Suivi des mises à jour Date Référence Auteur Objet État 11/09/2023 V.1
Création Validé/Diffusé
Table des matières
TOC \o "1-3" \h \z \u I.Définitions PAGEREF _Toc160094049 \h 4 II.Introduction PAGEREF _Toc160094050 \h 4 III.Usages des ressources informatiques PAGEREF _Toc160094051 \h 6 Article 1. Règles générales d’utilisation PAGEREF _Toc160094052 \h 6 Article 1. 1Cadre général PAGEREF _Toc160094053 \h 6 Article 1. 2Usages privés des outils informatiques PAGEREF _Toc160094054 \h 6 Article 1. 3 Règles d’utilisation PAGEREF _Toc160094055 \h 7 Article 1. 4Gestion des absences PAGEREF _Toc160094056 \h 7 Article 1.5 Gestion des départs PAGEREF _Toc160094057 \h 7 Article 2. Messagerie PAGEREF _Toc160094058 \h 8 Article 2. 1Règles générales PAGEREF _Toc160094059 \h 8 Article 2. 2 Usage privé PAGEREF _Toc160094060 \h 8 Article 2. 3 Courriel non sollicité PAGEREF _Toc160094061 \h 9 Article 2. 4Pièces jointes et liens contenus dans les mails PAGEREF _Toc160094062 \h 9 Article 3. Internet PAGEREF _Toc160094063 \h 9 Article 3. 1Utilisation personnelle PAGEREF _Toc160094064 \h 9 Article 3. 2Régulation du contenu PAGEREF _Toc160094065 \h 9 Article 3. 3Règles à respecter PAGEREF _Toc160094066 \h 10 Article 3. 4 L’accès au réseau Wifi PAGEREF _Toc160094067 \h 10 Article 4. Téléphone PAGEREF _Toc160094068 \h 11 Article 5. Usage des appareils de mobilité PAGEREF _Toc160094069 \h 11 Article 6. Usage des programmes et logiciels PAGEREF _Toc160094070 \h 11 Article 6. 1Utilisation des logiciels PAGEREF _Toc160094071 \h 11 Article 6. 2Introduction de nouveaux matériels et logiciels PAGEREF _Toc160094072 \h 12 Article 7. Photocopieur multifonction PAGEREF _Toc160094073 \h 12 Article 8.Gestion des ressources sous la responsabilité de l’utilisateur PAGEREF _Toc160094074 \h 12 Article 8. 1Authentification et mot de passe PAGEREF _Toc160094075 \h 12 Article 8. 2Utilisation du poste de travail PAGEREF _Toc160094076 \h 13 Article 8. 3Règles de sauvegardes et stockage PAGEREF _Toc160094077 \h 13 IV.Télétravail et BYOD PAGEREF _Toc160094078 \h 13 Article 9.Télétravail PAGEREF _Toc160094079 \h 13 Article 9. 1Règles générales PAGEREF _Toc160094080 \h 13 Article 9. 2 Usage du VPN PAGEREF _Toc160094081 \h 14 Article 10.BYOD PAGEREF _Toc160094082 \h 14 V.Droit à la déconnexion PAGEREF _Toc160094083 \h 14 Article 11. 1Dispositions générales PAGEREF _Toc160094084 \h 14 Article 11. 2Mesures luttant contre l’usage d’outils numériques et de communication professionnel en dehors du temps de travail PAGEREF _Toc160094085 \h 15 Article 11. 3 Déconnexion en dehors du temps de travail PAGEREF _Toc160094086 \h 15 Article 11. 4 Mesures de contrôles PAGEREF _Toc160094087 \h 15 Article 12. Modalités de contrôle PAGEREF _Toc160094088 \h 16 VI.Sanctions PAGEREF _Toc160094089 \h 16 VII.ANNEXE : GESTION DES EMAILS PAGEREF _Toc160094090 \h 18
Définitions
Administrateur : personne qui dépose de droits d’accès privilégiés sur tout ou partie du système d’information dont il n’est que l’utilisateur.
BYOD : expression anglaise signifiant « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication ») désigne l'usage d'équipements informatiques personnels dans le contexte professionnel.
Données personnelles ou données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement et protégée par le Règlement Général à Protection des données (RGPD)
Médias sociaux : désignent l’ensemble des services permettant de développer des conversations et des interactions sociales sur internet ou en situation de mobilité.
Ressources informatiques : les termes « ressources informatiques », « outils informatiques », « matériel informatique », « outil de communication » sont des synonymes désignant l’ensemble des moyens matériels, logiciels informatiques et moyens communication électronique mis à la disposition des utilisateurs pour des utilisations internes (Intranet) et externes.
Système d’information : ensemble de ressources matérielles, logicielles, procédurales, organisationnelles et humaines qui visent à constituer, créer, échanger, diffuser, dupliquer, reproduire, stocker et détruire des données ou des informations.
Télétravail : désigne toute forme d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l'information et de la communication. Est qualifié de télétravailleur tout salarié de l'entreprise qui effectue, soit dès l'embauche, soit ultérieurement, du télétravail tel que précédemment défini.
Utilisateur : toute personne autorisée à accéder aux outils informatiques et aux moyens de communication de ARCADO et à les utiliser : employés, stagiaires, intérimaires, personnels de sociétés prestataires, visiteurs occasionnels....
Introduction
Objet
L’entreprise ARCADO comprenant les structures Jean-Louis AMIOTTE, Morteau Saucisse, Clavière, Chambade met en œuvre un système d’information et de communication nécessaire à l’exercice de ses missions, comprenant notamment un réseau informatique et téléphonique. La présente charte a vocation à encadrer les modalités d’usage et les devoirs de ces utilisateurs afin de renforcer la protection du système d’information et prévenir les incidents qui pourraient conduire à une interruption des activités de la structure. Elle s’applique à tous quel que soit le statut de l’utilisateur. Elle a également pour objet de sensibiliser les utilisateurs aux risques liés à l’usage de ces ressources en termes d’intégrité et de confidentialité des informations traitées. Ces risques imposent le respect de certaines règles de bonne conduite et de sécurité. L’utilisation des outils décrits doit être professionnelle, l’usage privé peut être toléré selon exceptions prévues dans la présente charte. Cet usage privé doit, en tout état de cause, être raisonnable et ne pas perturber le bon fonctionnement du service. Il revient à tout utilisateur du système d’information de faire usage de ces ressources en respectant les consignes de la présente charte qui vise à lui notifier les principales règles et bonnes pratiques à adopter pour un usage correct, loyal et sécurisé des ressources actuelles et futures mises à sa disposition. Cette charte :
Détermine et rappelle les principes qui s’appliquent à tous ;
Définit les conditions générales d’utilisation du système d’information au sein de l’établissement conformément au cadre légal et réglementaire en vigueur ;
Vise également à informer les utilisateurs des enregistrement ou contrôles éventuels mis en place.
Champ d’application
Les dispositions de la présente charte s’appliquent à tout utilisateur amené à utiliser l’ensemble des outils compris dans le Système d’information mis à sa disposition par ARCADO pour les besoins de son activité (les équipements informatiques matériels et logiciels ainsi que les moyens de communication quels qu’ils soient). La présente charte est applicable à l’ensemble des salariés, stagiaires, alternants, intérimaires, collaborateurs d’ARCADO qu’ils se situent dans les locaux ou qu’ils accèdent aux ressources et équipements du Système d’information à distance (travail à distance). Cette charte est applicable à l’ensemble du groupe composé des entités suivantes :
Jean-Louis AMIOTTE
CHAMBADE
Morteau Saucisse
CLAVIÈRE
Arcado
Les contrats entre l’établissement et tout tiers donnant accès aux données, aux programmes informatiques ou autres moyens de l’établissement devront stipuler que les utilisateurs s’engagent à respecter la présente charte.
Protection des données à caractère personnel
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données personnelles (RGPD) entré en vigueur le 25 mai 2018 et la loi n°78-17 du 6 janvier 1978 modifiée en 2018 relative à l’informatique, aux fichiers et aux libertés définissent les conditions dans lesquelles des traitements de données personnelles peuvent être effectués. Elle ouvre aux personnes concernées par les traitements un droit d’information, d’accès, de rectification, d’effacement, de portabilité et d’opposition des données enregistrées sur leur compte. ARCADO met en œuvre un ensemble de moyens techniques, organisationnels et contractuels pour assurer la protection des données personnelles qu’elle traite. Le « Responsable de Traitement » désignant la personne qui détermine les finalités et les moyens du traitement. En l’espèce, ARCADO agit en qualité de Responsable de Traitement. La liste de l’ensemble des traitements de données à caractère personnel de l’établissement est recensée au fur et à mesure de leur mise en œuvre dans un registre des activités de traitement. Cette liste est tenue à disposition de toute personne en faisant la demande. Les personnes concernées peuvent s’adresser au Service informatique en cas de difficultés concernant l’exercice de leurs droits.
Usages des ressources informatiques Article 1. Règles générales d’utilisation Article 1. 1Cadre général L’utilisateur s’engage à s’abstenir de tout usage abusif ou illicite des ressources informatiques et moyens de communication mis à sa disposition durant et en dehors de ses heures de travail. Est illicite l’usage contraire à toute législation française ou internationale, à l’ordre public et aux bonnes mœurs ou qui a des finalités qui sont susceptibles d’être sanctionnées, par voie pénale ou disciplinaire, par une autorité française. Les unités de stockage du poste de travail de l’utilisateur ne doivent contenir aucun programme, logiciel, documents, fichiers à caractère illicite et même non validé par le Service informatique. Des contrôles peuvent être effectués par ce dernier dans les conditions prévues par la présente charte et dans le respect des règles en matière de protection de la vie privée. Il est interdit pour un utilisateur d’utiliser ou d’accéder aux ressources du système d’information (messagerie professionnelle par exemple) quelles qu’elles soient depuis un terminal personnel (ordinateur, tablette…) sauf cas exceptionnel qui serait inventorié et validé par le Service informatique. Des contrôles des journaux de connexions peuvent être effectués par les personnes en charge de la gestion du Système d’information afin de contrôler que seuls les appareils autorisés se soient connectés au système d’information.
Article 1. 2Usages privés des outils informatiques L’usage non professionnel de ces ressources (qui n’a aucun lien direct avec les activités pour lesquels l’utilisateur a été recruté) est toléré dans le respect des règles et lois. Cet usage doit demeurer modéré, loyal et non lucratif et ne doit pas nuire aux performances de l’établissement. La conservation d’informations personnelles sur les outils professionnels doit être réalisée dans un dossier nommé « PRIVE » (ou « PERSONNEL »). Ce dossier « PRIVE » (ou « PERSONNEL ») ne doit contenir que des données d’ordre personnel et ne saurait comporter d’information professionnelle. Dès lors que les fichiers ou dossiers seront identifiés sous cette mention, l’établissement s’interdit de les consulter en l’absence du salarié ou après l’avoir dûment appelé, sauf risque ou événement particulier. L’utilisateur s’engage à ne pas détourner les données professionnelles dont il a la charge dans l’exercice de ses missions, en les qualifiant frauduleusement d’informations privées. Tout autre dossier qui ne comporte pas la mention « PRIVE » (ou « PERSONNEL ») sera considéré comme étant professionnel.
Article 1. 3 Règles d’utilisation L'utilisateur veille au respect de la confidentialité des informations en sa possession. En toutes circonstances, il doit veiller au respect des législations qui protègent notamment les droits de propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement automatisé de données, le droit à l'image des personnes, l'exposition des mineurs aux contenus préjudiciables. Il ne doit en aucun cas communiquer des informations liées au savoir-faire d’ARCADO ni se livrer à une activité concurrente à celle de l’établissement ou susceptible de lui causer un quelconque préjudice en utilisant le système d'information et de communication. La sécurité des ressources mises à disposition de l’utilisateur et du patrimoine informationnel de l’établissement nécessite de respecter les règles suivantes :
Ne pas accéder ou tenter d’accéder à des ressources du système d’information pour lesquelles il n’a pas reçu d’habilitation explicite ;
Ne pas communiquer des informations confidentielles ou protégées par la législation en vigueur à des tiers non autorisés ;
Ne pas consulter ou diffuser des données confidentielles, protégées par le secret professionnel ou protégées par les dispositions relatives à la protection de la vie privée des usagers, des partenaires ou de ses collègues, sauf habilitation exprès ;
Ne pas télécharger ou transmettre des fichiers contenant des malwares ou des données altérées ou s’abstenir de toute action portant atteinte à la sécurité et au bon fonctionnement des serveurs, postes de travail et réseau de l’établissement ;
Avertir le Service informatique dans les meilleurs délais en cas de constatation de tout dysfonctionnement ou de toute anomalie découverte telle qu’une intrusion ou un accès non autorisé.
Article 1. 4Gestion des absences L’utilisateur prévoit et informe sa hiérarchie des modalités permettant l’accès aux ressources mises spécifiquement à sa disposition afin d’assurer la continuité de l’activité. Avant toute période d’absence, il appartient à l’utilisateur de régler le gestionnaire d’absence du bureau de sa propre boite aux lettres sur laquelle il a délégation et de s’assurer qu’il est bien désactivé à son retour. Pour les absences de plus de 3 jours, l’utilisateur paramètre le gestionnaire d’absence du bureau sur sa messagerie électronique et indique les modalités de contact d’un membre de l’établissement en cas d’urgence. Pour les absences de plus de 3 semaines, l’utilisateur prévoit le transfert de ses courriels, de ses messages et de ses appels téléphoniques à un autre membre de l’entreprise avec son consentement exprès. En cas d’absence prolongée de l’utilisateur ou pour la continuité des services, sa messagerie et ses dossiers professionnels pourront être consultés sans son consentement préalable.
Article 1.5 Gestion des départs Lors de son départ de l’établissement, l’utilisateur doit respecter la procédure et remettre l’ensemble des moyens informatiques et de communication électronique qui lui ont été remis (ordinateur et autres ressources informatiques, moyens d’authentification, supports de stockage, etc.) en bon état général de fonctionnement. L’utilisateur ne doit conserver aucun matériel ou aucune donnée permettant d’accéder au système d’information. Il s’interdit, avant son départ, de détruire ou d’extraire des informations et des données professionnelles. La messagerie professionnelle de l’utilisateur est supprimée le jour de son départ effectif de l’établissement. S’il existe des nécessités relatives à la continuité des activités, cette suppression peut être retardée pour une durée ne pouvant excéder trois mois. L’utilisateur doit procéder à la suppression des éléments qu’il a identifié comme « PRIVE » (ou « PERSONNEL ») au plus tard la veille de son départ effectif, auquel cas l’établissement se réserve le droit de procéder à cette suppression.
Article 2. Messagerie Article 2. 1Règles générales Dans le cadre de l’optimisation du travail, de mutualisation et d’échange d’information au sein de l’établissement, celle-ci met à disposition de chaque utilisateur une boite à courriels nominatives lui permettant d’émettre et recevoir des messages électroniques.
L’utilisateur s’assure de l’identité et de l’exactitude des adresses des destinataires des messages et veille à ne pas émettre d’informations sensibles ou confidentielles. Afin d’éviter la surcharge informationnelle et la dégradation du service, l’utilisateur limite la diffusion de messages aux seuls destinataires concernés et n’abuse pas des fonctionnalités (CC), (Cci) et « répondre à tous ». L’utilisateur ne doit jamais diffuser un message électronique qu’il s’interdirait d’exprimer oralement ou par tout autre moyen (courrier postal, télécopie, etc.), car le message électronique peut :
Être stocké, réutilisé, exploité à des fins échappant à l’entendement de l’utilisateur ;
Constituer juridiquement un élément de preuve.
Article 2. 2 Usage privé La messagerie mise à disposition des utilisateurs est destinée à un usage professionnel. L'utilisation de la messagerie à des fins personnelles est tolérée si elle n'affecte pas le travail, ni la sécurité du réseau informatique de l’établissement. L’objet du message devra afficher son caractère personnel en comportant la mention « PRIVE » (ou « PERSONNEL ») et le corps du message devra être dépourvu de toute mention relative à l’établissement (telle que la signature automatique) et autre indication qui pourrait laisser suggérer que le message est rédigé par l’utilisateur dans le cadre de ses fonctions. Tout message qui comportera cette mention « PRIVE » (ou « PERSONNEL ») bénéficiera du droit au respect de la vie privée et du secret des correspondances, l’employeur s’interdisant d’accéder aux dossiers et messages personnels identifiés comme tel en l’absence de l’utilisateur, sauf après l’avoir dument appelé ou en cas de risque ou événement particulier. En l’absence de la mention « PRIVE » (ou « PERSONNEL »), le message sera considéré comme professionnel. Article 2. 3 Courriel non sollicité ARCADO dispose de dispositifs permettant de lutter au mieux contre la propagation des messages non désirés (spam). Aussi, afin de ne pas accentuer davantage l’encombrement du réseau lié à ce phénomène, les utilisateurs sont invités à limiter leur consentement explicite préalable à recevoir un message type commercial, newsletter, abonnements ou autres, et de ne s’abonner qu’à un nombre limité de listes de diffusion notamment si elles ne relèvent pas du cadre strictement professionnel.
Article 2. 4Pièces jointes et liens contenus dans les mails L’ouverture de pièce jointe reçue par mail contenant un virus est l’une des diverses vulnérabilités qui peuvent conduire à la compromission du Système d’information. L’utilisateur se doit donc de respecter quelques mesures de précaution. L’utilisateur s’assure de l’identité de l’émetteur d’un message invitant à cliquer sur un lien ou à ouvrir une pièce jointe. Il lui est strictement interdit d’ouvrir des pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers qu’il a l’habitude de recevoir de la part de ses contacts. De même, si des liens figurent dans un courriel, l’utilisateur est invité à passer sa souris sur ces liens sans cliquer, faisant apparaître ainsi l’adresse complète des sites. L’utilisateur pourra ainsi en vérifier la cohérence. En tout état de cause, l’utilisateur doit respecter les règles suivantes :
Ne jamais répondre par courriel à une demande d’informations personnelles ou confidentielles (par exemple : code confidentiel et numéro de carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer les données de personnes concernées ; on parle d’attaque par « phishing ».
Ne pas ouvrir et ne pas relayer de message de type chaînes de lettre, appels à la solidarité, alertes vitales, etc.
Si l’utilisateur procède à l’ouverture d’une pièce jointe s’avérant suspecte au regard des éléments précédemment évoqués, il doit en avertir le Service informatique dans les meilleurs délais, SANS TRANSFERER LE MAIL.
Article 3. Internet Article 3. 1Utilisation personnelle Les utilisateurs peuvent consulter les sites internet présentant un lien direct et nécessaire avec l'activité professionnelle, de quelque nature qu’ils soient. Toutefois, une utilisation ponctuelle et raisonnable, pour un motif personnel, des sites internet dont le contenu n'est pas contraire à la loi, l'ordre public, ou ne serait pas restreint par le proxy de l’entreprise, est autorisée.
Article 3. 2Régulation du contenu Pour des raisons de sécurité, l'accès à certains sites peut être limité ou prohibé par Service informatique et le proxy mis en place. Celui-ci est habilité à imposer des configurations du navigateur et à restreindre le téléchargement de certains fichiers. Il peut, à tout moment et sans avertissement préalable, sur instruction de la Direction, bloquer l’accès aux sites dont le contenu est jugé illégal, offensant ou inapproprié.
Article 3. 3Règles à respecter L’utilisateur, dans le cadre de son accès à Internet, doit se connecter uniquement à partir des moyens qui sont fournis par e Service informatique sauf exception expressément habilitée. En toute circonstance, l’utilisateur s’abstient de consulter, télécharger, stocker, publier, diffuser ou distribuer, sous quelque support que ce soit et au moyen de ressources d’ARCADO, des contenus :
Ayant un caractère explicitement indécent, contraire à l’ordre public, portant atteinte à la dignité ou à la vie privée ou contraire aux bonnes mœurs (pornographie, etc.) ;
Ayant un caractère illégal ;
Ayant un caractère diffamatoire ;
Portant atteinte aux ressources d’ARCADO et plus particulièrement à l’intégrité et à la conservation des données de l’établissement ;
En cas de consultation de contenus précédemment énumérés à l’insu de l’utilisateur, celui-ci doit en informer son responsable hiérarchique dans les plus brefs délais. Par ailleurs, sont proscrits et le cas échéant sanctionnés :
Le transfert à l’extérieur de l’établissement et sans son accord préalable, en dehors du contexte professionnel, des documents ou des fichiers appartenant à l’établissement ;
Le téléchargement ou l’exploitation de tout ou partie des données numériques soumises au droit d’auteur ou à la loi des copyrights sans autorisation et sans mention des crédits en cas de publication ;
L’utilisation de l’adresse professionnelle pour s’inscrire sur des sites ou des réseaux non liés à son activité professionnelle (jeux, commerce en ligne, etc.) ou la communication de son adresse électronique professionnelle sur des sites externes sans rapport avec l’activité professionnelle.
L’expression sur des blogs, forums, ou réseaux sociaux au nom de l’établissement sans habilitation ou l’émission d’opinions personnelles pouvant porter préjudice à l’établissement (type LinkedIn) ;
Le dépôt de données professionnelles sur des sites grand public ou sur des espaces personnels sans en avoir été habilité.
Article 3. 4 L’accès au réseau Wifi L’établissement dispose d’un réseau Wifi permettant une connexion sans fil à Internet que les utilisateurs peuvent utiliser grâce à un code d’accès délivré par l’établissement. L’utilisateur s’engage à garder ce code d’accès confidentiel et à ne connecter sur le réseau sans fil que des appareils servant à son activité professionnelle sauf exception notamment dans les cas où le réseau serait limité et que le Service informatique autoriserait la connexion d’outils personnels. Cette dernière exception ne peut être mise en place qu’à la condition que les utilisateurs aient un usage normal et non contraire à la loi et l’ordre public de leurs outils. Il n’est réservé qu’au personnel de l’établissement sauf exceptions express de la Direction ou du Service informatique.
Article 4. Téléphone À partir de la ligne fixe, les communications téléphoniques sortantes à caractère personnel doivent être limitées uniquement aux cas d’urgence, entendus comme les situations qui ne peuvent attendre le retour du salarié dans la sphère privée. ARCADO met à disposition de certains utilisateurs, pour l’exercice de leur activité professionnelle, des téléphones mobiles. L’utilisation du téléphone à titre privé est admise. ARCADO s’interdit de mettre en œuvre un suivi individuel de l’utilisation des services de télécommunications. ARCADO s’interdit d’accéder à l’intégralité des numéros appelés via l’autocommutateur mis en place et via les téléphones mobiles. Toutefois, en cas d’utilisation manifestement anormale, le Service informatique, sur demande de la Direction, se réserve le droit d’accéder aux numéros complets des relevés individuels.
Article 5. Usage des appareils de mobilité On entend par « outil de mobilité » tous les outils techniques mobiles (ordinateur portable, smartphone, clé USB…) permettant de travailler en dehors de son bureau. Au regard de la sensibilité des documents qu’ils peuvent stocker, ils doivent faire l’objet d’une sécurisation particulière notamment :
Être protégés par des mots de passe qui doivent rester confidentiels ;
Être verrouillés automatiquement lorsqu’ils ne sont pas utilisés ;
Faire l’objet d’une surveillance particulière de la part de l’utilisateur pour en prévenir le vol.
En cas d’incident (perte, vol…), l’utilisateur en informe la Comptabilité afin qu’il procède aux démarches telles que la déclaration de vol ou de plainte et au Service informatique. Les outils de mobilité peuvent être utilisés à des fins privés à condition de respecter un usage normal et contrôlé de ces appareils. Les outils de mobilité peuvent être équipés d’écran de confidentialité que les utilisateurs doivent garder en place.
Article 6. Usage des programmes et logiciels Article 6. 1Utilisation des logiciels L’accès et l’utilisation à un logiciel est soumis à habilitation et fait l’objet de restrictions concernant les fonctionnalités du logiciels et le périmètre d’accès aux données en adéquation avec les missions confiées à l’utilisateur. L’utilisateur ne doit pas utiliser ou tenter d’utiliser les logiciels en dehors du cadre de son habilitation ou pour des finalités étrangères à celles pour lesquelles il a reçu une autorisation.
Article 6. 2Introduction de nouveaux matériels et logiciels L’utilisateur ne dispose d’aucune habilitation pour installer des logiciels, des programmes ou tout autre équipement. Ce type de manipulation est de la seule compétence du Service informatique. En découle une Interdiction d’installer, télécharger ou utiliser sur le matériel de l’établissement des logiciels ou progiciels dont les droits de licence n’ont pas été acquittés et/ou ne provenant pas de sites dignes de confiance. Également, est interdite la recherche et l’utilisation de scripts (programmation informatique) et de programmes non connus par les personnes en charge du Système d’information de l’établissement.
Article 7. Photocopieur multifonction Le photocopieur multifonction de l’établissement est un périphérique connecté au réseau qu’il convient de sécuriser comme tout autre appareil également connecté. Son utilisation est soumise au respect des règles et recommandations édictées dans la présente charte. L’utilisateur est vigilant quant aux destinataires des documents qu’il numérise afin que les informations concernées ne soient pas rendues accessibles à des personnes non habilitées. L’utilisateur veille également à éviter d’imprimer systématiquement des mails ou documents provisoires et limite les impressions en couleur aux seuls documents le nécessitant.
Article 8.Gestion des ressources sous la responsabilité de l’utilisateur Article 8. 1Authentification et mot de passe Une identification (login + mot de passe) unique est confiée à chaque utilisateur. Ce dernier est personnellement responsable de l’utilisation qui peut en être faite, et ne doit en aucun cas la communiquer. Un mot de passe doit, pour être efficace, comporter 14 caractères, dont un espace. Il appartient à l’utilisateur d’utiliser un mot de passe suffisamment contraignant et qui ne comporte d’éléments personnels. Les moyens d’authentification sont personnels et confidentiels et doivent être mémorisés par l’utilisateur dans la mesure du possible. Ils ne doivent pas être conservés sous quelque forme que ce soit qui permettrait à un tiers d’y avoir accès aisément, ni être partagés ou révélés à une personne autre que l’utilisateur, même en cas de prise en main à distance par un prestataire informatique sauf accord fu service informatique interne. L’utilisateur concerné sera responsable de toutes les actions entreprises par la tierce partie au moyen de ces informations le cas échéant. Cependant, dans l’hypothèse où l’employeur aurait besoin d’accéder aux données se trouvant sur le poste d’un employé absent, ce dernier se doit de lui communiquer ses identifiants de connexion. Si l’utilisateur estime qu’un de ses moyens d’authentification est susceptible d’être connu d’une tierce personne, il a l’obligation de procéder à sa modification soit directement, soit en contactant le Service informatique.
Article 8. 2Utilisation du poste de travail L'utilisateur est garant de la sécurité, la confidentialité et l’intégrité des ressources qui lui sont confiées dans le cadre de ses fonctions. Il doit concourir à la protection desdites ressources en faisant preuve de prudence. En cas d'absence, même temporaire, il est impératif que l'utilisateur verrouille l'accès au matériel qui lui est confié ou à son propre matériel, dès lors que celui-ci contient des informations à caractère professionnel. L’utilisateur active le verrouillage automatique de la session sur son poste de travail au bout de trois minutes d’inactivité ou fait appel au Service informatique pour procéder à cette activation. L’utilisateur ne procède à aucune modification concernant la configuration de son poste de travail notamment au niveau des périphériques, matériels et logiciels. La configuration de la protection antivirus ne peut faire l’objet d’aucune modification de la part de l’utilisateur et doit demeurer active au cours de l’utilisation du poste de travail. D’autre part, l’utilisateur ne doit pas connecter ou déconnecter du réseau les outils informatiques et de communications sans y avoir été autorisé par le Service informatique, ni déplacer des outils informatiques autres que nomades sans l’autorisation dudit Service informatique. De manière générale, l’utilisateur s’abstient de nuire au fonctionnement des outils informatiques et de communications. À chaque fois qu’il est invité à le faire, l’utilisateur procède à l’installation des mises à jour du système d’exploitation de son poste de travail ainsi que des logiciels qu’il utilise au cours de ses fonctions professionnelles (Office 365 par exemple). Les poste de travail peuvent être équipés d’écran de confidentialité que les utilisateurs doivent garder en place.
Article 8. 3Règles de sauvegardes et stockage L'utilisateur veille à ce que les fichiers et informations professionnelles dont il dispose soient stockés sur des emplacements protégés et sauvegardés sur le serveur. La sauvegarde en local est interdite sur tous les postes. L’utilisation de support externe, après autorisation d’utilisation, doit faire l’objet d’une vérification par le Service informatique pour prévenir l’introduction de virus.
Télétravail et BYOD Article 9.Télétravail Article 9. 1Règles générales L’utilisateur veillera en particulier à ne transmettre aucune information à des tiers et à verrouiller l’accès de son matériel informatique afin de s’assurer qu’il en soit le seul utilisateur. Les ressources informatiques servant aux fins professionnelles de l’utilisateur ne peuvent être connectées que sur un réseau connu et correctement sécurisé (WPA2). Les outils informatiques mis à la disposition de l’utilisateur par l’établissement doivent être gardés à jour et suivre les règles de sécurité précédemment édictées. Quelques conseils de bonnes pratiques :
Connexion à distance : VPN, messagerie professionnelle ;
Limite : contournement des outils de suppression à distance des données ;
S’isoler pour travailler sur des données sensibles.
Article 9. 2 Usage du VPN ARCADO met à la disposition des utilisateurs en télétravail la possibilité d'accéder au réseau de l’établissement depuis l'extérieur via un VPN (Virtual Private Network). L’utilisation de ce service implique l'acceptation des règles ci-dessous. Le non-respect de ces règles entrainera la suspension immédiate et définitive de l'accès à ce service pour l'utilisateur contrevenant.
L'accès au VPN n’est accordé qu’aux utilisateurs qui présentent un besoin réel ne pouvant être couvert d’une autre façon et uniquement sur instruction du supérieur hiérarchique de l’utilisateur ;
Le Service informatique se réserve le droit, après avoir analysé la situation de l’utilisateur, de l’orienter vers d'autres modes d'accès plus adaptés à ses besoins ;
L'accès au VPN est accordé exclusivement aux ordinateurs portables gérés par le Service informatique et identifiés comme étant autorisés à accéder au VPN ;
L'accès au VPN est strictement personnel. Il ne doit être ni partagé avec d’autres personnes, ni utilisé à des fins autres que professionnelles ;
L’utilisation du VPN obéit aux principes énoncés dans la présente charte.
L’usage du VPN par l’utilisateur fait l’objet d’un enregistrement automatisé. Les usages effectués sur Internet de la part des utilisateurs du Système d’information sont enregistrés automatiquement et peuvent être contrôlés en direct.
Article 10.BYOD L’utilisation de ressource ou équipement externe, personnel à l’utilisateur, implique nécessairement des vulnérabilités sécuritaires et une atténuation du contrôle de l’établissement visant à maîtriser les risques découlant de l’utilisation des outils informatiques. Par principe, les ressources et équipements des utilisateurs de l’établissement non fournis par celle-ci sont interdits dans le cadre de la réalisation des missions et activités professionnelles. Est donc prohibé et, le cas échéant sanctionné, l’usage de matériels et équipements personnels pour se connecter au réseau local de l’établissement ou pour échanger, stocker, faire transiter des informations professionnelles ou des informations se rapportant à l’activité de l’entreprise. Il est toléré d’utiliser l’application permettant la double authentification sur un équipement personnel. Droit à la déconnexion Article 11. 1Dispositions générales Les outils numériques exigent de nouvelles protections pour garantir l’effectivité du droit en matière de temps de travail, de repos et de santé des utilisateurs. L’enjeu est de garantir un réel droit à la déconnexion par rapport à la vie professionnelle afin de préserver la vie privée et la santé. Pour obtenir ce droit effectif à la déconnexion, il est nécessaire d’encadrer l’usage de outils numériques. Les outils numériques visés sont :
Les outils numériques physiques : ordinateurs, tablettes, téléphones portables, réseaux filaires, etc. ;
Les outils numériques dématérialisés permettant d’être joint à distance : messagerie électronique, logiciels, connexion wifi, internet/intranet etc.
Les salariés ne sont jamais tenus de répondre à des mails, messages ou appels téléphoniques à caractère professionnel pendant leurs congés payés, leurs temps de repos, leurs absences et en dehors de leurs heures habituelles de travail qui sont celles durant lesquelles le salarié demeure à la disposition de l’entreprise.
Article 11. 2Mesures luttant contre l’usage d’outils numériques et de communication professionnel en dehors du temps de travail Dans le but d’éviter la surcharge informationnelle, les utilisateurs sont invités à :
S’interroger sur le moment opportun pour adresser un courriel, un message ou joindre un collaborateur par téléphone ;
Ne pas solliciter de réponse immédiate si ce n’est pas nécessaire ;
Privilégier les envois différés lors de la rédaction d’un courriel en dehors des horaires de travail.
Article 11. 3 Déconnexion en dehors du temps de travail Les périodes de repos, congé et suspension du contrat de travail doivent être respectées par l’ensemble des personnels de l’établissement. Sauf urgence avérée, les responsables hiérarchiques ne peuvent pas contacter leurs collaborateurs en dehors de leurs horaires de travail telles que définies au contrat de travail ou par l’horaire collectif applicable. Concernant plus particulièrement l’usage de la messagerie électronique professionnelle, les salariés ne sont pas tenus de prendre connaissance des courriels qui leurs sont adressés ou d’y répondre en dehors de leurs temps de travail. Il en est de même des appels ou messages téléphoniques professionnels reçus pendant les temps de repos ou de congé. Tout dérogation doit être justifiée par la gravité, l’urgence et/ou l’importance du sujet en cause.
Article 11. 4 Mesures de contrôles Des contrôles des journaux de connexions peuvent être effectués par les personnes en charge de la gestion du Système d’information sous le contrôle d’ARCADO afin de s’assurer que les connexions aux outils professionnels de communication à distance en dehors du temps de travail des salariés ne soient pas excessives.
Article 12. Modalités de contrôle Les utilisateurs sont informés que de multiples traitements sont réalisés afin de surveiller l’activité du système d’information et de communication. Sont notamment surveillées et conservées les données relatives :
À l’utilisation des logiciels applicatifs, pour contrôler l’accès, les modifications suppression de fichiers ;
Aux connexions entrantes et sortantes au réseau interne, à la messagerie et à internet, pour détecter les anomalies liées à l’utilisation de la messagerie et surveiller les tentatives d’intrusion et les activités, telles que la consultation des sites web ou le téléchargement de fichiers ;
L’attention des utilisateurs est attirée sur le fait qu’il est ainsi possible de contrôler leur activité et leurs échanges. Des contrôles automatiques et généralisés sont susceptibles d’être effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.
En cas de dysfonctionnement constaté par le Service informatique, il peut être procédé à un contrôle manuel et à une vérification de toute opération effectuée par un ou plusieurs utilisateurs. Lorsque le contrôle porte sur des fichiers d’un utilisateur et sauf risque ou événement particulier, le Service informatique ne peut ouvrir les fichiers identifiés par le salarié comme « PERSONNEL » ou « PRIVE » contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier. Le contenu des messages à caractère personnel des utilisateurs ne peut en aucun cas être contrôlé par le Service informatique. L’ensemble des activités est enregistré pendant une durée d’un an. Ces données ne peuvent plus être exploitées après cette période.
Sanctions Le manquement aux règles de sécurité et bonnes pratiques édictées dans la présente charte est susceptible d’entraîner à l’encontre de son auteur des mesures telles qu’un rappel des règles applicables, une limitation ou suspension d’usage de tout ou partie du système d’information ou, proportionnellement à la gravité des faits reprochés, des sanctions disciplinaires. Dès lors qu’une sanction disciplinaire est susceptible d’être prononcée à l’encontre d’un salarié, celui-ci est informé dans un bref délai des faits qui lui sont reprochés, sauf risque ou événement particulier. La responsabilité civile contractuelle et délictuelle de l’utilisateur est susceptible d’être engagée en cas de faute commise par ou au moyen des outils informatiques de communication mis à sa disposition dans les conditions prescrites par le Code civil. En cas de commission d’infraction par ou au moyen des outils informatiques ou de communication mis à sa disposition, l’utilisateur peut également voir sa responsabilité pénale engagée dans les conditions prescrites par le Code pénal. Risques encourus au titre des lois du 6 janvier 1978, du 4 juillet 1985, du 5 janvier 1988, du 4 août 1994 et du 30 décembre 1990, modifiée le 26 juillet 1996 et le décret du 17 mars 1999. L’utilisateur est donc avisé du fait qu’un usage abusif ou illicite des moyens de communication et des ressources informatiques mis à sa disposition par ARCADO peut donner lieu au dépôt d’une plainte en justice ou une requête en indemnisation du dommage.
La loi informatique et libertés du 6 janvier 1978, modifié le 2 décembre 2018 avec l’entrée en vigueur du RGPD, définit les conditions dans lesquelles des traitements de données personnelles peuvent être opérés. Elle institue au profit des personnes concernées par les traitements des droits que la présente invite à respecter tant à l’égard des utilisateurs que des tiers. La société ARCADO s’est dotée d’une politique générale de protection des données dont chaque salarié peut prendre connaissance.
La présente charte est communiquée individuellement à chaque utilisateur.
Elle est applicable à compter du 1er septembre 2023 Elle a été adoptée après information et consultation du comité social et économique en date du 22/08/2023 ANNEXE : GESTION DES EMAILS La boîte mails est devenue un outil de stockage qui présente
plusieurs inconvénients :
Porte privilégiée des hackers
Risque manifeste pour la vie privée des personnes
Usage chronophage
Une bonne gestion de sa boîte emails est donc la clé pour éviter au maximum tout risque extérieur, mais également pour se faciliter le travail.
Bonnes pratiques :
Déclarer le traitement dans le registre de traitement de données personnelles
Utiliser un
anti-spam
Créer une arborescence par thématiques, durée de validité des messages… pour faciliter la recherche
Ne laisser dans la boîte de réception que les emails non traités, les autres doivent être :
Archivés,
Rangés sur le serveur dans le dossier concerné
Rangés dans l’arborescence créée jusqu’à effacement ou archivage
Appliquer
une action à la lecture de chaque email : traiter, tagguer, transférer, supprimer ou ranger.
Paramétrer un
classement automatique
Nettoyer sa messagerie à intervalle régulière
Supprimer les pièces jointes des mails et les stocker sur le réseau plutôt qu’en boîte mails
Supprimer tous les mails qui n’ont pas besoin d’être conservés dès qu’ils sont traités
Se désabonner des newsletters inutiles
Prévoir une
politique d’archivage/de suppression
Se former aux risques de cyber-attaques
Identifier les messages qui sont professionnels et ceux qui sont personnels. Sur ce point :
Le contrôle de l'employeur sur les mails reste possible avec mesure :
Possibilité de mettre en œuvre des moyens techniques de contrôle (outils de mesure de fréquence des messages envoyés ou reçus, de la taille des fichiers, des outils d'archivage des messages échangés).
L’information du salarié au contrôle, via la charte informatique, par exemple, est obligatoire. Également pour la durée de conservation des messages.
La présence du salarié en cas de consultation est obligatoire. En cas de dérogations, celles-ci doivent être connues de l’intéressé.
Le contrôle ne doit pas être motivé pas le seul objectif de surveillance des salariés ; il doit avoir un intérêt légitime et être animé par des motifs strictement professionnels.
Durée de conservation
Mails et dossiers de classement : en général,
6 mois avant archivage puis destruction au bout d’un an ;
Les messages devant être conservés doivent l’être par intégration des éléments dans le dossier adéquat hors messagerie (sur serveur).
Fichiers journaux : 3 mois
Logs de connexion :
1 semaine
Contacts : sur la durée d’existence du lien d’échange => mise à jour à réaliser régulièrement.
Définir la durée de conservation des données issues des comptes de messagerie des salariés sortants => par exemple, 1 mois après le départ de l’agent.
