PREAMBULE PILLAUD MATERIAUX (la « Société ») met à disposition de ses utilisateurs un système d’information (SI) et des moyens informatiques nécessaires à l’exécution de leurs missions. Celui-ci comprend :
Un réseau informatique (l’ensemble des périphériques informatiques) ;
Un réseau téléphonique (fixe et mobile) ;
Un réseau sans fil (wifi) ;
Un accès internet ;
Un ensemble de logiciels ;
Un écosystème Microsoft 365 (Exchange, OneDrive, Teams etc.)
Une infrastructure hébergée en local ;
D'une manière générale toute ressource informatique physique ou virtuelle.
Dans le cadre de leurs fonctions, les utilisateurs sont conduits à utiliser les ressources informatiques mises à leur disposition par l’entreprise. Les données personnelles et la sécurisation des informations de l’entreprise constituant des éléments essentiels à la Société PILLAUD MATERIAUX, cette dernière a élaboré la présente charte informatique (ci-après, la « Charte »). La Charte Informatique a vocation à servir de guide de bonnes pratiques pour les utilisateurs du SI, conformément à l’obligation de loyauté et de confidentialité à la charge des utilisateurs. Les objectifs sont de :
Garantir le bon fonctionnement de la Société en prévenant les perturbations du Système d’Information,
Promouvoir l’échange rapide, économique et fiable des Informations,
Protéger les données confidentielles et sensibles,
Informer les utilisateurs sur leurs droits et leurs obligations, ainsi que sur les contrôles qui peuvent être exercés.
Elle a également pour objet de sensibiliser les utilisateurs aux risques liés à l’utilisation des ressources du SI en termes d’intégrité et de confidentialité des informations traitées. Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite aux utilisateurs. Les termes suivants sont des termes définis et sont employés dans la Charte dans le sens précisé ci-après :
Charte : le présent document. Données confidentielles/Informations sensibles : données dont la divulgation peut pénaliser l’activité de la Société, notamment les données liées à la clientèle et les prospects de la Société, sa stratégie et son marketing, les partenaires commerciaux et données financières liées à son activité, les informations relatives à ses salariés. Informations : flux générés pour et par l’utilisation du Système d’Information. Matériels : les divers dispositifs, ordinateurs, téléphones, tablettes, équipements de réseau et autres, terminaux, logiciels et tous éléments constitutifs du Système d’Information. Utilisateur : toute personne physique autorisée à faire usage du Système d’Information.
ARTICLE 1 : CHAMP D’APPLICATION 1.1 PERSONNES CONCERNEES La présente charte s’applique à l’ensemble des utilisateurs du système d’information, y compris les dirigeants de la Société, ses salariés, intérimaires, stagiaires et toute personne amenée à accéder au SI. (Les « Utilisateurs »). L’accès des tiers extérieurs à la Société au SI est conditionné à l’accord préalable du service informatique interne. Il appartient aux salariés de l’organisation de s’assurer de faire accepter la présente charte à toute personne à laquelle ils permettraient l’accès au SI. Chaque Utilisateur est responsable de l’usage des ressources et réseaux mis à sa disposition, conformément à la présente Charte. Conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 (Loi Informatique et Libertés), les utilisateurs disposent d’un droit d’accès et de rectification des données collectées par la Société les concernant. 1.2 PERIMETRE DU SYSTÈME D’INFORMATION Le système d’information est composé de l’ensemble des ressources mises à disposition des Utilisateurs par la société pour les besoins de leurs fonctions (y compris : ordinateurs, téléphones fixes et mobiles, réseau informatique (serveurs, routeurs et connectique, wifi, etc.), photocopieurs, imprimantes, scanners, logiciels, messagerie, M365, supports externes type clé USB, cartouches, disquette zip, dvd, etc., et de manière générale, tout équipement, matériel, support et réseau local ou en cloud permettant à l’Utilisateur de remplir ses fonctions ou utiliser dans le cadre de ses fonctions.). L’utilisation par un Utilisateur de son matériel personnel à des fins professionnelles est strictement interdite, sauf autorisation expresse du département informatique et de la Direction Générale. Dans ce cas, les dispositions de la présente charte seront applicables à l’utilisation à des fins professionnelles du matériel personnel. ARTICLE 2 : PROTECTION DES DONNEES ET PROPRIETE INTELLECTUELLE De manière générale, il est strictement interdit d’utiliser la messagerie électronique mise à disposition des Utilisateurs et plus généralement l’infrastructure informatique de la Société à des fins illicites ou contraires à la réglementation en vigueur. La Société agit soit en tant que responsable de traitement, soit en tant que sous-traitant lorsqu’elle traite des données pour le compte d’un client. Les données traitées sont réputées appartenir soit à la Société lorsqu’elle agit en qualité de responsable de traitement, soit à son client lorsque la Société est sous-traitant. La collecte de données personnelles réalisées pour les besoins des fonctions des Utilisateurs doit respecter le principe de minimisation. La Société a désigné un Délégué à la Protection des Données (« DPO »). Les coordonnées de contact du DPO sont les suivantes : dpo@chack.fr Il est également interdit aux Utilisateurs d’utiliser le SI en vue de copier des logiciels commerciaux protégés par le droit d’auteur, copier, stocker, diffuser ou télécharger des données protégées par toute réglementation et, notamment, le droit d’auteur, la confidentialité, le secret professionnel ou le droit de la protection des données, et d’utiliser des logiciels tiers sans disposer des autorisations ad hoc. ARTICLE 3 : CONFIDENTIALITE L’Utilisateur s’engage à traiter comme strictement confidentiel, l’ensemble des données et informations auxquelles il est susceptible d’avoir accès dans le cadre de ses fonctions. L‘Utilisateur s’engage à respecter le secret professionnel et ne communiquer aucune information liée à l’entreprise ou à ses clients. Il est tenu à une obligation de réserve et de confidentialité à l’égard des informations et documents accessibles. En tout état de cause, l'Utilisateur est soumis au respect des obligations résultant de son statut ou de son contrat de travail. L’Utilisateur s’interdit formellement d’exploiter, de reproduire, extraire, copier, réutiliser, communiquer etc. les données professionnelles ou personnelles obtenues au sein de la Société en dehors du cadre strictement professionnel et nécessaire à l’exercice de ses fonctions. Il s’engage également à ne pas accéder, tenter d'accéder, supprimer ou modifier les informations et données non nécessaires à l’exécution de ses fonctions. Notamment, tout Utilisateur doit respecter la confidentialité des messages échangés. Les Utilisateurs ne doivent pas accéder aux données des autres comptes (courrier électronique, fichiers…) ni pour les lire, les copier, les transmettre, les modifier ou les effacer, sauf autorisation écrite contraire, à l’exclusion des informations et documents publics ou partagés. Les Utilisateurs ne doivent pas masquer leur véritable identité lorsqu’ils utilisent le SI et ils s’engagent à ne pas diffuser d’informations relatives à la Société (son activité, ses clients, ses produits et services, les données financières…), quelles qu’elles soient, sans en référer à leur supérieur hiérarchique. Les Utilisateurs reconnaissent que tous les clients sont exclusivement la propriété de la Société et que toutes les données auxquelles les Utilisateurs ont accès dans le cadre de leurs fonctions au sein de la Société ne peuvent pas être copiées, supprimées et/ou détournées à des fins personnelles. A ce titre, l’Utilisateur est tenu de respecter les dispositions des présentes. ARTICLE 4 : REGLES GENERALES D’UTILISATION ET MODALITES D’UTILISATION DES RESSOURCES INFORMATIQUES 4.1 REGLES GENERALES D’UTILISATION DU SI Le SI doit être utilisé à des fins professionnelles, conformes aux objectifs de l’organisation, sauf exception prévue par les présentes, ou par la loi. L’Utilisateur s’engage :
à utiliser les ressources mises à sa disposition uniquement pour les besoins de l’activité de la Société ;
à n’adopter aucun comportement susceptible de nuire au fonctionnement du réseau et à l’intégrité de l’outil informatique ;
à ne pas installer de logiciels non agréés et installés par la Société. L’Utilisateur s’interdit de tenter de détourner ou de contourner les restrictions d’utilisation mises en place par la Société ;
à respecter les licences afférentes aux logiciels dans les conditions souscrites par la Société et, de manière générale, toute obligation au titre du droit d’auteur ou du droit applicable ;
à s’abstenir de toute activité illégale ou contraire à l’éthique et à la morale;
à ne pas utiliser le nom, l’adresse ainsi que tout élément permettant d’identifier la Société à des fins personnelles;
à ne télécharger aucun document ou contenu personnel sur les ressources mises à sa disposition par la Société. Le cas échéant, tout document ou contenu téléchargé sera réputé être de nature professionnel ;
Si pour des raisons impératives, des documents ou contenus personnels doivent être téléchargés ou envoyés par l’Utilisateur, celui-ci doit clairement indiquer qu’il s’agit de documents personnels en faisant figurer la mention « PERSONNEL » ou « PRIVE » ;
à respecter la charte d’utilisation de Microsoft 365.
4.2 MODALITES D’UTILISATION DU SI L’accès accordé au SI est strictement personnel et incessible, sauf lorsque ce dernier est générique. L’accès est supprimé dès que l’Utilisateur ne remplit plus les conditions permettant l’accès au SI. Lorsqu’un compte d’accès personnel est attribué à un utilisateur, celui-ci fait usage de mots de passe strictement confidentiels et personnels qu’il a choisis pour sécuriser le matériel qu’il utilise. Il s’assure que ses propres mots de passe restent secrets et respectent la politique de mots de passe en vigueur. Les droits et permissions d’accès de chaque Utilisateur lui sont détaillés au moment de l’ouverture de son compte Utilisateur. Les accès de l’Utilisateur sont réévalués lors des changements de fonction au sein de la Société. L’utilisateur s’abstient de tenter d’accéder aux données confidentielles et/ou personnelles d’autres utilisateurs ou de tiers. ARTICLE 5 : SECURITE INFORMATIQUE La Société veille à la bonne utilisation des ressources matérielles et logicielles ainsi que des échanges électroniques. A ce titre, elle se réserve le droit de limiter le téléchargement de certains fichiers trop volumineux ou susceptibles de présenter un risque pour la sécurité des systèmes L’Utilisateur participe à la sécurité générale de l’entreprise et doit prendre des précautions simples mais efficaces en termes de sécurité :
Effectuer l’ensemble de ses missions sur le réseau sécurisé de la Société et ne télécharger aucun document ou contenu lié à l’activité de la Société sur l’espace de stockage de son ordinateur, tablette ou smartphone (sauvegarde « en local »). Le cas échéant et pour des besoins ponctuels (déplacements) un téléchargement en local peut être autorisé sous réserve que l’ensemble des données soient supprimées diligemment et dès leur copie sur le SI ; Cela ne concerne pas la synchronisation OneDrive/ SharePoint mais il s’agit uniquement d’interdire la présence de fichiers ou contenus qui serait présent uniquement sur les ordinateurs des collaborateurs.
Utiliser différents moyens de sauvegarde (dans la mesure des moyens et de la formation qui lui sont fournis) ;
Ne pas transporter et utiliser des informations sensibles sans protection sur des supports non fiabilisés et autorisés par la Société (clés USB, ordinateurs portables, disques externes…) ;
Signaler à la direction et/ou au service informatique de la Société toute violation ou tentative de violation suspectée de son réseau et de manière générale tout dysfonctionnement ;
S’engager à utiliser des mots de passe surs, présentant un niveau élevé de sécurité, selon la politique de sécurité des mots de passe de l’entreprise ;
Protéger ses fichiers et données contre la lecture et l'écriture en utilisant tous les moyens mis à sa disposition par le système d'exploitation utilisé ;
Verrouiller son ordinateur dès qu’il quitte son poste de travail même pour un temps limité, et s’assurer ne pas laisser de ressources ou services accessibles ;
Réaliser toutes les mises à jour nécessaires sur les ressources mises à leur disposition. L’Utilisateur s’interdit par ailleurs de modifier, altérer ou désinstaller les instruments, outils et logiciels de sécurité (cryptage, hachage, suppression à distance des données, etc.) installés.
Respecter la politique de sécurité du réseau WIFI de l’entreprise ;
Appliquer de manière générale toutes les consignes de sécurité du service auquel il appartient le cas échéant et de l’entreprise ;
En cas de doute sur l’identité d’un tiers demandant accès au SI et aux ressources de la Société, ou à l’origine d’un email, l’Utilisateur doit s’assurer de son identité par un moyen sûr, tel qu’en appelant son contact habituel chez le client. L’utilisateur prend soin des matériels qui lui sont confiés, notamment lorsqu’il les emporte hors de la Société et évite toute situation qui pourrait conduire à un vol ou une utilisation frauduleuse du matériel. ARTICLE 6 : CONTROLE ET TRAÇABILITE Les ressources et réseaux informatiques attachés au SI peuvent être historisés, analysés et contrôlés dans le respect de la législation applicable. La Société souhaitant se protéger efficacement contre les cyberattaques, elle doit être en mesure d’analyser les opérations menées via son SI, afin de lui permettre de remédier à tout incident. Les mesures d’historisation comprennent notamment l’enregistrement des logs de connexion. Elles ont également pour objectif de :
Protéger les intérêts économiques, commerciaux et financiers de la Société, qui ont un caractère confidentiel ;
S’assurer du respect des règles d’utilisation du SI, tels que définies par la présente Charte.
Seules les personnes habilitées au sein de la Société ont accès à ses logs de connexion, permettant d’identifier, de prévenir et de réparer tout incident informatique.
Les logs de connexion au SI de la Société sont conservés pour une durée maximum de six (6) mois.
Dans le cadre de la politique de traçabilité, l’Utilisateur est informé que la Société procède à :
La traçabilité des accès et des utilisations des ressources et réseaux informatiques du SI ;
La traçabilité des fichiers stockés, téléchargés ou envoyés.
Dispositifs d’historisation de l’utilisation des identifiants personnels de l’Utilisateur ;
Contrôle des adresses IP de connexion, source et destination ;
Dispositif de limitation du volume ou de la taille des messages et des pièces jointes ;
Traçage des messages professionnels échangés et des fichiers téléchargés ou envoyés.
Contrôle des partages de documents ou dossiers réalisés
Les mesures suivantes pourront notamment être mises en place à des fins de sécurisation des ressources et réseaux Informatiques (liste non exhaustive) :
Contrôle statistique des heures et durées de connexion, de façon globale ou service par service ;
Recensement et analyse des sites les plus visités et des durées correspondantes ;
Marquage, contrôle et suivi des documents (DLP)
Pour des raisons de sécurité, maintenance et gestion technique, la Société conserve l’historique de l’usage fait par les Utilisateurs à travers les pares-feux et autres équipements du SI. Le service informatique procède aux investigations nécessaires à la résolution de dysfonctionnements du système d’information susceptibles de mettre en péril son fonctionnement ou son intégrité sans avoir à avertir l’Utilisateur. La Société respecte le principe de proportionnalité dans la poursuite des finalités mentionnées au présent article 7, conformément aux règles relatives au respect de la vie privée des salariés durant l’exercice de leurs fonctions. ARTICLE 7 : USAGE DU RESEAU INTERNET ET DES E-MAILS La Société ne saurait être tenue pour responsable de la nature des données et informations qui transitent par son intermédiaire. 7.1 RESEAU INTERNET L’utilisateur est pleinement responsable des connexions Internet qu’il effectue à l’aide de son identifiant. L’utilisateur s’interdit à ce titre tout comportement prohibé ou illégal, et toute communication qui serait offensante, discriminatoire et/ou porterait atteinte à une personne physique ou morale, à sa réputation ou son activité. Seuls ont vocation à être consultés, les sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle, sous réserve que la durée de connexion n’excède pas un délai raisonnable et ait une utilité au regard du poste occupé. Pour des raisons de sécurité, l’accès à certains sites peut être limité. L’accès à des sites illégaux est strictement interdit même si ceux-ci ne sont pas bloqués par les pares-feux de l’entreprise. Un usage bref et occasionnel à titre personnel de la navigation internet reste toléré même pendant les heures de travail légales mais ne doit être que pour un besoin le justifiant (ex : envoi d’un mail important). Le contenu des sites et contenus consultés et des emails envoyés ou reçus ne doit pas être contraire à la législation en vigueur ni à l’ordre public. Cette consultation ne doit mettre en cause l’intérêt, la sécurité et la réputation de la Société, ses réseaux ou ses ressources informatiques. L’Utilisateur ne doit changer aucun paramètre de sécurité ou de connexion des navigateurs, réseaux et ressources informatiques mis à sa disposition, à moins que la Société n’en ait donné la consigne préalable. La Société décline toute responsabilité en cas de perte financière subie par un utilisateur à la suite de l’utilisation d’une liaison non sécurisée pour effectuer une transaction à caractère personnel, quel qu’en soit l’objet, à l’aide du Système d’Information de la Société. 7.2 MESSAGERIE ELECTRONIQUE Chaque employé dispose d’une adresse email professionnelle et/ou d’une adresse générique partagée (ex : ...@pillaud.fr) pour l’exercice de ses missions. La communication interne ou externe à des fins professionnelles doit être effectuée exclusivement au moyen de l’adresse mail professionnelle de la Société. L’adresse email professionnelle ne doit servir qu’à la communication de messages en lien avec l’activité professionnelle. Une attention toute particulière doit être portée à ce type de communication, qui constitue un écrit pouvant engager juridiquement la Société. L’usage de messages personnels (envoi/réception) est toléré tant que celui-ci en est raisonnable. En outre les messages ou répertoires personnels devront comprendre la mention « PRIVE » ou « PERSONNEL » afin d’être identifié comme tel. En cas d’utilisation de la messagerie professionnelle à des fins privées, elle pourrait être consultée par le Responsable informatique et ne devrait pas comprendre des éléments de nature offensante, diffamatoire, injurieuse, sexiste, xenophobe ou contraires aux dispositions de la loi du 29 juillet 1881 sur la liberté de la presse et de manière générale, aux lois et règlement en vigueur ou aux bonnes mœurs et ce, tant à l’égard des autres utilisateurs que de tout tiers. L’Utilisateur s’engage à conserver en toute circonstance un langage correct et décent, conforme aux droits des personnes et à s’abstenir d’effectuer des envois intempestifs ou en large diffusion. L’utilisation de la messagerie électronique doit se conformer aux règles d’usage en vigueur dans l’entreprise et validées par la direction générale :
Volumétrie de la messagerie ;
Taille maximale de l’envoi et de la réception d’un message ;
Nombre limité de destinataires simultanés lors de l’envoi d’un message ;
Gestion de l’archivage de la messagerie.
L’Utilisateur peut consulter sa messagerie à distance. Il s’engage cependant à ne pas télécharger les messages ainsi que leurs pièces jointes sur un support autre que l’ordinateur ou le téléphone professionnel fourni par la Société. L’Utilisateur est invité à limiter son consentement explicite préalable à recevoir un message de type commercial, newsletter, abonnements ou autres, et de ne s'abonner qu'à un nombre limité de listes de diffusion notamment si elles ne relèvent pas du cadre strictement professionnel. Il est strictement interdit à l’Utilisateur d’ouvrir des pièces jointes, de cliquer sur des liens ou autres, provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que leur envoient habituellement leurs contacts. Il revient à l’Utilisateur de vérifier la cohérence de ces éléments. En tout état de cause, l’Utilisateur doit respecter les règles suivantes :
Ne jamais répondre par courriel à une demande d’informations personnelles ou confidentielles (par exemple : code confidentiel et numéro de carte bancaire);
Ne pas ouvrir et ne pas relayer de messages de type chaines de lettre, appels à la solidarité, alertes vitales...
ARTICLE 8 : PROCEDURE APPLICABLE EN CAS D’ABSENCE OU DE DEPART DE L’UTILISATEUR En cas d’absence d’un Utilisateur, celui-ci doit mettre en place un message d’absence automatique indiquant qui joindre dans ce cas précis. Les transferts ou redirections de messagerie ne seront pas utilisés sauf accord ou demande express d’un membre de la direction. L’accès à la messagerie de l’Utilisateur peut s’avérer indispensable à la continuité d’activité de la Société. Ainsi, la Société se réserve le droit d’accéder à la messagerie professionnelle du salarié en cas d’absence pour quelle que cause et durée que ce soit, afin de permettre le suivi des échanges entre l’entreprise et ses clients, même en cas d’absence de l’Utilisateur en charge desdits clients. A cet effet, le service informatique de la Société peut procéder à la réinitialisation du mot de passe de l’Utilisateur, afin de permettre à son responsable hiérarchique d’accéder à sa messagerie. A son retour de congé, le mot de passe réinitialisé est confié à l’Utilisateur qui dispose de toute latitude pour en définir un nouveau. Lorsque la continuité d’activité le justifie, le responsable hiérarchique de l’Utilisateur peut demander au service informatique de la Société, de mettre en place une redirection de la messagerie de l’Utilisateur vers sa propre messagerie. En cas de départ définitif de l’Utilisateur, sa messagerie est supprimée dans un délai maximum de deux mois. En cas d’absence, il peut également être demandé à l’Utilisateur de remettre ses ordinateur et téléphone professionnels mis à sa disposition par la Société, afin de permettre le suivi des dossiers en cours pendant la durée de l’absence. A ce titre, l’Utilisateur devra indiquer au service informatique de la Société le code de sa carte SIM. Dans le cas où l’Utilisateur aurait conservé des fichiers privés et personnels sur son ordinateur ou sur son téléphone professionnel, il devra les supprimer avant remise du matériel au service informatique. Le cas échéant, le service informatique supprimera toute information personnelle figurant sur l’ordinateur ou le téléphone professionnel de l’Utilisateur. Lors de son départ, l’Utilisateur doit restituer au service informatique interne les matériels mis à sa disposition. Le cas échéant, il doit préalablement effacer ses fichiers et données privées. Il est rappelé à l’Utilisateur que tout élément personnel figurant sur le matériel professionnel mis à sa disposition sera supprimé à sa restitution. Toute copie de documents professionnels doit être autorisée par le supérieur hiérarchique. En tout état de cause, il est formellement interdit à l’Utilisateur de porter atteinte aux données professionnelles enregistrées ou accessibles sur le matériel informatique qu’il restitue. Les comptes et les données personnelles de l’Utilisateur sont, en tout état de cause, supprimés dans un délai maximum d’un mois après son départ.
ARTICLE 9 : DISPOSITIONS RELATIVES AU ROLE DES ADMINISTRATEURS INFORMATIQUES L’Utilisateur qui est chargé de la fonction d’administration du réseau SI de la société (« l’Administrateur ») est autorisé à accéder aux informations contenues dans les systèmes qu’il administre à des fins de diagnostic et d’administration du système et peut, lorsque cela est nécessaire, prendre des mesures conservatoires en cas d’urgence ou des mesures d’investigation en vue de réaliser les contrôles précités. L’Administrateur s’engage à ne pas divulguer les informations auxquelles il accède dans le cadre de ses fonctions lorsque celles-ci sont couvertes par le secret des correspondances ou relèvent de la vie privée des Utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications, ni leur sécurité, ni l’intérêt, la sécurité ou la réputation de la Société. 9.1 LES DROITS DE L’ADMINISTRATEUR INFORMATIQUE En application des consignes formelles qui lui ont été transmises et dans le cadre des procédures préalablement définies, l’Administrateur peut prendre toute disposition nécessaire afin d’assurer le bon fonctionnement et la sécurité des composants des Systèmes d’Information dans son périmètre de responsabilité tel que défini dans sa fiche de poste. En particulier, il peut :
Isoler, arrêter avec l’autorisation préalable de son supérieur hiérarchique ou reconfigurer des comptes utilisateurs, équipements ou applications informatiques pouvant compromettre la sécurité d’ensemble des Systèmes d’Information.
Procéder à des vérifications techniques sur les fichiers et bases de données, la messagerie, les connexions à Internet, les fichiers de journalisation, etc., afin de déceler toute anomalie ou incident de sécurité qui pourrait porter atteinte au bon fonctionnement et à la sécurité des Systèmes d’Information conformément aux dispositions de la « Charte Informatique PILLAUD MATERIAUX »,
Traiter (détection, analyse, éradication, filtrage, etc.) tout flux informatique présentant des risques de sécurité (par exemple : virus, intrusion, utilisation d’un logiciel interdit, etc.).
Il appartient à l'Administrateur de faire remonter à son supérieur hiérarchique, des informations relatives à la sécurité, sous forme de statistiques régulières ou de signalisation ponctuelle. Sur la base de ces données statistiques, l'Administrateur peut alerter son supérieur hiérarchique, quant à toute utilisation des Ressources Informatiques par tout utilisateur, non-conforme à la Charte Informatique. Les limites de l'intervention de l’Administrateur Informatique sont fixées de manière générale par la règlementation en vigueur, par la présente Charte et par la fiche de poste et/ou le contrat de travail du salarié qui définit ses missions et fait apparaître la clause de confidentialité à laquelle il est tenu. Il ne peut être contraint à enfreindre la loi.
9.2 LES DEVOIRS DE L’ADMINISTRATEUR INFORMATIQUE L’Administrateur est soumis à une obligation de confidentialité et de non-divulgation liée à ses activités, et dans ce cadre :
Il ne prend connaissance des informations des Systèmes d’Information ou n’y donne accès que dans le cadre de ses fonctions et/ou sur demande explicite de son supérieur hiérarchique, dans le cadre de procédures formalisées ou dans les cas particuliers prévus par la loi.
Il ne prend pas connaissance de données personnelles d’utilisateurs, sauf, ponctuellement, sur demande formelle de l’utilisateur lui-même, et n’autorise quiconque à y accéder, sauf cas particuliers prévus par la loi (par exemple, enquête judiciaire) ou habilitations formelles et légitimes préalablement déclarées.
Il respecte ses engagements de confidentialité et de non-divulgation. Il ne fait pas état et n’utilise pas les informations qu’il peut être amené à connaître dans le cadre de ses fonctions.
Il ne se connecte pas à une ressource du SI sans autorisation explicite de la personne à qui elle est attribuée, notamment dans le cas de l’utilisation d’un logiciel de prise de main à distance sur un poste de travail utilisateur.
De plus, l’Administrateur observe strictement les règles de sécurité et les limites fixées à ses actions :
Il n’abuse pas de ses privilèges, et limite ses actions aux ressources informatiques dont il a la charge, dans le respect de la finalité de sa mission. En particulier, il ne modifie les configurations et les droits d’accès que dans le respect de procédures d’administration ou d’exploitation définies.
Il ne prend pas ses consignes d’une personne non identifiée et fait remonter auprès de son responsable hiérarchique toute requête lui paraissant inappropriée.
Il ne contourne pas les procédures de sécurité établies, et en particulier ne désactive pas de sa propre initiative les mécanismes de traçabilité, et ne porte pas atteinte à l’intégrité des fichiers de journalisation.
Dans le cadre de la conduite de sa mission et vis-à-vis des ressources à sa charge (serveurs, bases de données, postes de travail utilisateurs, etc.), il n’utilise que des logiciels faisant partie des standards approuvés par la PILLAUD MATERIAUX. Toute installation de logiciel ne faisant pas partie de ces standards doit faire l’objet d’une autorisation préalable et explicite du responsable hiérarchique.
Dans le cas où un incident de sécurité surviendrait :
Il informe son responsable hiérarchique et selon le cas, le responsable de la sécurité des Systèmes d’Information de son entité de toute faille ou incident de sécurité qu’il pourrait découvrir ou dont il pourrait avoir connaissance.
Il préserve, conserve et sauvegarde les « traces » nécessaires à la résolution de l’incident et à toute investigation ultérieure, y compris judiciaire, dans des conditions permettant de garantir la valeur probante des « traces ».
Enfin, l’Administrateur s’assure de la protection des droits d’accès liés à sa fonction :
Il observe les règles de sécurité en vigueur visant à protéger l'utilisation des comptes et des privilèges qui lui ont été attribués. Il veille notamment à la protection des postes de travail à partir desquels il exerce ses fonctions et à la gestion des identifiants/mots de passe des comptes privilégiés. En particulier, les mots de passe utilisés pour les opérations d’administration doivent être robustes et changés régulièrement, conformément à la politique de sécurité des SI de la PILLAUD MATERIAUX. Il est rappelé que les droits confiés à un Administrateur (et par conséquent les couples identifiants/mots de passe associés) sont personnels et incessibles.
Il n’utilise les comptes privilégiés que pour les activités et besoins directement liés aux tâches d’administration ou d’exploitation dont il a la charge, étant donné que toute action sur les Systèmes d’Information peut faire l’objet d’une journalisation permettant leur imputabilité.
ARTICLE 10 : DISPOSITIONS RELATIVES AU TELETRAVAIL Le télétravail est défini à l’article L. 1222-9 du Code du travail comme « toute forme d'organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l'employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les technologies de l'information et de la communication ». La Société met à disposition de l’Utilisateur en télétravail un ordinateur professionnel. A titre exceptionnel, l’Utilisateur peut utiliser son matériel personnel, après accord exprès de la Direction Générale et du département Informatique. Dans ce cas, l’Utilisateur s’engage à compartimenter les données professionnelles de ses données personnelles. Il s’engage également à ne conserver aucune donnée professionnelle sur son matériel personnel à l’issue de sa session de télétravail. Lorsque l’Utilisateur est amené à exercer ses fonctions en télétravail, il lui est demandé de :
N’utiliser que les logiciels, applications et solutions fournis et autorisés par la Société, y compris en matière de logiciels de téléconférence ;
Ne pas modifier le matériel reçu sans autorisation préalable ;
Pour des raisons de sécurité et sans l'accord de la Société, les équipements ne peuvent être déplacés à une autre adresse que le lieu de télétravail déclaré. De même, le matériel ne peut pas être prêté à un tiers, l’utilisation du matériel étant strictement réservée aux salariés ;
Transférer et stocker les données par ces mêmes logiciels, applications et solutions sur le réseau sécurisé ;
Ne pas utiliser de clés USB, CD-Rom et disques durs externes, et plus généralement, tout support de stockage externe, messagerie grand public ou mode de transfert non autorisé par la Société.
Créer, si possible, des comptes distincts lorsqu’il utilise une application à des fins personnelles et professionnelles ;
Sécuriser le réseau utilisé ;
Procéder à des sauvegardes régulières sur les réseaux de la Société.
De manière générale, l’Utilisateur est invité à ne pas faire en télétravail ce qu’il ne ferait pas dans les locaux de l’entreprise. En outre, aucune utilisation du matériel personnel ne peut intervenir dans le cadre du télétravail si l’Utilisateur ne dispose pas d’un environnement de travail permettant de garantir la sécurité des données professionnelles, dans des conditions similaires à celles disponibles dans les locaux de la Société. Enfin, en cas de doute sur l’urgence d’une demande ou l’identité de son expéditeur, il est recommandé à l’Utilisateur de contacter la personne concernée par une autre voie, telle que le téléphone. Sauf lorsqu’il détient un téléphone professionnel, l’Utilisateur utilise son téléphone portable personnel pour contacter ou être contacté par ses interlocuteurs (clients, prospects, collègues ou toute personne à contacter dans le cadre de son activité). L’utilisateur doit veiller à ce que les données contacts des clients et prospects soient bien enregistrées dans le fichier clients de la Société. L’Utilisateur comprend que le maintien des communications téléphoniques est indispensable pour permettre la continuité d'activité de la Société. Dans l’hypothèse où l’utilisation de son téléphone portable personnel dans le cadre de son activité entraînerait à sa charge des frais supplémentaires, ces frais lui seront remboursés sur présentation des justificatifs correspondants.
ARTICLE 11 : SANCTIONS ET STATUT DE LA CHARTE Chaque Utilisateur est responsable de l’usage des ressources et réseaux mis à sa disposition, conformément à la présente Charte. Toute utilisation abusive, détournée ou non conforme de l’outil informatique est susceptible de constituer une faute et peut entrainer la responsabilité personnelle de l’Utilisateur tant sur le plan civil que pénal. Il est notamment rappelé que l’accès non autorisé au Système d’Information peut être considéré comme une infraction pénale selon l’article 323-1 du code pénal. En outre, la fourniture par un utilisateur à un tiers de moyens ou d’information facilitant un tel accès non autorisé peut être considéré comme une complicité, elle-même susceptible de sanctions identiques à celles de l’auteur principal d’un accès non autorisé. L’article 323-1 alinéa 1 du code pénal dispose : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partir d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100.000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150.000 € d’amende ». Dans l’hypothèse où la responsabilité de la Société serait engagée du fait d’un Utilisateur, la Société se réserve la possibilité d’engager la responsabilité de l’Utilisateur afin d’obtenir l’indemnisation de toute condamnation, frais et accessoires résultant de toute action engagée contre la Société. L’Utilisateur comprend que la violation de la Charte est susceptible de constituer une atteinte aux obligations de loyauté et de confidentialité mises à sa charge par son contrat de travail. A ce titre, les manquements aux règles édictées par la présente Charte peuvent entraîner des sanctions à l’encontre de l’Utilisateur contrevenant (limitation d’usage du SI, sanctions disciplinaires, etc.). La présente Charte est ajoutée en annexe du règlement intérieur, et communiquée individuellement à chaque employé lors de son entrée dans l’entreprise et est également librement consultable sur les tableaux d’affichage de la Société. Elle a fait l’objet d’un examen du CSE en date du 05/11/2024. De plus elle a fait l’objet d’une communication à l’inspection du travail et, d’un dépôt auprès du secrétariat Greffe du Conseil des Prud’hommes. Elle rentrera en application lors de sa communication aux Utilisateurs.
