CHARTE INFORMATIQUE
Pour l’utilisation des ressources informatiques de l’Entreprise ….
1. Préambule
L’entreprise met en oeuvre un système d’information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique, ainsi que des outils mobiles.
Les salariés, dans l’exercice de leurs fonctions, sont conduits à utiliser les outils informatiques et téléphoniques mis à leur disposition et à accéder aux services de communication de l’entreprise.
Cette utilisation s’entend dans les locaux de l’entreprise (sièges, agences, chantiers, …) ainsi que dans le cadre de déplacement professionnel, du télétravail ou autres lieux. Par extension, le lieu d’usage des équipements en mobilité est défini par « lieu de travail ».
L’utilisation du système d’information et de communication doit se faire exclusivement à des fins professionnelles, sauf exception prévue dans la présente charte.
Elle s’articule autour de deux objectifs :
– Définir les règles d’utilisation des ressources informatiques dans le respect des libertés individuelles des salariés,
– Assurer la sécurité et la protection du réseau et des ressources informatiques.
La présente charte traduit les éléments ‘utilisateur’ de la PSSI du groupe Rabot Dutilleul.
2. Champ d’application
2.1 Utilisateurs concernés
Sauf mention contraire, la présente charte s’applique à l’ensemble des utilisateurs du système d’information et de communication de l’entreprise, quel que soit leur statut, y compris les mandataires sociaux, salariés, intérimaires, stagiaires, employés de sociétés prestataires, visiteurs occasionnels. Elle sera annexée aux contrats de prestations.
Les salariés veillent à faire accepter valablement les règles posées dans la présente charte à toute personne à laquelle ils permettraient d’accéder au système d’information.
2.2 Système d’information et de communication
Le système d’information et de communication de l’entreprise est notamment constitué des éléments suivants : ordinateurs (fixes ou portables), périphériques y compris clés USB, assistants personnels, réseau informatique (serveurs, routeurs et connectique), photocopieurs, télécopieurs, téléphones, smartphones, tablettes et clés d’accès internet mobile, logiciels, fichiers, données et bases de données, système de messagerie, connexion internet, intranet, extranet, abonnements à des services interactifs, logiciel en mode SAAS (Software As A Service).
Pour des raisons de sécurité du réseau, est également considéré comme faisant partie du système d’information et de communication le matériel personnel des salariés qui pourrait être connecté dans le cadre de la charte BYOD de l’entreprise au réseau de l’entreprise, ou contenant des informations à caractère professionnel concernant l’entreprise.
3. Confidentialité
3.1 Paramètres d’accès
L’accès à certains éléments du système d’information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, le réseau, certaines applications ou services interactifs) est protégé par des paramètres de connexion (identifiant, mot de passe, authentification multi-facteur).
Ces paramètres sont personnels à l’utilisateur et doivent être gardés confidentiels. Ils permettent en particulier de contrôler l’activité des utilisateurs.
Ils ne doivent être communiqués à personne, ni responsable hiérarchique, ni informatique.
Ces paramètres doivent être mémorisés par l’utilisateur et ne pas être conservés, sous quelque forme que ce soit.
En tout état de cause, ils ne doivent pas être transmis à des tiers ou aisément accessibles.
Ils doivent être saisis par l’utilisateur à chaque accès et ne pas être conservés en mémoire dans le système d’information.
Lorsqu’ils sont choisis par l’utilisateur, les paramètres doivent respecter un certain degré de complexité et être modifiés régulièrement.
Des consignes de sécurité sont élaborées par la direction ou la direction informatique afin de recommander les bonnes pratiques en la matière.
Aucun utilisateur ne doit se servir pour accéder au système d’information de l’entreprise d’un autre compte que celui qui lui a été attribué. Il ne doit pas non plus déléguer à un tiers les droits d’utilisation qui lui sont attribués. Les deux cas sont considérés comme des usurpations d’identité.
Les utilisateurs sont informés que la DTSN procède régulièrement à des tests de robustesse des mots de passe et peut obliger certains utilisateurs à changer leur mot de passe jugé trop faible même s’il respecte les règles minimales de sécurité.
3.2 Données
Chaque utilisateur est responsable pour ce qui le concerne du respect du secret professionnel et de la confidentialité des informations qu’il est amené à détenir, consulter ou utiliser. Les règles de confidentialité ou d’autorisation préalable avant diffusion externe ou publication sont définies par la direction et applicables quel que soit le support de communication utilisé.
L’utilisateur doit être particulièrement vigilant sur le risque de divulgation de ces informations dans le cadre d’utilisation d’outils informatiques, personnels ou appartenant à l’entreprise, dans des lieux autres que ceux de l’entreprise (hôtels, lieux publics…). L’utilisateur est garant des partages d’information qu’il met en oeuvre via des outils informatiques et doit s’assurer le leur validité dans le temps.
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, définit les conditions dans lesquelles des traitements de données à caractère personnel peuvent être opérés. Elle institue au profit des personnes concernées par les traitements des droits que la présente invite à respecter, tant à l’égard des utilisateurs que des tiers.
Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôle, prévus dans la présente charte. Ils sont, en tant que de besoin, déclarés conformément à la loi du 6 janvier 1978. Tout utilisateur pourra avoir accès aux données le concernant et ces données ne seront conservées que sur une période maximale de 1 an.
3.3 Protection des données à caractère personnel
Le Règlement n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et communément appelé Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018.
Le RGPD, complété par la nouvelle Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa version consolidée du 14 juin 2018, impose les conditions dans lesquelles des traitements de données à caractère personnel peuvent être réalisés. Cette réglementation ouvre aux personnes concernées par les traitements un droit d’information, d’accès, de rectification, d’effacement, de portabilité et d’opposition des données enregistrées sur leur compte.
Le groupe Rabot Dutilleul a désigné un Délégué à la Protection des Données à caractère personnel (DPO).
Ce dernier a pour mission de veiller au respect des dispositions du RGPD Il a pour rôle de s’assurer de la conformité juridique des traitements des données personnelles.
Il est obligatoirement consulté par les sociétés du groupe dès lors que des données à caractères personnelles sont créées, collectées, modifiées.
Il recense dans un registre la liste de l’ensemble des traitements de données à caractère personnel fur et à mesure de leur mise en oeuvre. Cette liste est tenue à disposition de toute personne en faisant la demande.
Le correspondant veille au respect des droits des personnes citées ci-dessus En cas de difficultés rencontrées lors de l’exercice de ces droits, les personnes concernées peuvent saisir le DPO (dpo@rabotdutilleul.com).
4. Sécurité
4.1 Rôle de l’entreprise
L’entreprise met en oeuvre les moyens humains et techniques appropriés pour assurer la sécurité matérielle et logicielle du système d’information et de communication.
4.2 Responsabilité de l’utilisateur
L’utilisateur est responsable quant à lui des ressources qui lui sont confiées dans le cadre de l’exercice de ses fonctions. Il doit concourir à la protection des dites ressources, en faisant preuve de prudence et de vigilance. En particulier, il doit signaler à la DTSN toute violation ou tentative de violation de l’intégrité de ces ressources, et, de manière générale tout dysfonctionnement, incident ou anomalie.
Sauf autorisation expresse de la DTSN, (BYOD) l’accès au système d’information avec du matériel n’appartenant pas à l’entreprise (assistants personnels, supports amovibles…) est interdit.
Dans le cas où il a été autorisé, il appartient à l’utilisateur de veiller à la sécurité du matériel utilisé et à son innocuité.
En cas d’absence, même temporaire, il est impératif que l’utilisateur verrouille l’accès au matériel qui lui est confié ou à son propre matériel, dès lors que celui-ci contient des informations à caractère professionnel.
L’utilisateur doit placer ses données professionnelles dans les emplacements prévus par le système de sauvegarde
Il doit régulièrement supprimer les données devenues inutiles sur les espaces communs du réseau ou espace de travail collaboratif ; les données anciennes mais qu’il souhaite conserver doivent être archivées avec l’aide de la DTSN.
Il est interdit d’installer ou de supprimer des logiciels, de copier ou d’installer des fichiers susceptibles de créer des risques de sécurité au sein de l’entreprise.
Il ne doit pas non plus modifier les paramétrages de son poste de travail ou des différents outils mis à sa disposition, ni contourner aucun des systèmes de sécurité mis en oeuvre dans l’entreprise. Il doit dans tous les cas en alerter la DTSN.
L’utilisateur s’oblige en toutes circonstances à se conformer à la législation, qui protège notamment les droits de propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement automatisé de données, le droit à l’image des personnes, l’exposition des mineurs aux contenus préjudiciables.
Il ne doit en aucun cas se livrer à une activité concurrente à celle de l’entreprise ou susceptible de lui causer un quelconque préjudice en utilisant le système d’information.
Les utilisateurs sont informés que la DTSN a mis en oeuvre des outils de détection des comportements susceptibles de porter atteinte à la sécurité des systèmes d’information.
5. Internet – Accès aux sites
Dans le cadre de leur activité, les utilisateurs peuvent avoir accès à Internet. Pour des raisons de sécurité ou de déontologie, l’accès à certains sites peut être limité ou prohibé par la DTSN qui a mis en place des mécanismes de filtrage limitant l’accès à certains sites.
Seule la consultation de sites ayant un rapport avec l’activité professionnelle est autorisée. En particulier, l’utilisation de l’Internet à des fins commerciales personnelles en vue de réaliser des gains financiers ou de soutenir des activités lucratives est strictement interdite.
Il est aussi prohibé de créer ou mettre à jour au moyen de l’infrastructure de l’entreprise tout site Internet, notamment des pages personnelles.
Bien sûr, il est interdit de se connecter à des sites Internet dont le contenu est contraire à l’ordre public, aux bonnes moeurs ou à l’image de marque de l’entreprise, ainsi qu’à ceux pouvant comporter un risque pour la sécurité du système d’information de l’entreprise ou engageant financièrement celle-ci.
Les collaborateurs sont informés que la DTSN enregistre leur activité sur Internet et que ces traces pourront être exploitées à des fins de statistiques, contrôle et vérification dans les limites prévues par la loi, en particulier en cas de perte importante de bande passante sur le réseau de l’entreprise.
6. Messagerie électronique
6.1 Utilisation professionnelle de la messagerie
La DTSN attribue une adresse de messagerie électronique normalisée aux salariés pour l’exercice de leur activité professionnelle.
Les messages électroniques reçus sur la messagerie professionnelle font l’objet d’un contrôle antiviral et d’un filtrage anti-phishing et anti-spam.
Les salariés sont invités à informer la DTSN des dysfonctionnements qu’ils constateraient dans ce dispositif de filtrage.
6.2 Utilisation personnelle de la messagerie
Les messages à caractère personnel sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte. Les messages envoyés doivent être signalés par la mention « Privé » ou « Perso » dans leur objet et être classés dès l’envoi dans un dossier lui-même dénommé de la même façon.
Les messages reçus doivent être également classés, dès réception, dans un dossier lui-même dénommé « Privé » ou « Perso ».
En cas de manquement à ces règles, les messages sont présumés être à caractère professionnel.
Toutefois, les utilisateurs sont invités, dans la mesure du possible, à utiliser leur messagerie personnelle via un client en ligne pour l’envoi de messages à caractère personnel plutôt que la messagerie de l’entreprise.
7. Téléphonie
7.1 Utilisation professionnelle de la téléphonie
Pour leur activité professionnelle, les utilisateurs peuvent disposer d’un poste fixe et d’un terminal mobile, smartphone, tablette ou clé d’accès internet mobile. Pour ce qui est de l’utilisation des terminaux mobiles en connexion pour accès à des sites Internet ou à la messagerie électronique, les règles édictées ci-dessus s’appliquent de la même manière.
7.2 Utilisation personnelle de la téléphonie
L’utilisation à caractère personnel du téléphone, fixe ou mobile, est tolérée, à condition qu’elle reste dans des limites raisonnables en termes tant de temps passé que de quantité d’appels.
Les surcoûts pour l’entreprise engendrés par l’utilisation de la téléphonie à des fins personnelles devront être remboursés par les utilisateurs concernés.
Il s’agit tout particulièrement des appels à des numéros surtaxés et des appels depuis l’étranger ou à destination de l’étranger, au sens de la facturation téléphonique.
Les utilisateurs sont informés que la DTSN enregistre leur activité téléphonique, aussi bien sur les postes fixes que sur les mobiles. Ces traces seront exploitées à des fins de statistiques, contrôle et vérification dans les limites prévues par la loi.
Toutefois, seule la direction pourra avoir accès aux numéros détaillés, permettant d’identifier les interlocuteurs d’un utilisateur, et seulement en cas de différend avec lui.
8. Contrôle des activités
8.1 Contrôles automatisés
Le système d’information s’appuie sur des fichiers journaux (« logs »), créés en grande partie automatiquement par les équipements informatiques et de télécommunication.
Ces fichiers sont stockés sur les postes informatiques et sur le réseau.
Ils permettent d’assurer le bon fonctionnement du système, en protégeant la sécurité des informations de l’entreprise, en détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l’activité des utilisateurs et des tiers accédant au système d’information.
Les utilisateurs sont informés que de multiples traitements sont réalisés afin de surveiller l’activité du système d’information.
Sont notamment surveillées et conservées les données relatives :
– à l’utilisation des logiciels applicatifs, pour contrôler l’accès, les modifications et suppressions de fichiers ;
– aux connexions entrantes et sortantes au réseau interne, à la messagerie et à Internet, pour détecter les anomalies liées à l’utilisation de la messagerie et surveiller les tentatives d’intrusion et les activités, telles que la consultation de sites ou le téléchargement de fichiers ;
– aux appels téléphoniques émis ou reçus à partir des postes fixes ou mobiles pour surveiller le volume d’activités et détecter des dysfonctionnements.
L’attention des utilisateurs est attirée sur le fait qu’il est ainsi possible de contrôler leur activité et leurs échanges.
Des contrôles automatiques et généralisés sont susceptibles d’être effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.
8.2 Procédure de contrôle manuel
En cas de dysfonctionnement constaté par la DTSN, il peut être procédé à un contrôle manuel et à une vérification de toute opération effectuée par un ou plusieurs utilisateurs.
Le contrôle concernant un utilisateur peut porter sur les fichiers contenus sur le disque dur de l’ordinateur, sur un support de sauvegarde mis à sa disposition ou sur le réseau de l’entreprise, ou sur sa messagerie.
La sécurité est l’affaire de chacun, de ce fait, tous les utilisateurs doivent contribuer et mettre en application les règles de bon sens ainsi que les recommandations formulées par le service informatique.
Le bon sens et la rigueur sont les éléments essentiels au bon fonctionnement de notre système d’information.