de nombreuses sources de menaces pouvant porter atteinte à l’organisme mais également à la vie privée de l’utilisateur. La loi précise
que « la sécurité est un droit fondamental et l’une des conditions de l’exercice des libertés
individuelles et collectives ».
L’obligation de protection de ses personnel
s pesant sur l’organisme justifie les règles de conduite et les interdictions édictées par la charte d’utilisation du système d’information.
L’accès à Internet est soumis à autorisation pour l’ensemble des utilisateurs.
La Direction du Système d’Information, s’autorise le droit d’opérer tout filtrage nécessaire pour protéger le système d’information, garantir la disponibilité du réseau informatique et respecter la législation en vigueur.
De par le droit du travail, l’utilisateur ne doit pas accomplir d'opérations susceptibles de re résenter un manquement aux obligations professionnelles ou à la préservation des ressources informatiques mises à sa disposition comme :
‐ la consultation, l'importation, la diffusion et l'exploitation d'informations de nature à porter atteinte individuellement ou collectivement au respect de la personne humaine et de sa dignité, ainsi qu'à la pro ection des mineurs,
‐le téléchargement, l'installation/exécution de scripts, de logiciels ou de programmes
informatiques sans autorisation pré
alable de la Direction,
‐ la consultation, le téléchargement, la diffusion ou l’impression de données dont les volumes et/ou les fréquences d'usage risquent de mettre en danger l'intégrité et/ou la disponibilité du réseau,
‐le téléchargement, la consultation ou la copie à partir d’un site illicite (sites à caractère pornographique, pédo hile, négationniste, extrémiste, raciste, xénophobe, violent ou contraire aux bonnes mœurs ou à l’ordre public…) qui revêt le caractère d’une infraction pénale,
‐la communication d’informations appartenant au patrimoi Maladie sans autorisation préalable, e informationnel de l'Assurance
‐le raccordement au poste de travail d’un matériel externe non professionnel ayant sa propre connectique à l’Internet (risque de rebond),
‐la communication de l'adresse de messagerie professionnelle en dehors des sites Internet de
confiance. Il est rappelé que les utilisateurs et les services des organi mes de
l'Assurance Maladie utilisentune adresse de type @assurance‐maladie.fr (exemple:
eric.dupont@assurance‐maladie.fr), qui est une signature institutionnelle susceptible, dans les rapports avec les tiers, d'engager la responsabilité civile et pénale
des organismes et de leurs représentants.
La reproduction d’objets issus de sites Internet, (textes, images, sons) n’est possible que dans la mesure où ils sont libres de droits et diffus
és avec l’autorisation de leurs auteurs, et avec indication de leur source, conformément aux lois en vigueur.
En effet, en vertu des règles du Code de la propriété intellectuelle, l'auteur d'une œuvre de l'esprit originale jouit, sur cette œuvre, du seul fait de sa création, "d'un droit de propriété incorporel et exclusif opposable à tous".
La consultation de sites Internet, pour un motif personnel, est tolérée dans la
mesure où celle‐ci est exceptionnelle (sauf autorisation expresse et préalable de la Direction) et raisonnable et lorsque le contenu n'est contraire à aucune des prescriptions de cette charte.
Les connexions Internet font l’objet de supervisions, de vérifications et d’audits réguliers directives définies au niveau national. elon des
Les identifiants et les adresses de connexion sont ainsi enregistrés.
L’historique constitué permet de retracer le trafic Internet et peut être exploité par la Direction à des fins de statistiques, de qualité de service et
de sécurité, pour vérifier :
‐les durées de connexions,
‐et les sites les plus visités.
Les traces seront conservées pendant une durée maximale de 6 mois, sauf si de
s dispositions légales ou réglementaires venaient à imposer des délais de conservation différents.
En cas d’utilisation illicite, non conforme aux règles fixées dans la présente charte ou non autorisée par la Direction de l’organisme, l’utilisateur s’expose à des poursuites disciplinaires, civiles et/ou pénales.
Mobilité et matériels mis à disposition par l’organisme
Tout utilisateur qui dispose de matériels nomades est informé des consignes de sécurité particulières lors de la mise à disposition de la ressource.
Seuls les matériels nomades autorisés peuvent être connectés au réseau de l’Assurance Maladie.
L’attention de l’utilisateur est attirée sur le fait que l’utilisation de ces matériels nomades à
l'extérieur de l’organisme engage sa responsabilité.
L‘utilisation des matériels nomades impose donc à confidentialité renforcé. chacun un niveau de surveillance et de
Les objets connectés
Les objets connectés (montre, enceintes Bluetooth …) présent nt un risque pour le système
d’information (virus, logiciels espions…). Ces objets connectés étant par nat
ure peu protégés, ils permettent un accès au matériel auquel il est connecté.
Par conséquent, la connexion de ces supports personnels à un poste de travail de l’Assurance Maladie est interdite.
Toute Dérogation doit faire l’objet d’une autorisation expresse de la CNAM ou de la Direction de l’organisme.
Données personnelles
De par leur métier, les salariés et éventuels
sous‐traitants ont accès à des données personnelles et de santé.
Le respect du secret professionnel et du droit d’en connaitre (accéder aux données strictement
nécessaires à la mission confiée) s’applique, et plus généralement toutes les dispositions relatives à la protection des données.
Définition d’une donnée à caractère personnel :
Toute information se rapportant à une personne physique identifiée ou
identifiable
(ci‐après
dénommée «personne concernée») est réputée être une «personne physiq ue identifiable» une personne physique qui peut être identifiée, directement ou indirect ment, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Définition de données de santé : Toutes données à caractère personnel relatives à la
anté physique ou mentale d'une personne
physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Les données médico‐administratives sont désormais considérées comme donné
es de santé.
Propriété intellectuelle
L’utilisation du système d’information de l’organisme implique le respect des droits de propriété intellectuelle et notamment de la réglementation relative à la propriété littéraire et artistique.
Analyse et
contrôle de l’utilisation des
ressources du
système d’information
Principe directeur
L’organisme doit s’assurer du bon fonctionnement du système d’information et empêcher son utilisation dans un cadre non conforme aux
règles définies dans la présente Charte.
Actionsdesadministrateurs
dusystème
d’information Les administrateurs sont nommément désignés et assurent le bon fonctionnement des moyens informatiques de l'organisme.
Les administrateurs sont tenus au secret professionnel concernant toute information confidentielle qu'ils pourraient être amenés à consulter et tout particulièrement celles couver
tes par le secret de la correspondance privée.
Ils ne contournent pas les procédures de sécurité établies, et en particulier ne désactivent p s de leur propre initiative les mécanismes de traçabil
ité, et ne portent pas atteinte à l’intégrité des fichiers de journalisation.
Aucune exploitation à des fins autres que celles découlant de leur mission ne saurait être opérée et tolérée.
Sauvegarde et archivage
Données générales
L’utilisateur doit stocker ses fichiers et données électroniques dans des espaces définis par informatique. e service
La sauvegarde des données locales résidantes sur le disque dur du poste de travail est à la charge de
l'utilisateur. Des moyens d’archivage locaux peuvent être mis l’organisme. à disposition à cette fin par
La sauvegarde des données déposées sur les serveurs est à la charge du serviice informatique. Les données à caractère personnel ne doivent pas être conservées sur le poste de travail. Un stockage sur un serveur partagé interne est à privilégier.
Des dispositions spécifiques au service méd
ical sont à appliquer (serveur sécurisé dédié).
Données techniques
Les données de connexion (statistiques, pendant 6 mois. Internet, serveurs, applications, e
tc.) sont conservées
Archivage et destruction
L’archivage des données est effectué conformément à la réglementation applicable ainsi qu’aux préconisations de la « classification des informations ».
Les données sont exprimé. détruites orsque le besoin de conservation de l’inf
ormation n est plus
Contrôle de l’application de la charte
L’organisme doit pour des nécessités de maintenance et de sécurité, procéder périodiquement, par les moyens les plus appropriés, à des audits de contrôle de la bonne application de la présente
charte, dans le respect de la législation ap
plicable et notamment libertés.
e la loi sur l'informatique et les
Les audits peuvent viser le contrôle de tout ou partie de la présente charte. Dans le cas d’identification d’axes d’amélio
ration, des plans d’actions correctifs doivent être mis en place.
Journaux d’évènements
Tout accès et utilisation du système d’information génère automatiquement un
e trace collectée dans
des journaux d’événements qui sont confidentiels et accessibles uni ainsi qu’à la Direction de l’organisme. uement au
x personnels habilités
Cette collecte participe à la garantie d’un bon fonctionnement et d’une utillisation normale des ressources du système d’information et le cas échéant permet l’identification d’
usages illégitimes.
Sanctions
Les sanctions prévues à la convention collective ou à toute autre disposition conventio nelle ou
réglementaire existante dans l’organisme charte. sont applicables en cas de non‐respect de la présente
Dispositions spécifiques liées aux organisations syndicales
La mise à disposition des organisations syndicales qui le souhaitent d’un espa
ce dédié relève de la négociation locale.
Suivi de la mise en application de la Charte
La Direction se charge du respect de la Charte et de son suivi.
Toute difficulté d'application de la Charte doit être signalée au MSSI RSSI.
Toute question spécifique relative aux données personnelles peut être soumise au Délégué à la Protection des Données (D.P.O.) de l’organisme.
Entrée en vigueur
Cette charte fait l’objet d’une publication auprès de l’Inspection du Travail.
Elle entre en vigueur un mois après l’accomplissement des formalités de communication à l'Inspection du travail, de dépôt et de pub
licité telles que prévues à l’article L 1321 4 du code du travail.
Toute modification ultérieure, adjonction ou retrait de clause de la présente charte sera soumis à la même procédure, conformément aux prescriptions de l’article L 1321 4 du code du travail, étant
entendu que toute clause de la charte qui deviendrait contraire aux dispositions légales,
réglementaires ou conventionnelles applicables à l’organisme du fait de l’évolution de ces dernières, serait nulle de plein droit.
Chaque personnel de l’Assurance Maladie et assimilé en est destinataire et doit s’engager à en
prendre connaissance et à en respecter les termes.
De même, la charte devra être diffusée aux tiers qui se verro t doté d’un accès au Système
PREAMBULE4
PERSONNES CONCERNEES5
