MANUEST Concept SAS, sise 11 rue Ampère, ZI La Bruche à DUTTLENHEIM (67120), représentée par Monsieur XXX, en sa qualité de XXX, ci-après désignée « l’entreprise », n° SIRET 401 369 772 00025, code APE 2822Z;
Dans le cadre de son pouvoir patronal, afin d’établir un socle de bonnes pratiques informatiques, pour la continuité du respect des dispositions légales comme conventionnelles en vigueur, ce en assurant l’adaptabilité et l’actualisation des règles de l’entreprise, la société
MANUEST Concept SAS énonce la présente Charte Informatique, portant sur la bonne utilisation du système d’information fourni à ses salariés.
Certaines des dispositions de la présente Charte étant destinées à être annexées au
Règlement Intérieur de la société MANUEST Concept, il est convenu que ce document revêt une nature hybride qui lui incombe de faire l’objet des mêmes modalités de mise en place que ledit règlement.
La présente Charte Informatique est établie en conformité avec, et sous inspiration :
De la
loi n°2016-1088 du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels, dite « Loi El Khomri » ;
Du
règlement n°2016/679, Règlement Général de l’Union Européenne sur la Protection des Données, dit « RGPD » ;
Des recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information, dite «
ANSSI » ;
Des recommandations de la Commission Nationale de l’Informatique et des Libertés, dite «
CNIL ».
Conformément aux dispositions énoncées ci-après, il incombe à toute personne concernée de réaliser une
utilisation raisonnée et responsable des ressources informatiques et technologiques mises à sa disposition.
6.1 Principe de la limitation de la durée de conservation PAGEREF _Toc64551532 \h 14 6.2 Anonymisation des données PAGEREF _Toc64551533 \h 15 6.3 Responsable du traitement PAGEREF _Toc64551534 \h 15 6.4 Référentiels de durées de conservation PAGEREF _Toc64551535 \h 15
7 : Droits et devoirs de l’utilisateur PAGEREF _Toc64551536 \h 16
7.1 Droit d'accès de la personne concernée PAGEREF _Toc64551537 \h 16 7.2 Droit de rectification PAGEREF _Toc64551538 \h 16 7.3 Droit à l'effacement (« droit à l’oubli ») PAGEREF _Toc64551539 \h 17 7.4 Droit à la portabilité des données PAGEREF _Toc64551540 \h 17 7.5 Droit et devoir à la déconnexion PAGEREF _Toc64551541 \h 17
8 : Annexes PAGEREF _Toc64551542 \h 18
9 : Publicité et dépôt PAGEREF _Toc64551543 \h 18
Préambule
La société
MANUEST Concept fournit un système d’information à ses salariés afin de leur permettre d’exercer leurs fonctions professionnelles. En conséquence, l’entreprise se dote de la présente Charte Informatique afin de protéger les informations confidentielles qui sont sa propriété ou celle de ses clients et partenaires, mais également en vue de maintenir un environnement de travail professionnel de qualité.
Conformément au règlement européen et autres dispositions sur le sujet, un
Délégué à la Protection des Données, dit « DPD », est désigné par l’entreprise (ou Data Protection Officer, dit « DPO »).
Cette Charte s’applique à l’ensemble de la société
MANUEST Concept. Elle est rendue obligatoire en toutes ses dispositions, non seulement aux salariés de l’entreprise mais également à l’ensemble des personnes qui utilisent, au moins occasionnellement, le système d’information, et qui sont des « utilisateurs ».
Le système d’information, « SI », est mis à la disposition des utilisateurs dans le cadre d’un usage professionnel. L’usage du SI mis à disposition des utilisateurs, à des fins privées, doit rester exceptionnel et avec l’accord préalable de l’entreprise, à la condition qu’il n’entrave en rien l’activité du salarié et ne constitue pas une infraction aux présentes instructions, aux dispositions légales, au règlement intérieur et, le cas échéant, au contrat de travail de l’utilisateur.
L’entreprise reste propriétaire de l’ensemble du système d’information mis à disposition des utilisateurs.
1 : Objet et champ d’application
Cette Charte définit les règles d’utilisation, les utilisateurs concernés et les modalités de contrôle de l’utilisation des systèmes d’informations de la société
MANUEST Concept, avec pour objectif d’assurer le meilleur équilibre possible entre les besoins de sécurité de l’entreprise et le respect des libertés individuelles et collectives, ce notamment en :
Fixant des règles de sécurité préservant l’intégrité des
Technologies de l’Information et de la Communication (TIC) ;
Instaurant des règles d’usage afin de développer un savoir-vivre quant à l’utilisation de ces outils informatiques et de communication au sein de l’entreprise ;
Rappelant et expliquant les règles de responsabilité afin de sensibiliser les utilisateurs quant aux conséquences d’une mauvaise utilisation de ces outils.
1.1 – Utilisateurs concernés
La présente Charte s’applique à l’ensemble des utilisateurs du système d’information global de la société
MANUEST Concept, incluant entre autres :
Les dirigeants et mandataires sociaux ;
Les salariés ;
Les intérimaires ;
Les stagiaires ;
Les employés de sociétés prestataires ;
Les visiteurs occasionnels.
C’est selon les activités et fonctions professionnelles, de l’utilisateur, que le système d’information et ses accès lui sont mis à disposition. Cet accord d’utilisation est soumis à l’approbation de la société
MANUEST Concept et ne pourra en aucun cas être considéré comme étant définitif. En cas de disparition des raisons à l’origine de la mise à disposition, l’entreprise se réserve le droit de mettre un terme à ces accès, ou de les adapter.
Il appartient aux salariés de la société de s’assurer de faire accepter la présente Charte à toute personne à laquelle ils permettraient l’accès au système d’information. L’utilisateur s’interdit de permettre l’utilisation du système d’information de la société
MANUEST Concept à toute personne étrangère à l’entreprise, et/ou pour un motif qui ne serait pas professionnel, sans autorisation expresse préalable délivrée par le service informatique.
1.2 – Périmètre du système d’information
Le système d’information et de communication global de l’entreprise tel que désigné dans la présente Charte est notamment constitués des éléments suivants :
En conclusion, et ce aux fins d’assurer la confidentialité et la sécurité informatique du SI, tout matériel connecté au réseau,
y compris le matériel personnel des utilisateurs indiqués à l’article 1.1, est régi par la présente Charte.
2 : Acteurs du réseau
2.1 – Administrateur réseau
La société
MANUEST Concept désigne un administrateur réseau chargé de l’administration du système d’information, et qui en assure le support technique. Il est également chargé des contrôles de conformité.
L’administrateur réseau peut également avoir accès, y compris par l’utilisation de logiciels de prise de main à distance, à l’ensemble des éléments composant le système d’information de l’entreprise, à n’importe quel moment, et ce afin d’effectuer tout acte de protection du système d’information qu’il juge opportun.
L’administrateur réseau créé et tient à jour un historique des interventions de maintenance effectuées à l’aide de ces logiciels de prise de main à distance et s’assure, en cas d’externalisation des opérations de maintenance, que le prestataire et ses préposés n’accèdent qu’aux éléments nécessaires à l’accomplissement de leur mission. Etant susceptible d’avoir accès, dans l’exercice de ses fonctions, à des informations personnelles relatives aux utilisateurs, il est rappelé que l’administrateur réseau s’abstient de divulguer tout ou partie des informations qu’il aura été amené à connaître dans ce cadre, et en particulier les informations relevant de la vie privée de l’utilisateur, ou couverte par le secret des correspondances.
Dans l’hypothèse où les contrôlés effectués par l’administrateur réseau feraient ressortir un risque pour le fonctionnement ou la sécurité du système d’information de la société
MANUEST Concept, ou une atteinte à ses intérêts, il reviendra à l’administrateur réseau d’avertir l’utilisateur du résultat des contrôles effectués, et de lui proposer des solutions adéquates afin d’éviter le renouvellement de cet incident.
Dans l’hypothèse d’une récidive, l’administrateur réseau informera immédiatement le supérieur hiérarchique du non-respect, par l’utilisateur concerné, des dispositions résultantes de la présente Charte, ou du non-respect des solutions préalablement proposées.
2.2 – Responsabilité de l’utilisateur
La société
MANUEST Concept est la première responsable des traitements de données qui ont cours en ses systèmes d’information, et édicte en conséquence les instructions spécifiques à chacun de ses traitements.
En cas d’irrespect des instructions énoncées à la présente Charte et aux autres règles en vigueur au sein de la société
MANUEST Concept, l’utilisateur devient personnellement responsable de l’utilisation qu’il fait du système d’information mis à sa disposition. Il convient donc d’y respecter l’ensemble des règles de savoir-vivre dans l’usage des systèmes d’information. Modération, politesse, neutralité, discrétion doivent notamment s’imposer aussi bien sur les réseaux informatiques que dans les locaux physiques de l’entreprise.
L’utilisateur s’engage à n’effectuer aucune opération susceptible de nuire, directement ou indirectement, aux relations internes et externes de l’entreprise, ou de mettre en péril la sécurité du système d’information de la société
MANUEST Concept. De manière générale, l’utilisateur s’engage à respecter les règles d’accès et d’utilisation énoncées ci-après.
Il est interdit à l’utilisateur d’abuser de ses fonctions pour s’octroyer un avantage particulier ou accorder une faveur à d’autres salariés, ou à des tiers, notamment sans l’accord de son supérieur hiérarchique. Il appartient également aux managers de faire respecter la présente Charte à leurs collaborateurs.
Dans l’hypothèse où l’utilisateur utiliserait les systèmes d’information de façon inadéquate et non-conforme, l’entreprise déclinerait alors toute responsabilité. Le non-respect des règles et mesures de sécurité figurant dans la présente Charte engage la responsabilité personnelle de l’utilisateur, dès lors qu’il est prouvé que les faits fautifs lui sont personnellement imputables, et l’expose éventuellement, de manière appropriée et proportionnée au(x) manquement(s) commis, aux sanctions disciplinaires définies par le règlement intérieur de la société MANUEST Concept.
Dans l’hypothèse d’une absence prolongée, ou lors de son départ définitif de l’entreprise, l’utilisateur s’engage à restituer, dans les meilleurs délais ou directement sur sollicitation, l’ensemble des éléments du système d’information en sa possession, et à communiquer à l’administrateur réseau l’ensemble de ses identifiants et mots de passe, ce afin de permettre l’accès aux éléments nécessaires à la poursuite de l’activité de l’entreprise.
3 : Règles d’accès au système d’information
L’accès par l’utilisateur, au système d’information et de communication de la société
MANUEST Concept, est conditionné à une identification individuelle, permettant l’attribution de droits d’accès propres à chacun.
Les accès à certains éléments du système d'information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, le réseau, certaines applications ou services interactifs, etc.) sont protégés par des paramètres de connexion (identifiant, mot de passe). L’utilisateur s’engage à respecter la politique de gestion des accès en vigueur dans l’entreprise.
Les moyens d’authentification (code confidentiel, carte à puce, etc.) sont strictement personnels et ne doivent servir qu’à l’usage propre de l’utilisateur, qui est responsable de leur confidentialité.
3.1 – Identifiants et mots de passe
L’identifiant de base de chaque salarié est défini par le service informatique, en fonction de sa propre identité.
Bien que la modification du mot de passe initial soit personnelle, l’utilisateur s’engage à en respecter le degré de complexité exigé. L’utilisateur s’engage notamment à respecter les considérations d’efficacité du mot de passe, laquelle dépend du nombre de caractères alphanumériques, de leur diversité/originalité, et du renouvellement régulier dudit mot de passe.
Au jour de rédaction de cette Charte, la règle est que le mot de passe :
Doit être au minimum composé de 14 caractères, dont 1 lettre minuscule, 1 lettre majuscule, 1 chiffre et/ou caractère spécial, ;
Ne doit pas contenir le nom, prénom ou login de l’utilisateur ;
Doit être régulièrement modifié (En l’état : tous les ans) ;
Doit être différent des 3 précédents mots de passe utilisés ;
Doit rester confidentiel
3.2 – Verrouillage de session
Dans un souci de confidentialité et de sécurité, l’utilisateur doit veiller à verrouiller sa session dès lors qu’il quitte son poste de travail.
3.3 – Installation de logiciels
Dans un souci de confidentialité et de sécurité, l’utilisateur ne doit pas installer, copier, modifier ou désinstaller un ou plusieurs logiciels sur son poste informatique sans l’accord du service informatique.
3.4 – Absence de l’utilisateur
En cas d’absence, l’utilisateur est responsable de la restitution de l’ensemble des éléments du système d’information en sa possession et de la communication de ses identifiants et mots de passe.
En conséquence, l’utilisateur reconnaît et accepte que la société
MANUEST Concept se réserve le droit d’accéder, dès son départ, à l’ensemble de ses messages et fichiers professionnels, et puisse utiliser son adresse de messagerie électronique afin d’assurer la continuité de son activité.
Lors de son départ définitif, l’utilisateur doit supprimer l’ensemble des répertoires, messages et données
identifiées comme personnelles. A défaut, ceux-ci seront supprimés par l’administrateur réseau. A l’inverse, l’utilisateur s’interdit, avant son départ, de détruire des informations et des données professionnelles.
Sauf nécessité liée à la continuité du service et pour un temps raisonnable qui ne saurait excéder trois mois, le compte messagerie de l’utilisateur définitivement sorti peut-être supprimé dès le lendemain de son départ.
Dans le cas où le compte messagerie d’un utilisateur devrait rester actif même après son départ, une redirection des messages peut être mise en place, par le service informatique, vers l’utilisateur ayant repris le poste de l’utilisateur sorti, ou toute autre personne occupant une fonction similaire. Ses identifiants sont également désactivés.
4 : Règles d’utilisation des ressources des Systèmes d’Information
La sécurité des TIC (Technologies de l’Information et la Communication) est cruciale pour tout utilisateur qui produit, traite et stocke des informations et des travaux. En outre, ces outils traitent et archivent nombre de données nominatives qui concernent tous les salariés de la société
MANUEST Concept. Il relève donc de l’intérêt et de la responsabilité de chacun d’en protéger l’intégrité.
L’entreprise s’engage, pour sa part, à mettre en œuvre tous les moyens pertinents afin de garantir la meilleure sécurité possible des installations mises à la disposition des utilisateurs. C’est notamment pour cette raison que tout utilisateur devra, préalablement à l’installation de nouveaux logiciels, remplir une demande préalable d’autorisation d’installation auprès du service informatique, afin d’éviter toute faille dans la sécurité informatique.
L’entreprise prend donc les engagements suivants :
Garantir au mieux la sécurité globale des ressources mises à la disposition des utilisateurs par la mise en place d’outils et systèmes performants ;
Prendre toutes les précautions utiles lors de la collecte et le traitement de données nominatives ou personnelles ;
Acquérir les droits d’usage ou de propriété intellectuelle nécessaires à l’utilisation de ces ressources dans le cadre professionnel ;
Garantir un archivage des données conforme à la législation applicable en matière de conservation des informations ;
Permettre une utilisation raisonnable et raisonnée des ressources pour répondre à des obligations personnelles ;
Informer les utilisateurs de toute modification des règles, procédures ou moyens de sécurité ;
L’utilisateur s’engage :
À connaître et appliquer l’ensemble des dispositions de la présente Charte ;
À respecter les obligations de loyauté et de discrétion ;
À respecter la loi et à proscrire tous agissements pénalement répréhensibles ;
À préserver la performance des outils et l’intégrité des données ;
À utiliser les ressources à des fins professionnelles pendant le temps de travail ;
À utiliser les ressources sans abus dans les limites habituelles des nécessités personnelles.
Il est précisé que la responsabilité de l’utilisateur n’est pas limitée aux seuls exemples énoncés dans la présente Charte, car il est impossible de lister de manière exhaustive la conduite à tenir pour toutes les possibilités d’utilisation du système d’information.
En conséquence, il appartient à l’utilisateur d’évaluer la situation et d’agir, au cas par cas, dans le respect des règles de sa profession, ainsi que dans le respect des règles générales de la morale et de l’éthique, en veillant à préserver, en toute circonstances, l’intégrité du système d’information de la société
MANUEST Concept, des droits et des intérêts de celle-ci.
4.1 – Utilisation des équipements informatiques et périphériques
L’utilisateur s’engage à garder soigneusement les équipements informatiques mis à sa disposition, et informe l’administrateur réseau de toute anomalie constatée dans le fonctionnement de ceux-ci.
Il revient à l’utilisateur d’assurer la sauvegarde régulière des données contenues dans les équipements informatiques mis à sa disposition, selon les procédures de sauvegarde communiquées par la société
MANUEST Concept, à savoir par l’utilisation des lecteurs et serveurs réseaux. Il est précisé que les données stockées « en local », c’est-à-dire stockées dans le disque dur des ordinateurs ou dans la mémoire des smartphones, ne sont pas sauvegardées en externe.
L’utilisateur doit respecter les procédures définies par la société
MANUEST Concept afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité, afin d’éviter la perte de données (ex : vol de clé USB, perte d’un ordinateur portable contenant d’importantes quantités d’informations confidentielles, etc.).
L’utilisateur s’engage également à signaler, sans délai et à son responsable hiérarchique, la perte ou le vol de tout ou partie des équipements informatiques mis à sa disposition.
4.2 – Utilisation de la messagerie électronique
Selon et pour l’exercice de son activité professionnelle, chaque salarié dispose d’une adresse de messagerie électronique attribuée par le service informatique.
L’attention des utilisateurs est attirée sur le fait qu’un message électronique a la même portée qu’un courrier manuscrit et peut rapidement être communiqué à des tiers. Il convient de prendre garde au respect d’un certain nombre de principes, afin d’éviter les dysfonctionnements du système d’information, de limiter l’envoi de messages non sollicités et de ne pas engager la responsabilité civile ou pénale de la société MANUEST Concept et/ou de l’utilisateur.
Les messages électroniques reçus sur la messagerie professionnelle font l'objet d'un contrôle antiviral et d'un filtrage anti-spam. Les utilisateurs sont invités à informer la direction informatique de tout dysfonctionnement qu'ils constateraient dans ce dispositif de filtrage.
L’utilisateur ne doit pas ouvrir, ni répondre à des messages électroniques tels que spam, messages électroniques répétés, ni les transférer, lorsque ceux-ci sont reçus à son insu sur sa messagerie électronique professionnelle et qu’ils ne présentent aucun rapport avec ses fonctions et attributions au sein de la société
MANUEST Concept. Il s’engage, dans pareil cas, à les détruire immédiatement et à avertir l’Administrateur Réseau en cas d’abus manifeste de fréquence ou de volume.
Il est recommandé d’agir avec prudence en cas de redirection sur des messageries externes pour lire et/ou répondre sur la liste de diffusion interne, à partir de l’extérieur.
Sont interdits, sans que cette liste ne soit exhaustive :
Toute tentative d’interception de communications privées protégées par le secret des correspondances ;
La consultation ou l’utilisation
abusive d’une autre messagerie électronique que la messagerie électronique professionnelle fournie par l’entreprise ;
L’envoi ou le transfert de messages non sollicités, en dehors des relations professionnelles normales avec les interlocuteurs habituels de l‘utilisateur ou de l’entreprise ;
Le transfert de messages électronique en l’absence de but professionnel légitime, dans des circonstances de nature à porter préjudice à l’auteur du message originel ;
L’envoi de messages dont le contenu est susceptible de porter atteinte à la dignité d’autrui, ou est contraire aux bonnes mœurs ou à l’ordre public ;
L’envoi en masse de messages à une pluralité de destinataires, même consentants, lorsque cet envoi n’est pas d’ordre professionnel ;
L’envoi, ou l’ouverture si c’est en cas de réception, de fichiers exécutables susceptibles de constituer une menace pour la stabilité et la sécurité du système d’information de la société
MANUEST Concept;
La participation à des chaînes de lettres ;
Plus généralement, l’utilisation de la messagerie électronique dans le cadre d’une activité illégale, quelle qu’elle soit ;
L’usurpation d’identité.
De manière générale, il incombe à tout utilisateur de vérifier, avant tout envoi de courrier électronique, l’adéquation du niveau de confidentialité de celui-ci, et d’observer un devoir de réserve et de mesure dans son mode d’expression.
Tout courrier électronique envoyé par erreur à un utilisateur doit être transféré au destinataire légitime dès lors que celui-ci est identifié, et faire l’objet d’une information en ce sens auprès de l’émetteur initial dudit courrier.
L’utilisateur souhaitant s’abonner à une liste de diffusion doit s’assurer que l’expéditeur respecte des règles de sécurité équivalentes à celles en vigueur au sein de l’entreprise, notamment en matière d’anti-virus, par exemple en consultant la Charte de la liste de diffusion communiquée par l’organisme à l’origine de cette liste de diffusion.
En cas d’absence programmée, l’utilisateur devra activer la fonction de délégation ou de notification d’absence afin de prévenir toute discontinuité dans le traitement des messages et permettre à ses interlocuteurs de prendre toutes mesures appropriées.
L’ensemble de ces dispositions s’appliquent également aux messageries instantanées (Google Hangouts, etc.).
4.3 – utilisation du caractère « Personnel »
L’ensemble des fichiers créés par l’utilisateur et messages échangés sont considérés comme présentant un caractère professionnel.
Toutefois, l’utilisateur qui serait amené à constituer des fichiers de données personnelles peut, après s’être assuré de la conformité de leur existence et de leur utilisation avec la législation en vigueur, créer lesdits fichiers personnels et les stocker dans un répertoire spécifique portant la mention «
personnel ».
Tout utilisateur prend l'engagement de ne pas cacher des informations professionnelles en les plaçant sous un dossier dit «
personnel » ; cette obligation découle du principe selon lequel, conformément aux dispositions de l'article L1222-1 du Code du travail, le contrat de travail est exécuté de bonne foi.
L’utilisateur s’engage à identifier clairement, dans la partie « Objet : » du mail, ses messages présentant un caractère personnel, sous la mention «
personnel ». Il est interdit à l’utilisateur de qualifier de « personnel » un message à caractère professionnel.
L’utilisateur s’interdit expressément de prendre connaissance d’informations à caractère « personnel » qui ne lui seraient pas adressées et/ou détenues par d’autres utilisateurs, partenaires ou clients de l’entreprise, quand bien même ceux-ci ne les auraient pas explicitement protégées, ce dans la mesure du possible.
4.4 – Utilisation d’Internet
L’utilisation de tout système informatique relié à un réseau suppose, de la part des utilisateurs, l'observation de règles permettant d’assurer la sécurité, les performances des traitements, la préservation des données confidentielles ainsi que l’émission et la réception de données dans le respect des législations applicables. Seuls ont vocation à être consultés les sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle.
Pour des raisons de sécurité et/ou de déontologie, l'accès à certains sites peut être limité ou prohibé par le service informatique de la société
MANUEST Concept, qui est habilité à imposer des configurations du navigateur et à installer des mécanismes de filtrage limitant l’accès à certains sites.
Seule la consultation de sites ayant un rapport avec l’activité professionnelle est autorisée. En particulier, sont interdits :
L’utilisation de l’Internet à des fins commerciales personnelles en vue de réaliser des gains financiers ou de soutenir des activités lucratives ;
La création ou la mise à jour, au moyen de l’infrastructure de la société
MANUEST Concept, de tout site Internet, notamment des pages personnelles ;
La connexion à des sites Internet dont le contenu est contraire à l’ordre public, aux bonnes mœurs ou à l’image de marque de l’entreprise, ainsi qu’à ceux pouvant comporter un risque pour la sécurité du système d’information de l’entreprise.
L’attention des utilisateurs est attirée sur le fait que la plupart des sites Internet qu’ils visitent gardent une trace de leur passage. Dans de nombreux cas, ces sites Internet identifient précisément la provenance du visiteur et son identité électronique. Il est, en conséquence, fortement recommandé à l’utilisateur d’effectuer une suppression régulière totale des fichiers temporaires et autres cookies enregistrées sur son disque dur.
4.5 – Utilisation d’Intranet
L’ensemble des données et informations accessibles depuis l’Intranet de la société
MANUEST Concept présentent un caractère strictement confidentiel. Aussi, l’utilisateur s’interdit toute consultation ou utilisation de celles-ci à l’extérieur de l’entreprise et toute communication de celles-ci à des tiers.
L’utilisateur s’interdit également d’accéder ou de tenter d’accéder à des informations et données auxquelles il n’a pas, en raison de ses fonctions, accès.
Il s’interdit enfin de détourner les informations et données accessibles depuis l’Intranet de l’entreprise à des fins étrangères à celles pour lesquelles elles sont accessibles.
L’utilisateur reconnaît notamment que l’ensemble des informations, données, photographies, accessibles sur l’Intranet sont protégés par des droits de propriété intellectuelle appartenant à la société
MANUEST Concept et s’interdit donc d’en faire une quelconque exploitation à l’extérieur de l’entreprise, notamment à des fins étrangères aux missions qui lui sont confiées.
4.6 – Utilisation du téléphone
Les modalités de mise à disposition par l’entreprise, au profit des utilisateurs de lignes de téléphones, fixes ou mobiles, sont individuellement déterminées, ce en fonction des missions confiées à l’utilisateur.
Par ailleurs, sont interdits, et de façon non-exhaustive :
L’utilisation des lignes fixes ou mobiles, mises à la disposition de l’utilisateur, pour effectuer des appels internationaux sans lien direct avec l’exercice de ses missions, sauf accord préalable express du responsable hiérarchique. Les éventuels surcoûts liés à l’utilisation personnelle restent à la charge de l’utilisateur ;
L’utilisation abusive d’un téléphone mobile personnel pendant les heures de travail.
Les utilisateurs sont informés que les relevés de communication peuvent faire l’objet d’un contrôle.
4.7 – Utilisation des badges
Concernant les utilisateurs disposant d’un badge attribué de manière nominative, à des fins de gestion du temps de travail, toute perte, oubli, ou vol doit être immédiatement signalé au responsable hiérarchique.
Exceptionnellement, ce signalement entraînera une déclaration manuelle du temps de travail, dans l’attente de retrouver ledit badge, ou de son remplacement définitif.
Lorsque l’utilisateur quitte les effectifs de l’entreprise, les badges doivent impérativement être restitués à la société
MANUEST Concept.
5 : Surveillance et contrôle
Afin d’assurer la sécurité du système d’information, de veiller au respect des règles définies à la présente Charte, la société
MANUEST Concept se réserve le droit de surveiller l’utilisation faite des moyens de communication électronique et de procéder à des contrôles de l’utilisation des systèmes d’information, ce dans le respect du secret de la correspondance privée tel que défini par l’article 9 du Code Civil.
Ainsi, un système de filtrage est mis en place, en particulier :
Pour les messages entrants et sortants avec un contrôle antiviral ;
Pour les messages dont la taille ou la liste de destinataires est trop importante ;
Pour bloquer, sur la base d’une liste de « mots clefs » des messages ou l’accès à des sites non autorisés.
Plus généralement, tout filtrage, nécessaire à la préservation de la sécurité du système d’information et de communication de la société
MANUEST Concept, peut être mis en œuvre.
Par ailleurs, l’entreprise peut également :
Faire des contrôles épisodiques ;
Et opérer des investigations, notamment dans les cas suivants :
Utilisation contraire à la déontologie et à la législation en vigueur ;
Usage abusif à des fins privées.
Les représentants du personnel seront avertis de ces contrôles, et pourront demander à y assister ou à tout le moins à être informé du déroulé de procédure, de son commencement jusqu’à sa conclusion.
Ce droit de surveillance et de contrôle peut s'exercer sur l'ensemble des outils constitutifs du réseau informatique (postes de travail, serveurs, dispositifs de sauvegarde, accès Internet téléphonie, etc…) tant au regard de l'opération effectuée que de sa durée.
Ces mesures de surveillance et de contrôle devront être mises en place proportionnellement à l’objectif poursuivi, et pourront être :
5.1 – Gestion de flux
La société
MANUEST Concept a mis en place un mécanisme de QOS (Quality Of Services) permettant la priorisation des flux informatiques entre chacun des sites et à l’intérieur même du réseau informatique, ceci afin de garantir la qualité du réseau dans son ensemble.
Ainsi
un contrôle du contenu de ces flux est mené de manière aléatoire et régulière.
A titre d’exemple, les flux dits « vidéos » et/ou « audios » sont catégorisés comme étant moins prioritaires que les flux dits « métiers », comme les progiciels M3 ou e-deal.
5.2 – Analyse de contenu
Si nécessaire, la société
MANUEST Concept se réserve la faculté d’assainir ses flux réseaux en analysant le contenu des données qui y transitent.
Cette analyse de contenu permet au service informatique de renforcer les contrôles de sécurité, d’améliorer la gestion du système d’information et de communication de l’entreprise, de maximiser la productivité des utilisateurs tout en identifiant les problèmes de téléchargement. Dans ce cadre, l'employeur aura la possibilité de cerner les abus, ainsi que de contrôler indirectement si l'appellation « personnel » n’est pas abusive.
5.3 – Vidéo-surveillance
Afin d’assurer la meilleure sécurité de son personnel et de ses biens, la société
MANUEST Concept a placé ses locaux sous vidéosurveillance. Les images enregistrées dans ce dispositif ne sont pas utilisées à des fins de surveillance du personnel, ni à des fins de contrôle des horaires. La base légale du traitement est l’intérêt légitime, ce conformément aux dispositions du Règlement européen sur la Protection des Données.
Les employés de l’entreprise ainsi que les visiteurs occasionnels de la société
MANUEST Concept sont donc susceptibles d’être filmés.
Les images peuvent être visionnées, notamment en cas d’incident, ce par le personnel habilité et par les forces de l’ordre. Les personnels de l’entreprise en charge de la maintenance du matériel peuvent également accéder aux images, ce à cette seule fin.
La durée de conservation de ces images est initialement fixée à 1 mois. En cas d’incident, lié à la sécurité des personnes et/ou des biens, les images de vidéosurveillance peuvent toutefois être extraites du dispositif. Ces images sont alors conservées sur un autre support, le temps du règlement des procédures liées à cet incident et accessibles aux seules personnes habilitées dans ce cadre.
5.4 – Contrôle exceptionnel de données « personnelles »
Par exception, et conformément à l’article L1121-1 du Code du travail,
la société MANUEST Concept conserve un droit d’accès aux fichiers et messages identifiés comme étant « personnels », ce dans les conditions suivantes :
Que l’utilisateur soit présent au moment de l’accès aux données, ou que l’utilisateur absent en ait été avisé au préalable ;
Que cette atteinte à la vie privée du salarié ou au secret des correspondances soit justifiée et proportionnée au but recherché. Pour exemple, le but recherché peut consister à éviter la mise en cause de la responsabilité de la société
MANUEST Concept, ou éviter toute activité pouvant nuire gravement à l’activité de l’entreprise.
Les données collectées à l'occasion du contrôle peuvent être conservées pendant une durée maximum de deux mois à l'issue des opérations de contrôle, sauf en cas de poursuites disciplinaires et/ou de nécessité d'opérer des investigations complémentaires. Le droit de surveillance de l'employeur s'exercera dans le respect des droits et devoirs des utilisateurs.
Ces contrôles peuvent notamment porter sur :
Les sites les plus visités ;
Les services de l’entreprise contractés par l’utilisateur ;
Les accès, autorisés ou non, aux informations et données de l’entreprise ;
Le nombre de messages électroniques échangés, leur taille, et le format des pièces jointes ;
Le poids, le mode d’utilisation et le flux des messageries instantanées, ainsi que le type de messagerie instantanée utilisée ;
Les durées de connexion ;
Les logs (journal d’appels) des appels téléphoniques émis ou reçus par l’utilisateur, ainsi que leur destination, nationale ou internationale.
Les contrôles sont effectués de manière anonyme, et ne recouvre un caractère nominatif qu’en cas d’abus manifeste constaté dans l’utilisation faite par l’utilisateur du système d’information de l’entreprise.
Dans toutes les hypothèses où les contrôles effectués permettraient de constater le non-respect par l’utilisateur des prescriptions de la présente Charte, celui-ci pourra se voir infliger les sanctions définies dans le Règlement Intérieur, en fonction de la gravité des faits et/ou de leur conséquence sur le préjudice subi par l’entreprise. Les procédures de sanction définies dans le Règlement Intérieur sont applicables à toute violation des dispositions de la présente Charte.
Les sanctions peuvent également consister en des restrictions d’accès au système d’information de l’entreprise.
Tout manquement est également susceptible d’engager la responsabilité de l’utilisateur sur le plan civil comme pénal, l’utilisateur devant assumer les entières conséquences légales et pécuniaires de sa responsabilité dans l’utilisation du système d’information mis à sa disposition.
6 : Données personnelles
Une donnée à caractère personnel correspond à toute information susceptible de
permettre d’identifier, directement ou indirectement, une personne physique. Par exemple : un nom, un numéro client, une adresse courriel professionnelle, un numéro de téléphone, une photographie, une adresse IP, etc.
La société
MANUEST Concept informe les utilisateurs que les données personnelles collectées dans le cadre de leur utilisation du système d’information et des contrôles effectués font l’objet de traitements recensés au service informatique.
Conformément aux dispositions légales énoncées en présentation de la présente Charte, l’utilisateur bénéficie d’un droit d’accès et de rectification aux informations qui le concernent. Pour exercer ce droit, et obtenir communication des informations, il lui revient de s’adresser au service des Ressources Humaines et/ou au Service Informatique.
6.1 Principe de la limitation de la durée de conservation
Le principe de la limitation de la durée de conservation, inhérent à la collecte et à l’utilisation des données personnelles, entraîne la mise en place de différentes mesures d’organisation de la gestion du cycle de vie des données personnelles traitées, et des durées de conservation associées, ce en conformité avec l’article 5 du RGPD. Conformément aux articles L211-1 et suivants du Code du patrimoine, ce principe de la limitation de la durée de conservation est un régime juridique à articuler avec celui des archives publiques.
La société
MANUEST Concept ne pouvant pas conserver des données personnelles de manière illimitée, sauf dans certains cas spécifiques et limités à ce qui est strictement nécessaire, il est convenu que chaque responsable de traitement respecte une durée de conservation cohérente et justifiée au regard de l’objectif de leur traitement.
Le cycle de vie d’une donnée est décomposé selon les 3 phases successives suivantes :
La base active : Cette 1ère étape consiste en l’utilisation courante des données personnelles par les services chargés de la mise en œuvre de leur traitement. Concrètement, cela correspond aux dossiers utilisés quotidiennement par les métiers. Les données sont accessibles, dans l’environnement de travail immédiat, par tous ceux qui sont en charge du traitement des affaires courantes ;
L’archivage intermédiaire : Les données personnelles ne sont plus utilisées pour atteindre leur objectif initial, mais présentent encore un intérêt administratif pour la société MANUEST Concept, ou doivent être conservées pour répondre à une obligation légale. Les données peuvent alors être consultées de manière ponctuelle et motivée, ce par des personnes spécifiquement habilitées ;
L’archivage définitif : Il s’agit des données archivées sans limitation de durée. Cette étape est exceptionnelle, elle est régie par le livre II du Code du patrimoine et relève de la compétence des Archives de France.
La nécessité de chacune des étapes d’archivages doit être évaluée au préalable, dans le cadre d’analyses au cas par cas, et un tri doit être opéré parmi les données personnelles concernées. Une durée différente peut s’appliquer pour chacune des étapes de ce cycle de vie.
Une fois qu’elles sont traitées conformément à leur cycle de vie, les données personnelles doivent être effacées. Lorsqu’un traitement de données poursuit plusieurs finalités, le responsable du traitement doit déterminer la base légale la plus appropriée pour chacune d’elles.
En cas de recours à un sous-traitant pour une opération de traitement, le contrat de sous-traitance doit intégrer les exigences de l’article 28 du RGPD. Le responsable de traitement doit communiquer à son sous-traitant la ou les durées à appliquer au traitement concerné. 6.2 Anonymisation des données
Par dérogation aux mesures d’effacement qui concluent le principe de limitation de la durée de conservation, il est prévu l’alternative du
processus d’anonymisation.
Ce processus doit rendre impossible, pour quiconque, la « réidentification » des personnes concernées. En conséquence, les données anonymisées ne sont plus considérées comme des données à caractère personnel, et la réglementation afférente ne s’applique plus.
6.3 Responsable du traitement
Le responsable de traitement est la personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Il est le référent d’un traitement particulier, que cela soit pour les données que celui-ci héberge, ou les actions dont il est le sujet.
Pour rappel, si le Délégué à la Protection des Données est la personne ayant la charge générale de la protection des données personnelles au sein de la société
MANUEST Concept, cela n’empêche pas les différents responsables applicatifs, chefs de projet, responsables d’exploitation, etc., d’être responsables du traitement particulier dont ils sont les référents, que cela soit pour les données que ceux-ci hébergent, ou les actions dont ils sont les sujets.
6.4 Référentiels de durées de conservation
La présente Charte est le référentiel de base de la société
MANUEST Concept, c’est-à-dire un outil d’aide pour que les différents responsables de traitement puissent être orientés vers les durées de conservation obligatoires, ou recommandées, pour leur(s) traitement(s) particulier(s).
L’orientation des responsables de traitement consiste à la fois au respect des règles énoncées dans cette Charte, et au maintien à jour des références textuelles ou doctrinales spécifiques à chaque traitement.
Ce référentiel de base est complété, détaillé, par des référentiels annexes, qui peuvent être spécifiques à un ou plusieurs services de l’entreprise. Ces référentiels annexes sont notamment rendus nécessaires en cas d’activité particulièrement spécifique, ou en cas d’évolution des législations afférentes. Ce sont des bases de travail distinctes du régime juridique de la présente Charte, et qui ne répondent donc pas des mêmes formalités administratives de mise en place.
Les principaux éléments à faire apparaître dans un référentiel de durée de conservation sont les suivants :
Activités de traitement : c’est l’objectif général, commun aux différentes finalités poursuivies (ex : gestion de la paie) ; seules les activités de traitement les plus fréquentes dans le secteur ciblé sont répertoriées ;
Détails du traitement : cette rubrique permet d’apporter des précisions sur l’activité de traitement visée, au travers de la finalité, en fonction du type de données ou de documents (par exemple : dossier client), ou des personnes concernées (par exemple : données des sous-traitants pour les recherches interventionnelles) ;
Durée de conservation en base active : il s’agit de la durée pendant laquelle les données personnelles sont accessibles dans le cadre d’une utilisation courante par les services opérationnels chargés du traitement ;
Durée de conservation en archivage intermédiaire : c’est la durée prédéfinie pendant laquelle, une fois la finalité atteinte, il est possible, sous conditions, de maintenir les données accessibles à des personnes habilitées ;
Fondements / Textes de référence : ce sont les références textuelles (disposition législative ou réglementaire) ou la production doctrinale de la CNIL dont sont issues les durées listées dans les référentiels ;
Date de mise à jour : il s’agit de la date de dernière vérification des références textuelles ou doctrinales.
Ces référentiels ne sont pas exhaustifs, et certains des traitements mis en œuvre par la société
MANUEST Concept peuvent ne pas y figurer. Par ailleurs, ils ne couvrent que les 2 premières phases du cycle de vie d’une donnée personnelle.
Des référentiels de durée de conservation portant sur des documents et processus internes à la société
MANUEST Concept, et répondant du même formalisme, sont possibles, notamment à des fins d’optimisation de gestion et/ou dans le cadre d’une politique managériale.
7 : Droits et devoirs de l’utilisateur
7.1 Droit d'accès de la personne concernée
La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel et à ses informations.
Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d'être informée des garanties appropriées.
Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement.
7.2 Droit de rectification
La personne concernée a le droit d'obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d'obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
7.3 Droit à l'effacement (« droit à l’oubli »)
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, pour exemple lorsque l'un des motifs suivants s'applique :
Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière ;
La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas de motif légitime impérieux pour le traitement, ou de fondement juridique ;
Les données à caractère personnel ont fait l'objet d'un traitement illicite ;
7.4 Droit à la portabilité des données
Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, ce à la condition que cela soit techniquement possible et que cela ne porte pas atteinte aux droits et libertés de tiers.
7.5 Droit et devoir à la déconnexion
L’utilisation des Technologies d’Information et de Communication (TIC) donne à leurs utilisateurs plus d’autonomie et de souplesse dans l’organisation de leur temps de travail, mais cela peut engendrer des excès.
Le
droit à la déconnexion est défini comme le droit pour l’utilisateur de ne pas être connecté à un outil numérique professionnel (smartphone, ordinateur, tablette, messagerie, logiciels etc.), et/ou de ne pas répondre aux sollicitations professionnelles (courriels, appels téléphoniques, etc.), ce en dehors de son temps de travail. Aucun utilisateur ne saurait être sanctionné ou pénalisé au seul motif de ne pas répondre à une sollicitation professionnelle en dehors de son temps de travail. Ce droit concerne tous les utilisateurs amenés à utiliser ces technologies dans leurs activités professionnelles.
Le respect de ce droit permet à l’utilisateur de préserver sa sphère privée et ainsi mieux concilier sa vie professionnelle et sa vie personnelle, tout en préservant sa santé physique et mentale.
Par ailleurs, la société
MANUEST Concept répond des responsabilités suivantes :
Faire respecter les durées maximales de travail ;
Garantir le temps de repos ;
Réguler la charge de travail ;
Veiller à son obligation en matière de santé et de sécurité au travail (exemple : éviter le risque d’épuisement professionnel) ;
Respecter la vie privée de l’utilisateur.
En conséquence, pour éviter tout risque liée à une connexion excessive, dite « hyperconnexion », la société
MANUEST Concept se réserve la faculté de prendre toutes les mesures nécessaires, notamment les suivantes :
Une
évaluation de la charge de travail de l’utilisateur régulière, prenant en considération ses capacités, les objectifs qui lui sont assignés, ainsi que les moyens mis à sa disposition pour y parvenir ;
Des
actions de sensibilisation et de formation des collaborateurs et des managers ;
Toutes mesures contraignantes de déconnexion automatique de l’utilisateur (fermeture des accès aux outils métiers) ;
Toutes mesures de contrôle du temps de connexion.
Le « droit » à la déconnexion est donc une coresponsabilité de l’utilisateur et de la société MANUEST Concept, qui peut s’assimiler à un « devoir » de déconnexion.
En dehors des situations d’urgences exceptionnelles, du temps de travail habituel ou exceptionnel, et des périodes d’astreinte, il est recommandé de ne pas adresser de courriels ou messages professionnels. Tout utilisateur peut laisser au sein de la société
MANUEST Concept son matériel pendant une absence, notamment pour congés payés.
Il est également recommandé de :
S'interroger sur le moment opportun pour adresser un courriel, un message ou joindre un collaborateur par téléphone ;
Ne pas solliciter de réponse immédiate si ce n'est pas nécessaire ;
Déclarer ses absences pour congé, ou autres motifs, sur les outils de gestion des absences à des fins d’information directe ou indirecte des autres collaborateurs de la société
MANUEST Concept, comme par exemple les calendriers partagés, les outils d’assistance à planification, etc.
Pour les absences de courte durée, paramétrer le gestionnaire d'absence du bureau sur sa messagerie électronique et indiquer les modalités de contact d'un membre de l'entreprise en cas d'urgence ;
Pour les absences de longue durée, prévoir le transfert de ses courriels, de ses messages et de ses appels téléphoniques auprès d’un autre membre de l'entreprise ;
Pour les managers, informer leurs collaborateurs de leur période d’absence ;
S’interroger sur la pertinence des destinataires du courriel et de l’utilisation modérée des fonctions « Répondre à tous » et « Copie à ».
La liste de ces recommandations n’est pas exhaustive. Il est précisé qu’en cas de non-respect des dispositions et recommandations susvisées, la société
MANUEST Concept se réserve le droit d’appliquer toute sanction, proportionnée à la nature des faits constatés, définie par le règlement intérieur.
8 : Annexes
Si la nature des annexes apportées à la présente Charte l’impose, elles feront l’objet des mêmes procédures de consultation, de publicité et de dépôt, que cette dernière.
Selon leur nature, des notes de service comportant des prescriptions générales relevant des matières de la présente Charte, notamment sur l’utilisation des systèmes d’information de la société
MANUEST Concept, sont possibles, ce sans devoir systématiquement recourir auxdites mêmes procédures de consultation, de publicité et de dépôt.
9 : Publicité et dépôt
En application des dispositions du Chapitre II du Titre Ier, Troisième Livre de la Deuxième partie du Code du travail, et notamment de l'article L2312-8, le Comité Social et Economique de la société
MANUEST Concept, a été informé puis consulté le 8 novembre 2024. Les avis émis lors de cette consultation seront transmis à l’Inspection du travail pour contrôle et validation, accompagnés de 2 exemplaires originaux de la présente Charte.
La présente Charte Informatique et entrera en vigueur le 1er janvier 2025, soit au moins 1 mois après l’accomplissement de la dernière formalité d’affichage et de dépôt, conformément aux articles L1321-4 et suivants et R1321-1 et suivants du Code du travail.
En vertu des dispositions du RGPD et de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, tous les salariés de la société
MANUEST Concept ont été personnellement avertis du contenu des prescriptions de la présente Charte, et ce, préalablement à son entrée en vigueur.
Cette Charte annule et remplace les précédentes dispositions qui porteraient sur le(s) même(s) sujet(s).
En tant qu’annexe du règlement intérieur de l’entreprise, la présente Charte sera transmise aux salariés par tout moyen, notamment via les panneaux d’affichages prévus à cet effet.
