Charte D Utilisation Des Moyens Informatiques

CHARTE D’UTILISATION DES
MOYENS INFORMATIQUES &
TELEPHONIQUES
CRAMA
PARIS VAL DE LOIRE
Janvier 2010
SOMMAIRE
SOMMAIRE........................................................................................................................................................ 2
PREAMBULE ..................................................................................................................................................... 3
TITRE I – LES REGLES DE BASE ........................................................................................................... 4
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
– DEFINITIONS............................................................................................................................... 4
– ACCES AUX RESSOURCES INFORMATIQUES................................................................... 4
– USAGE DES SERVICES INTERNET (WEB, MESSAGERIE, FORUM,…) ....................... 5
– REGLES D’UTILISATION, DE SECURITE ET DE BON USAGE....................................... 6
– CONDITIONS DE CONFIDENTIALITE .................................................................................. 7
– RESPECT DE LA LEGISLATION CONCERNANT LES LOGICIELS.................................. 7
– UTILISATION ET PROTECTION DES RESSOURCES MATERIELLES ........................... 7
– PRESERVATION DE L’INTEGRALITE DES SYSTEMES INFORMATIQUES ................. 8
– ORGANISATION DE L’UTILISATION NON PROFESSIONNELLE DES MOYENS
INFORMATIQUES ET DE COMMUNICATION ....................................................................... 9
– MOBILITE ...................................................................................................................................... 9
– GESTION DES ABSENCES ET DROIT D’ACCES ............................................................. 10
– GESTION DES DEPARTS ........................................................................................................ 10
– ANALYSE ET CONTROLE DE L’UTILISATION DES RESSOURCES............................. 10
TITRE II – LES REGLES APPLICABLES À CERTAINES CATEGORIES DE
PERSONNEL.................................................................................................................................................... 11
1.14
1.15
– DROITS ET DEVOIRS DES ADMINISTRATEURS SYSTEME......................................... 11
– OPERATIONS DE MAINTENANCES ET D’ASSISTANCES ............................................. 12
TITRE III – CONTROLES ET SANCTIONS ...................................................................................... 13
1.16
1.17
- CONTROLES DU RESPECT DES OBLIGATIONS............................................................... 13
- SANCTIONS ................................................................................................................................ 13
2
PREAMBULE
Ce texte est avant tout un code de bonne conduite qui a pour objet de préciser la
responsabilité des utilisateurs afin d'instaurer un usage correct des :
moyens et ressources informatiques,
usages de la téléphonie,
usage des services Internet,
et des usages de la messagerie,
La présente charte s’applique à tous les salariés autorisés à accéder ou à utiliser ces
moyens quel que soit leur statut. Elle s’applique par extension à tout utilisateur
(personnel intérimaire, stagiaire, personnels des prestataires extérieurs, consultants…).
Elle sera portée à la connaissance de ces utilisateurs lors de leur prise de fonction dans
l’entreprise par tout moyen approprié.
La présente charte est annexée au règlement intérieur de l’entreprise.
Le comité d’entreprise ainsi que le CHSCT pour les questions relevant de sa compétence
sont informés et/ou consultés préalablement à son entrée en vigueur.
La charte a été préalablement affichée (conformément aux dispositions du code du
travail) et déposée auprès de la Direction Départementale du travail, de l’emploi et de la
formation professionnelle de Paris, au secrétariat greffe du conseil des prud’hommes de
Créteil.
3
TITRE I – LES REGLES DE BASE
1.1 – DEFINITIONS
Le Responsable de la Sécurité des Systèmes d'Information de l’entreprise (R.S.S.I) est
chargé de la sécurité en matière d'informatique et de réseaux pour l'ensemble de
l’entreprise.
On désignera de façon générale sous le terme «ressources informatiques», les moyens
informatiques et de communication électronique ainsi que ceux auxquels il est possible
d'accéder à distance, directement ou en cascade à partir du réseau administré par
l’entreprise.
On désignera par «services Internet» la mise à disposition, par des serveurs locaux ou
distants de moyens d'échanges ou d'informations diverses : Web, messagerie, forums ...
On désignera sous le terme «utilisateur», les personnes ayant accès ou utilisant les
ressources informatiques et services Internet.
1.2 – ACCES AUX RESSOURCES INFORMATIQUES
L'utilisation de ressources informatiques et l'usage des services informatiques ainsi que
du réseau pour y accéder ne sont autorisés que dans le cadre de l'activité professionnelle
des utilisateurs et dans la stricte conformité de la législation en vigueur. L’utilisation à
des fins non professionnelles est tolérée dans les limites précisées au paragraphe 1.9.
L'utilisation des ressources informatiques partagées de l’entreprise et la connexion d'un
équipement sur le réseau sont en outre soumises à autorisation. Ces autorisations sont
strictement personnelles et ne peuvent en aucun cas être cédées, même
temporairement, à un tiers. Ces autorisations peuvent être suspendues à tout moment.
Toute autorisation prend fin lors de la cessation même provisoire de l'activité
professionnelle qui l'a justifiée.
L’entreprise pourra en outre prévoir des restrictions d'accès spécifiques à son
organisation : carte à puce d'accès ou d'authentification, filtrage d'accès sécurisé...
4
1.3 – USAGE DES SERVICES INTERNET (WEB, MESSAGERIE, FORUM,…)
L'utilisateur doit faire usage des services Internet dans le cadre de son activité
professionnelle et dans le respect de principes généraux et des règles propres aux divers
sites qui les proposent ainsi que dans le respect de la législation en vigueur, notamment
celles relatives à la propriété intellectuelle et aux publications portant atteinte à la dignité
de la personne humaine.
En particulier :
il ne doit pas se connecter ou essayer de se connecter sur un serveur autrement
que par les dispositions prévues par ce serveur ou sans y être autorisé par les
responsables habilités ;
il ne doit pas se livrer à des actions mettant sciemment en péril la sécurité ou le
bon fonctionnement des serveurs auxquels il accède ;
il ne doit pas télécharger des logiciels ou
autorisation ;
il ne doit pas participer à des forums ou conversation en ligne (« chats ») sans
autorisations internes préalables ;
il ne doit pas usurper l'identité d'une autre personne ;
il ne doit pas intercepter de communications entre tiers et il a l'obligation de
s'abstenir de toute ingérence dans la transmission des messages en vertu du
secret des correspondances privées ;
il ne doit pas utiliser ces services pour proposer ou rendre accessible aux tiers des
données et informations confidentielles ou contraires à la législation en vigueur ;
il ne doit pas déposer des documents sur un serveur sauf si celui-ci le permet ou
sans y être autorisé par les responsables habilités ;
il doit faire preuve de la plus grande correction à l'égard de ses interlocuteurs
dans les échanges électroniques par courrier ;
Il veillera à ce que l’expression de ses opinions personnelles ne puissent porter
préjudice à l’entreprise ou ne constitue pas un abus de droit d’expression ;
il doit s'imposer le respect des lois et notamment celles relatives aux publications
à caractère illicite, injurieux, raciste, pornographique, diffamatoire. De même, il
doit proscrire tout comportement pouvant inciter des tiers à lui adresser de tels
documents et les détruire en cas de réception fortuite.
des
œuvres protégées
sans
Il est rappelé à l’utilisateur que des échanges électroniques peuvent constituer des
preuves et former un contrat. L’utilisateur doit, en conséquence, être vigilant sur la
nature des messages électroniques qu’il envoie ou qu’il échange.
5
1.4 – REGLES D’UTILISATION, DE SECURITE ET DE BON USAGE
Tout utilisateur est responsable de l'usage des ressources informatiques et du réseau
auxquels il a accès. Il a aussi la charge, à son niveau, de contribuer à la sécurité
générale du réseau et du système d’information.
L'utilisation de ces ressources doit être rationnelle et loyale afin d'en éviter la saturation
ou leur détournement à des fins personnelles.
En particulier :
il doit appliquer les recommandations de sécurité de l'entité ;
il doit assurer la protection de ses informations et il est responsable des droits
qu'il donne aux autres utilisateurs ;
il lui appartient de protéger ses données en utilisant les différents moyens de
sauvegarde individuels ou mis à sa disposition ;
il doit signaler à son responsable, qui avisera le R.S.S.I., toute tentative de
violation de son compte et, de façon générale, toute anomalie qu'il peut
constater;
il doit suivre les règles en vigueur au sein de l'entreprise pour toute installation de
logiciel, par défaut aucune installation n'est autorisée ;
il choisit des mots de passe sûrs, gardés secrets et en aucun cas ne doit les
communiquer à des tiers ;
il ne doit pas utiliser ou essayer d'utiliser des comptes autres que le sien ou de
masquer sa véritable identité ;
il ne doit pas tenter de lire, modifier, copier ou détruire des données sans l'accord
explicite du propriétaire autres que celles qui lui appartiennent en propre,
directement ou indirectement ;
Il ne doit pas quitter son poste de travail ni ceux en libre service en laissant des
ressources ou des services accessibles.
6
1.5 – CONDITIONS DE CONFIDENTIALITE
La confidentialité des données est garantie par l’obligation de secret professionnel.
L'accès par les utilisateurs aux informations et documents conservés sur les systèmes
informatiques doit être limité à ceux qui leur sont propres, et ceux qui sont publics ou
partagés. En particulier, il est interdit de prendre connaissance d'informations transitant
sur le réseau ou détenues par d'autres utilisateurs, quand bien même ceux-ci ne les
auraient pas explicitement protégées. Cette règle s'applique également aux
conversations privées de type courrier électronique dont l'utilisateur n'est destinataire ni
directement, ni en copie. La diffusion d'informations nominatives n'est possible que dans
le respect des prescriptions figurant à l'article 15 de la loi du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés. Si, dans l'accomplissement de son travail,
l'utilisateur est amené à constituer de tels fichiers, il devra auparavant, en accord avec
son supérieur hiérarchique, en avoir informé le CRIL (Correspondant Régional
Informatique et Libertés) et en avoir reçu l'autorisation. Il est rappelé que cette
autorisation n'est valable que pour le traitement défini dans la demande et pas pour le
fichier lui-même.
1.6 – RESPECT DE LA LEGISLATION CONCERNANT LES LOGICIELS
Il est strictement interdit d'effectuer des copies de logiciels commerciaux pour quelque
usage que ce soit, hormis une copie de sauvegarde dans les conditions prévues par le
code de la propriété intellectuelle. Ces dernières ne peuvent être effectuées que par la
personne habilitée à cette fin.
Par ailleurs l'utilisateur ne doit pas contourner les restrictions d'utilisation d'un logiciel.
1.7 – UTILISATION ET PROTECTION DES RESSOURCES MATERIELLES
Les équipements informatiques et de télécommunication mis à disposition des personnes
sont à usage professionnel.
Les utilisateurs sont tenus de respecter les matériels, logiciels et locaux mis à leur
disposition. Les utilisateurs qui constatent une dégradation ou un dysfonctionnement
doivent, dans les plus brefs délais, en informer le service d’assistance aux utilisateurs de
la DSI.
Il appartient à chacun de prendre toutes les mesures élémentaires pour protéger ces
équipements. Les équipements ne devront pas être laissés sans surveillance dans un
véhicule.
L’ensemble des moyens informatiques et de communication électronique mis à
disposition des utilisateurs, sont et demeurent la propriété de l’employeur.
7
1.8 – PRESERVATION DE L’INTEGRALITE DES SYSTEMES
INFORMATIQUES
L'utilisateur s'engage à ne pas apporter volontairement des perturbations au bon
fonctionnement des systèmes informatiques et des réseaux que ce soit par des
manipulations anormales du matériel, ou par l'introduction de logiciels parasites connus
sous le nom générique de virus, chevaux de Troie, bombes logiques, logiciels d'écoute
réseau ...
Tout utilisateur est responsable de l’utilisation qu’il fait des ressources informatiques. Il
doit donc, à son niveau, contribuer à la sécurité. En particulier :
Il doit choisir des mots de passe sûrs respectant les recommandations de
l’entreprise. Ces mots de passe sont strictement personnels, doivent être gardés
secrets, ne doivent pas être écrits, ne doivent pas être enregistrés dans des
systèmes (hors cryptage fort), et en aucun cas être communiqués à des tiers. A la
demande des administrateurs, ils doivent être changés fréquemment.
Il ne doit pas utiliser des comptes autres que ceux pour lesquels il a reçu une
autorisation. Il doit s’abstenir de toute tentative de s’approprier ou de déchiffrer le
mot de passe d’un autre utilisateur.
L’utilisation ou le développement de programmes mettant sciemment en cause
l’intégrité des systèmes informatiques de l’entreprise est interdite.
Tout constat de violation, tentative de violation ou soupçon de violation d’un
système informatique doit être signalé au RSSI de l’entreprise.
Les utilisateurs doivent s’abstenir de toute tentative de falsification d’identité.
Les utilisateurs ne doivent pas déplacer d’ordinateurs fixes/téléphone sur le
réseau sans autorisation.
Les utilisateurs s’engagent à ne pas exploiter les éventuels trous de sécurité,
anomalies de fonctionnement, défauts de configuration. Ils doivent les signaler
aux RSSI, et ne pas en faire la publicité. L’administrateur peut toutefois choisir de
ne pas apporter de correction, si la correction n’est pas disponible ou est
considérée comme induisant d’autres problèmes.
Les utilisateurs évitent l’introduction et la propagation de virus sur les moyens
informatiques.
Les utilisateurs doivent veiller à la sauvegarde de leurs données.
En règle générale, un utilisateur doit être vigilant et signaler au RSSI toute
anomalie, et se conformer à ses consignes.
8
1.9 – ORGANISATION DE L’UTILISATION NON PROFESSIONNELLE DES
MOYENS INFORMATIQUES ET DE COMMUNICATION
L’utilisation des moyens informatiques et de communication électronique à
professionnelles et pour répondre en cas d’urgence à des obligations
admises, est tolérée. Cette utilisation doit être exceptionnelle et demeurer
Un tel usage ne doit pas perturber le bon fonctionnement du service et
informatiques et de communication électronique.
des fins non
socialement
raisonnable.
des moyens
Les messages sont, en tout état de cause, émis et reçus sous la seule responsabilité de
l’utilisateur qui dégage l’employeur de toute responsabilité.
Toute utilisation à des fins lucratives est interdite.
La confidentialité attachée à la correspondance non professionnelle implique la mention
du terme « privé » ou « personnel » dans la zone « objet » du message. La perspective
d’une réponse impose d’informer le tiers destinataire de cet usage. Le recours aux pièces
jointes est à éviter.
Il est entendu que l’utilisateur s’engage à qualifier de bonne foi et sans abus ses
messages, documents et fichiers de « privé » ou « personnel »
L’employeur se réserve le droit de limiter ou de suspendre cette tolérance en cas d’abus.
D’une manière générale, tout dossier, fichier informatique ou message est présumé
professionnel s’il n’a pas été clairement identifié comme « privé » ou « personnel ».
L’entreprise décline toute responsabilité en cas de perte de ces données.
1.10 – MOBILITE
Les moyens informatiques et de communication électronique dits « nomades » sont mis à
la disposition de l’utilisateur contre récépissé. On entend par « nomade » tous les
moyens techniques (ordinateur portable, téléphone mobile, PDA,…) et éléments
accessoires (carte 3G, imprimante portables, scanner,…) qui peuvent être utilisés hors
des murs de l’entreprise. Lorsque ces matériels sont utilisés hors des murs de
l’entreprise, l’utilisateur en assure la garde et la responsabilité. Il assiste l’entreprise ou
procède lui-même selon les cas à toutes les démarches (déclaration assurance, dépôt de
plainte,…) rendues nécessaires à la suite d’un incident de quelque nature que ce soit.
L’utilisation de moyens informatiques et de communication électronique nomades impose
à l’utilisateur un niveau de surveillance et de confidentialité renforcée.
Il doit notamment veiller à ce que des tiers non autorisés ne puissent accéder à ces
moyens et éléments accessoires, les utiliser ou accéder à leurs contenus.
En cas d’incident avéré mais aussi en cas de doute, il doit immédiatement en aviser sa
hiérarchie.
Lorsqu’un accès à distance est accordé à un utilisateur, celui-ci s’engage à utiliser les
moyens techniques d’authentification forte qui lui sont remis et aucun autre. En terme de
9
sécurité et de confidentialité, l’utilisateur est soumis aux mêmes obligations que celles
visées pour la gestion des identifiants et devra suivre toutes les prescriptions
complémentaires qui lui seront signifiées. En cas de perte ou de vol des moyens
d’authentification à distance, il devra aviser, sans délai, le service d’assistance aux
utilisateurs de la DSI.
1.11 – GESTION DES ABSENCES ET DROIT D’ACCES
Chaque utilisateur doit veiller à ce que la continuité du service soit assurée.
Afin d’éviter de laisser des messages professionnels sans traitement en cas d’absence,
tout utilisateur devra prévenir automatiquement ses interlocuteurs en proposant, dans la
mesure du possible, une solution de remplacement (notamment en utilisant les fonctions
notification d’absence) ou autoriser une personne à consulter sa messagerie par l’usage
d’option de « délégation ».
Il n’est pas prévu de recourir à l’utilisation d’automatisme de gestion des boîtes aux
lettres électroniques ni de procédure spécifique, en cas d’absence de lecture des
messages au-delà d’un certain délai.
1.12 – GESTION DES DEPARTS
Lors de son départ de l’entreprise, l’utilisateur doit remettre, à sa hiérarchie et en bon
état de fonctionnement, l’ensemble des moyens informatiques et de communication
électronique mis à sa disposition dans le cadre de ses fonctions (ordinateur,
périphériques, mobile, PDA, cartes d’accès, moyens d’authentification à distance, badges,
supports de stockage,…).
Les codes d’accès aux systèmes d’information et à la messagerie seront supprimés au
départ du salarié.
Les répertoires ou documents « privé » ou « personnel » seront supprimés par
l’utilisateur la veille de son départ de l’entreprise. A défaut et sauf procédure judiciaire ou
enquête administrative, ce répertoire est automatiquement supprimé le lendemain du
départ de l’utilisateur de l’entreprise, sans être consulté et sans qu’aucune copie ne soit
réalisée.
1.13 – ANALYSE ET CONTROLE DE L’UTILISATION DES RESSOURCES
Pour des nécessités de sécurité, de maintenance et de gestion technique ou de détection
des abus, l'utilisation des ressources matérielles ou logicielles ainsi que les échanges via
le réseau peuvent, sous le contrôle du R.S.S.I, être analysés et contrôlés dans le respect
de la législation en vigueur et notamment de la loi relative à l'informatique, aux fichiers
et aux libertés.
10
Les traces détaillées d’activités sont conservées pendant les durées légales ou
conventionnelles en vigueur à l’issue desquelles elles sont détruites. Elles sont
considérées comme preuve de l’utilisation des moyens informatiques et de
communication électronique par les utilisateurs. Elles peuvent faire l’objet d’un
traitement statistique anonyme.
Ces traces peuvent être fournies aux autorités compétentes selon les dispositions légales
et réglementaires en vigueur ; elles peuvent aussi être communiquées à l’utilisateur,
pour les seules données qui le concernent directement et individuellement, en application
de son droit d’accès prévu par la loi informatique et libertés.
TITRE II – LES REGLES APPLICABLES À CERTAINES CATEGORIES
DE PERSONNEL
1.14 – DROITS ET DEVOIRS DES ADMINISTRATEURS SYSTEME
Sont administrateurs système les personnes ayant été désignées pour installer et gérer
les machines. Ils ont en charge d’assurer le meilleur fonctionnement possible du système
pour tous.
L’administrateur est soumis dans l’exercice de ses fonctions à un devoir de confidentialité
pour assurer le bon fonctionnement et la sécurité du système informatique, il peut
procéder aux investigations nécessaires. Il est tenu de ne pas divulguer les informations
acquises par ces recherches sauf dans le cas suivant :
Il peut explorer les fichiers des utilisateurs et en faire connaître des extraits à sa
direction lorsqu’une telle recherche est rendue nécessaire par le constat d’actes de
malveillance et piratage.
Il peut aussi générer et consulter tout journal d’évènements, et enregistrer des traces, si
besoin est. La liste exhaustive de ces journaux peut être consultée par la direction
générale par simple demande auprès des administrateurs.
Il peut générer des statistiques, pour la bonne gestion : optimisation, sécurité, détection
des abus.
Ce personnel fera en sorte de ne pas accéder au fichier intitulé « privé » ou
« personnel » en dehors de la présence de l’utilisateur. Cependant, il peut y être
contraint pour des raisons de sécurité ou pour des raisons techniques (surcharges du
système, lutte anti-virus,…) et ce malgré l’opposition de l’utilisateur. Pour tous les autres
fichiers, la personne habilitée peut y accéder librement hors la présence de l’utilisateur.
L’administrateur peut réaliser des sauvegardes de certains disques, y compris ceux
hébergeant les données des utilisateurs et le courrier électronique.
L’administrateur peut intercepter ou interdire tout flux informatique (Web, courriel,
transfert de fichiers, téléphonie, vidéo, etc…) présentant des risques pour la sécurité
(virus par exemple), ou hors charte.
11
Les administrateurs en charge de la sécurité peuvent procéder à toute recherche
préventive de faille sur les machines branchées sur le réseau interne. Ils peuvent
déconnecter, physiquement ou logiquement, une machine en cas de suspicion.
1.15 – OPERATIONS DE MAINTENANCES ET D’ASSISTANCES
Les personnes amenées à réaliser des opérations de maintenance et d’assistance
(technique ou métier) de proximité ou à distance via le réseau, sont soumises dans
l’exercice de ses fonctions à un devoir renforcé de confidentialité.
12
TITRE III – CONTROLES ET SANCTIONS
1.16 - CONTROLES DU RESPECT DES OBLIGATIONS
Les contrôles portant sur le respect des obligations auxquelles sont astreints les
collaborateurs sont sous la responsabilité de leur hiérarchie.
1.17 - SANCTIONS
Le présent document est porté à la connaissance de tout le personnel, dont chaque
membre s’engage à en respecter toutes les dispositions.
Le non-respect d’une des clauses faisant partie des règles de bonne conduite et toute
irrégularité dûment constatée pourront entraîner les sanctions prévues au titre IV – Droit
disciplinaire du Règlement Intérieur, sans préjudice d’éventuelles sanctions de nature
pénale ou professionnelle prévues par les textes en vigueur.
L’entreprise se réserve le droit de rechercher, le cas échéant, la responsabilité du ou des
salariés qui auraient contrevenu à ces règles, et demander réparation du préjudice subi
13