Directeur General Délégué Ensemble du personnel Cisbio
Historique
Date
Version
Auteur
Description
12/1999 12.99 DRH Charte utilisateur pour l’usage du système d’information d’Oris / Cisbio 03/2016 13.00 SI Charte utilisateur pour l’usage du système d’information Cisbio 10/2018 14.00 SI Charte utilisateur incluant la RGPD pour l’usage du système d’information Cisbio
PREAMBULE Cisbio dispose d’un Système d’information sensible sur lequel repose sa performance, sa pérennité, sa sécurité et sa capacité à maintenir et développer ses activités et ses résultats.
La protection de ce Système est plus que jamais essentielle et s’avère en cela un objectif majeur. Comme la qualité, la sécurité ne peut être obtenue dans la durée que par
une action à la fois collective et individuelle. L’application de ce document est l’affaire de tous, dans l’intérêt de chacun.
Ce document a pour objet de préciser la responsabilité des collaborateurs de Cisbio en accord avec la législation, afin d’instaurer un usage conforme des ressources informatiques et des services Internet.
Le bon fonctionnement du système d’information suppose le respect des dispositions législatives et réglementaires qui s’imposent et notamment la sécurité, la performance des traitements et la conservation des données professionnelles comme cela est décrit dans le cadre des RGPD. DEFINITIONS Le développement des technologies de l’information et de la communication conduit les collaborateurs de Cisbio à utiliser les outils informatiques, les réseaux et les services de communication au quotidien dans l’exercice de leurs missions.
Afin d’en faciliter l’usage, il est primordial que chaque utilisateur de ces outils dénommés ci-après «
Système d’Information », soit informé des règles simples et des bonnes pratiques à appliquer dans le cadre d’une charte d’utilisation. La présente charte a donc notamment pour objet :
De définir les conditions d’une bonne utilisation des ressources partagées et dans le respect des lois et de l’éthique,
De porter à la connaissance des utilisateurs en parfaite transparence, les dispositifs mis en place pour garantir la sécurité des systèmes.
Ci-dessous la définition des termes employés dans la Charte Informatique de Cisbio : Utilisateur : toute personne ayant accès ou utilisant le Système d'Information de Cisbio, que ce soit localement ou à distance.
Système d'Information : ensemble des ressources informatiques et des services Internet et réseau de Cisbio.
Ressources informatiques : moyens de calcul, de gestion, de messagerie interne, mis à disposition des utilisateurs, ainsi que les données contenues dans ces moyens informatiques ; ceux-ci peuvent être locaux, distants et sont aussi ceux auxquels il est possible d’accéder à distance, directement ou en cascade à partir du réseau de Cisbio ; les ordinateurs portables, les Smartphones et tablettes ainsi que les ordinateurs pilotant des systèmes industriels font partie des ressources informatiques. Ces moyens sont ou non connectés en réseau.
Services Internet : services mis à disposition par des serveurs locaux ou distants de moyens d’échanges et d'informations diverses : Web, messagerie ...
Poste de travail : désigne les postes de travail auxquels tout utilisateur a accès, y compris les postes partagés.
L’utilisation des ressources informatiques et l’usage des services Internet ainsi que du réseau pour y accéder sont destinés à l’activité professionnelle des utilisateurs conformément à la législation en vigueur. CHAMP D’APPLICATION La présente charte s'applique à l'ensemble des utilisateurs du système d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salariés, intérimaires, stagiaires, employés de sociétés prestataires, visiteurs occasionnels. Les salariés veillent à faire accepter valablement les règles posées dans la présente charte à toute personne à laquelle ils permettraient d'accéder au système d'information et de communication.
La présente charte entrera en vigueur un mois après l’accomplissement des formalités d’affichage et de dépôt. Elle s’imposera à tous les salariés dans la mesure où ces derniers utilisent :
Les outils informatiques
Les moyens de communication
Le réseau physique de Cisbio
La charte devra être représentée aux Instances Représentatives du Personnel à chaque modification.
La présente charte annule et remplace toute charte informatique interne existant à ce jour au sein de Cisbio. ACCES AU SYSTEME D’INFORMATION L'utilisation du système d'information et la connexion d'un équipement sur le réseau sont soumises à autorisation de la hiérarchie de tout utilisateur du système.
L'accès à certains éléments du système d'information (comme la messagerie électronique, les sessions sur les postes de travail, le réseau, certaines applications) est protégé par des paramètres de connexion (
identifiants et mots de passe).
Ces autorisations sont strictement personnelles et doivent être gardées confidentielles. Elles peuvent être retirées ou modifiées, pour des raisons objectives et proportionnées. Toute modification ou retrait fera l’objet d’une information du salarié.
Dans la mesure du possible, ces paramètres doivent être mémorisés par l'utilisateur et ne pas être conservés, sous quelque forme que ce soit. En tout état de cause, ils ne doivent pas être transmis à des tiers ou aisément accessibles.
Chaque utilisateur est responsable de l'utilisation qui sera faite de ses droits d'accès au système d'information.
Ces autorisations d'accès ne confèrent pas à l'utilisateur la propriété des données stockées dans le système d'information qui demeurent la propriété de Cisbio (hors documents syndicaux). Aucun utilisateur ne doit modifier de sa propre initiative la configuration (matériels et logiciels) de son poste de travail, qu'il soit ou non connecté au réseau. Si celle-ci venait à être modifiée par inadvertance, l'utilisateur devra en informer immédiatement le service Système d’Information du site concerné. REGLES DE SECURITE D'une manière générale, dès qu'un utilisateur constate un dysfonctionnement de son poste de travail informatique ou une anomalie il doit prévenir le service Système d’Information ; dans les cas graves ou supposés tels, par exemple usurpation d'identité, modification non souhaitée de fichiers, utilisation du poste par une personne non autorisée, virus, perte de matériel informatique, installation d'une application non autorisée... il doit aussi prévenir le service Système d'Information. Chaque utilisateur doit utiliser exclusivement les moyens informatiques mis à sa disposition par le service Système d'Information pour effectuer les missions dont il a la charge ; il est responsable de l'utilisation qui sera faite de ses droits d'accès au système d'information. Ceci concerne l’utilisation des matériels (unité centrale, clavier, écran, imprimante …) et des logiciels qui ont été validés par le service Système d’Information (bureautique, applicatifs IFS…).
Accès au poste de travail Afin de garantir la sécurité de son poste de travail informatique, l’utilisateur doit :
S’assurer que l'accès à son poste de travail est protégé par un ou plusieurs mots de passe en fonction des applications ; Ces mots de passe ne doivent pas être mis en évidence (sous un clavier, sur un tableau...).
Changer ses mots de passe régulièrement.
Ne pas masquer sa véritable identité en se connectant sous le nom d'un autre utilisateur.
Ne pas usurper l'identité d'une autre personne et ne doit pas intercepter de communication entre tiers.
Ne pas transmettre de mot de passe par téléphone et/ou messagerie.
Données L’utilisateur est informé que tout fichier ou document informatique présent sur le système d’information de Cisbio est présumé professionnels et que, en conséquence, l’employeur peut y avoir accès à tout moment et hors la présence de l’utilisateur.
Les fichiers et documents personnels sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte. En tout état de cause l’utilisateur devra avoir un usage raisonnable dans la conservation de fichiers personnels sur le système d’information de l’entreprise. Les fichiers privés de l’utilisateur doivent être systématiquement conservés dans un répertoire (dossier) intitulé «
Privé et confidentiel ». Toute autre mention aura pour conséquence que les fichiers contenus dans ce répertoire seront présumés être professionnels.
L’utilisateur est informé que Cisbio via le service Système d’Information peut contrôler notamment les extensions des fichiers et le volume du répertoire. Cisbio pourra demander à l’utilisateur de réduire le nombre ou le volume de ses fichiers privés sur son système d’information. En cas de non suppression des fichiers dans les huit jours ouvrés, Cisbio pourra détruire ces fichiers sans que l’utilisateur ne puisse se plaindre.
Afin de garantir la sécurité de données de l’entreprise, l’utilisateur doit :
Protéger les fichiers, messages, etc... sensibles par des mots de passe.
Veiller à la sauvegarde et à la protection de la confidentialité des données contenues sur son poste de travail, notamment en cas d'intervention sur l’équipement informatique par une société prestataire extérieure.
Eteindre son poste de travail à la fin de la journée, en respectant les procédures d'arrêt.
S'engager à ne pas mettre à la disposition de personnes non autorisées un accès au système d'information à travers des matériels dont il a l'usage.
Ne pas sortir de Cisbio des données, fichiers ou logiciels à caractère professionnel, sans l'autorisation de son supérieur hiérarchique.
Ne pas introduire dans le système d'information des données ou informations contenues sur CD-ROM, Clé USB, ordinateur... en provenance de l'extérieur de la société (y compris via Internet) sans la validation de ces supports d'information par le service Système d'Information.
Ne pas quitter son poste de travail en laissant une session ouverte, sauf pour les postes fonctionnant en longue durée et repérés en conséquence (exemple : Ecran d’affichage).
Ne pas se livrer à des actions mettant sciemment en péril la sécurité ou le fonctionnement du réseau auquel il accède.
Remarques :
Les responsables des postes communs doivent s'assurer de l'application de ces dispositions.
Le service Système d’Information se tient à la disposition du personnel afin d’expliquer, en cas de besoin, comment procéder pour la mise en œuvre des mesures décrites ci-dessus.
USAGE DES SERVICES INTERNET ET DE LA MESSAGERIE ELECTRONIQUE Pour l’exercice de l’activité professionnelle, il est mis à disposition un poste de travail informatique qui peut être connecté à internet et doté d’une messagerie électronique. L’utilisation, sur les lieux de travail, de ces outils informatiques à des fins autres que professionnelles doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise.
Services Internet Les accès à ces services doivent être exclusivement réalisés par le système de navigation mis en place par le Service Système d'Information.
Il est interdit :
d'importer depuis Internet des jeux, des logiciels ou des images à caractère non professionnel ; si un utilisateur reçoit de tels documents, il devra les détruire aussitôt.
de participer à des forums de discussion sur Internet ou d'accéder à des sites Internet pouvant traiter de sujets racistes, pornographiques ou pédophiles.
de télécharger de manière illégale des jeux, des vidéos, ou tout autre document soumis au à licence ou copyright.
de visionner des films en streaming.
L’inscription au nom de la société Cisbio sur des forums, ou de sites internet doit préalablement faire l’objet d’une autorisation d’un membre du comité de direction.
Mise en garde : Les sites Internet créés par des particuliers (plutôt que par des sociétés) et ceux établis par des organisations à l'éthique douteuse ont de fortes chances d'abriter des codes nuisibles. Il convient d'éviter ces sites.
Chaque utilisateur doit être particulièrement vigilant lors de la connexion à Internet ; les règles d'utilisation et de bon usage de sécurité s'appliquent et il faut savoir que les informations circulant sur Internet peuvent être sujettes à caution.
Les informations sur Cisbio et l'image de Cisbio sur Internet sont déterminantes pour notre succès et par conséquent doivent être protégées contre tout risque de perte, de modification ou de destruction.
Messagerie électronique Conseils généraux
L'attention des utilisateurs est attirée sur le fait qu'un message électronique a la même portée qu'un courrier manuscrit et peut rapidement être communiqué à des tiers. Il convient de prendre garde au respect d'un certain nombre de principes, afin d'éviter les dysfonctionnements du système d'information, de limiter l'envoi de messages non sollicités et de ne pas engager la responsabilité civile ou pénale de l'entreprise et/ou de l'utilisateur.
L’utilisateur s’engage à un devoir de modération et de courtoisie dans l’utilisation de la messagerie électronique et à respecter l’ensemble des normes juridiques en vigueur. Avant tout envoi, il est impératif de vérifier l'identité des destinataires du message et de leur qualité à recevoir des informations transmises.
En cas d'envoi à plusieurs destinataires, l'utilisateur doit respecter les dispositions relatives à la lutte contre l'envoi en masse de courriers non sollicités. Il doit également envisager l'opportunité de dissimuler certains destinataires, en les mettant en copie cachée, pour ne pas communiquer leur adresse électronique à l'ensemble des destinataires.
Les utilisateurs doivent veiller au respect des lois et règlements, et notamment à la protection des droits de propriété intellectuelle et des droits des tiers. Les correspondances électroniques ne doivent comporter aucun élément illicite, tel que des propos diffamatoires, injurieux, contrefaisants ou susceptibles de constituer des actes de concurrence déloyale ou parasitaire.
Sécurité et messagerie
Si un utilisateur recevait fortuitement un fichier ou un courrier comportant des pièces jointes illicites, traitant de sujets raciste, pornographique ou pédophile notamment, il devra en informer immédiatement le service Système d'Information et l’administrateur réseau du site concerné.
Tout message dont l'émetteur est inconnu ou peut être suspecté d'avoir été falsifié (certains programmes de virus agissent de la sorte) doit être détruit sans même être lu. Attention : il ne faut jamais ouvrir un FICHIER ATTACHE à un tel message. Les utilisateurs ne doivent pas envoyer ou faire suivre de courrier électronique contenant des informations de ce type.
Chaque utilisateur doit veiller à ne pas porter atteinte à l'intégrité d'un autre utilisateur ou à sa sensibilité, notamment par l'intermédiaire de messages, textes ou images provocants.
Utilisation personnelle de la messagerie
Conformément à la jurisprudence, les courriers électroniques sont présumés professionnels de sorte que l’employeur peut y avoir accès à tout moment et hors la présence de l’utilisateur.
Les messages à caractère personnel sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte. En tout état de cause l’utilisateur devra avoir un usage raisonnable des outils de messagerie électronique.
Les dispositions suivantes visent à protéger la vie privée et le secret des correspondances privées de l’utilisateur en évitant que l’employeur accède, y compris par erreur, à un message personnel à caractère privé.
L’utilisateur est informé que la messagerie peut faire l’objet d’une surveillance technique qui ne porte pas sur le contenu des messages, mais seulement sur leurs caractéristiques techniques et, le cas échéant sur l’objet du message.
Les messages envoyés doivent être signalés par la mention «
Privé et confidentiel ». Toute autre mention emportera que le courrier sera considéré comme étant professionnel.
Si l’utilisateur est amené à communiquer son numéro ou son adresse de messagerie à des fins privées, il devra alors informer la personne concernée que celle-ci devra faire figurer dans l’objet du message et dès le début du corps du message la mention «
Privé et confidentiel ».
L’Utilisateur doit créer dans son logiciel client de messagerie professionnelle un répertoire «
Privé et confidentiel ».
En cas de manquement à ces règles, les messages sont présumés être à caractère professionnel.
Suppression du compte
Lors du départ de l’entreprise d’un collaborateur, son compte de messagerie pourra être fermé, supprimé, transmis ou archivé sans que l’utilisateur ne puisse s’y opposer ni y accéder.
RESPECT DE LA PROPRIETE INTELLECTUELLE L'utilisation du système d'information de Cisbio implique le respect du droit de la propriété intellectuelle.
Chaque utilisateur doit donc :
Utiliser les logiciels dans les conditions des licences souscrites et ne pas introduire, installer et/ou utiliser un logiciel sur le système d'information sans que Cisbio ne dispose de la licence appropriée.
Respecter la législation en matière de fraude informatique.
L’utilisateur ne doit pas reproduire, télécharger, copier, diffuser, modifier ou utiliser les logiciels, bases de données, pages web, images, photographies ou autres créations protégées par le droit d’auteur ou un droit privatif, sans avoir obtenu au préalable l’autorisation des titulaires de ces droits.
PRESERVATION DE L’INTEGRITE DU SYSTEME D’INFORMATION - ANTIVIRUS L'utilisateur s'engage à ne pas apporter volontairement des perturbations au bon fonctionnement du système d'information que ce soit par des manipulations anormales du matériel, ou par l'introduction de virus, chevaux de Troie, bombes logiques. Tout défaut de fonctionnement doit être immédiatement signalé au service Système d'Information. Tous les utilisateurs doivent être conscients des dangers potentiels liés à l'acceptation de programmes résidant sur des bases de données ou des serveurs dont l'accès est public et/ou qui sont reçus sans qu'aucune demande n’ait été faite ou à la visualisation de données provenant de sources inconnues sur Internet. Le service Système d'Information administre en central un programme antivirus qui est périodiquement mis à jour et ne doit pas être retiré des postes de travail de Cisbio. En cas d'infection, l'utilisateur doit alerter le service Système d'Information.
TELEPHONIE MOBILE Pour l’exercice de l’activité professionnelle, il peut être mis à disposition du salarié un smartphone avec un abonnement mobile et internet. L’utilisation de ces outils à des fins autres que professionnelles doit rester raisonnable et ne doit pas affecter la sécurité des réseaux ou la productivité de l’entreprise. Cisbio gère une plateforme de sécurisation des équipements mobiles, donnant la possibilité de supprimer les données du téléphone à distance, sans faire de différenciation entre les données personnelles et professionnelles. Cisbio ne saurait être responsable des dommages éventuels de vos données personnelles (perte des informations, casse etc). Cisbio autorise l’utilisation des téléphones à des fins personnelles, cependant, nous vous recommandons d'extraire et de supprimer les données privées régulièrement.
La suppression des données pourra intervenir notamment après signalement de perte ou de vol de l’équipement, mais aussi en cas de non restitution du matériel dans les 5 jours suivants la demande de restitution du matériel. En cas d'urgence, telle que notamment la suspicion d'un abus de confiance les données pourront être supprimées dans les 24H suivant la demande de restitution. En cas de dépassement important de l’abonnement téléphonique, la direction se donne la possibilité d’analyser la surconsommation de forfait et de la refacturer si celle-ci est effectuée en dehors des périodes de travail et hors de l'activité professionnelle.
CONTROLE DE L’UTILISATION DES RESSOURCES DU SI L’enregistrement des accès ou tentatives d’accès aux ressources du système d’information de Cisbio constitue une mesure de sécurité dont la finalité première est de garantir l’utilisation normale. L’employeur doit pouvoir, le cas échéant, identifier et sanctionner les usages contraires à la loi et à ses règles internes, répondre aux requêtes émanant des tribunaux ou des organismes de polices relatives au comportement de ses collaborateurs, y compris lors de l’usage de son système d’information.
A ces fins, Cisbio met en œuvre des moyens d’enregistrement et d’analyse dans le respect de l’information des personnels concernés, ainsi que de la législation applicable à l’information, aux fichiers et aux libertés, relative à la protection de la vie personnelle, de sorte que les informations enregistrées jouissent d’une protection particulière contre tout risque de divulgation.
Un contrôle du matériel informatique (composants et logiciels) peut être effectué à tout moment dans le cadre d’une investigation. La prise de main du poste (à distance ou sur place) devra faire l’objet d’une information concomitante au service Système d’Information. En cas de risque grave imputable à l’utilisateur ou visiteur, de nature à caractériser une faute civile, contractuelle ou pénale, l’accès aux ressources du système d’informations pourra être restreint, voire fermé, sans préavis.
SANCTIONS Le manquement aux règles et mesures de sécurité de la présente charte est susceptible d'engager la responsabilité de l'utilisateur et d'entraîner à son encontre des avertissements, des limitations ou suspensions d'utiliser tout ou partie du système d'information et de communication, voire des sanctions disciplinaires, proportionnées à la gravité des faits concernés. Dès lors qu'une sanction disciplinaire est susceptible d'être prononcée à l'encontre d'un salarié, celui-ci est informé dans un bref délai des faits qui lui sont reprochés, sauf risque ou événement particulier.
BONNES PRATIQUES INFORMATIQUES 1 / Choisir avec soin ses mots de passe et ne pas les divulguer 2 / Être prudent lors de l’utilisation de sa messagerie 3 / Valider avec le service Système d’Information l’installation des logiciels et contacter le support en cas de doute. 4 / Utiliser les partages réseaux pour stocker ses documents 5 / Utiliser uniquement les logiciels mis à disposition par le service Système d’Information 6 / Nommé son répertoire personnel : «
Privé et confidentiel »
7 / Contacter le support Informatique en cas de doute ou de problème. 8 / Prendre soin de ses informations personnelles, professionnelles et de son identité numérique
ANNEXE : CADRE JURIDIQUE
L’utilisateur est invité à prendre connaissance des principaux textes juridiques de référence en matière informatique : - Le code civil, et notamment l’article 9 relatif à la protection de la vie privée et au droit à l’image. - Le code pénal, et notamment les articles L323-1 et suivants - Le code de la propriété intellectuelle, notamment les dispositions relatives à la propriété littéraire et artistique - La loi du 29 juillet 1881 modifiée sur la presse - La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiées - la loi du 21 juin 2004 pour la confiance dans l’économie numérique Il est plus particulièrement attiré l’attention sur : - les articles 323-1 à 323-7 du code pénal qui sanctionnent les atteintes aux systèmes de traitements automatisés de données :
Accès frauduleux à un système informatique ;
Atteintes volontaires au fonctionnement d'un système informatique ;
Tentative d'un de ces délits ;
Association ou entente en vue de les commettre.
- les articles L335-1 à L335-10 du code de propriété intellectuelle qui interdisent à tout utilisateur de réaliser des copies de logiciels commerciaux, pour quelque usage que ce soit, ainsi que de dupliquer, distribuer ou diffuser des documents (images, sons, vidéos...) soumis au droit de la propriété intellectuelle.
