Charte Informatique

PREAMBULE

La présente charte a pour objet de définir les règles d'utilisation du Système d’Information au sein de la société OSSABOIS, elle a également pour objet de sensibiliser les utilisateurs aux risques liés à l’utilisation de ces ressources en termes d’intégrité et de confidentialité des informations traitées.

Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite.

En effet, l’imprudence, la négligence ou la malveillance d’un utilisateur peuvent avoir des conséquences graves de nature à engager sa responsabilité civile et / ou pénale, ainsi que celle de l’entreprise.

GENERALITES

Valeur juridique de la charte :

La présente charte constitue une adjonction au règlement intérieur de l’entreprise et comporte de ce fait la même force obligatoire. Elle remplace et annule toutes dispositions contraires pouvant y exister.

Champ d’application :

La présente charte s’applique à tout utilisateur du Système d’Information de l’entreprise. Elle sera affichée dans les locaux de la société conformément à l’article R. 122-12 du Code du travail et librement accessible sur le réseau interne de l’entreprise.

Quelques définitions :

On entend par « Système d’Information » : l’ensemble des ordinateurs, fixes ou portables, tablettes, et tout autre matériel informatique, connectique ou bureautique en ce compris les serveurs physiques ou virtuels, switchs, câbles du réseau, fax, photocopieurs, téléphones, fixes ou portables ainsi que les logiciels intégrés.

On désignera sous le terme « Utilisateur » toute personne physique, salariée ou non d’OSSABOIS, et autorisée à utiliser, même de manière temporaire, les outils informatiques et les moyens de communication de l’entreprise.

Chaque utilisateur s’engage à utiliser le système d’information d’OSSABOIS dans le respect des dispositions ci-dessous :

REGLES D’UTILISATION DU SYSTEME D’INFORMATION D’OSSABOIS

Administration du Système d’Information et rôle du Responsable Informatique

Le ou les personnes chargées de l’administration du système d’information veillent à la protection, à la maintenance et au bon fonctionnement du Système d’information. Elles respectent la présente charte et s’assurent de sa bonne application.

Le Responsable Informatique a accès à l’ensemble des données techniques lui permettant de procéder au contrôle de l’utilisation du Système d’Information ou d’en assurer la maintenance. A ce titre il peut opérer les investigations nécessaires à la résolution de dysfonctionnements du système d’information et accéder aux données des Utilisateurs.

Toutefois, il est assujetti au devoir de réserve quant à la confidentialité des données qu’il est amené à connaitre dans le cadre de ses fonctions conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiées.

En sa qualité de responsable de traitement, l’entreprise veille à se conformer à la législation relative à la protection des données personnelles (notamment à la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ainsi qu’au règlement n°2016-678 du 27/04/2016 européen de protection des données).

L’entreprise prend toutes les précautions utiles afin de préserver la sécurité, la confidentialité et l’intégrité des données collectées et toute utilisation détournée de ces données.

Tout utilisateur dispose de la faculté d’exercer, dans les hypothèses définies par la réglementation, ses droits d'accès, de rectification, de suppression et de portabilité portant sur les données le concernant ainsi que du droit de demander la limitation ou de s’opposer au traitement. Il peut également définir les directives relatives à l’exercice desdits droits après son décès. Ces droits peuvent être exercés en écrivant à Marie-Noëlle ROBILLON, 4 Rue de la ZA de la Pra, ou en adressant un courrier électronique à mn.robillon@ossabois.fr.

L’utilisateur dispose enfin du droit d’introduire une réclamation auprès de l’autorité de contrôle, à savoir la CNIL.

L’entreprise se réserve le droit de donner accès aux données à caractère personnel en sa possession à la demande d’une autorité administrative ou judiciaire compétente.

Accès sécurisé au réseau interne

• Authentification

L’accès au réseau interne requiert l’utilisation d’un identifiant de connexion et d’un mot de passe choisi par l’utilisateur en fonction d’une stratégie de complexité et devant être renouvelé tous les six mois. Ces moyens d’authentification sont personnels et confidentiels.

L’Utilisateur est tenu de s’assurer que personne ne pourra utiliser ses moyens d’authentification, notamment en prenant soin de verrouiller ou d’éteindre son poste de travail durant son absence.

• Connexion VPN

L’utilisateur peut accéder aux données de l’entreprise depuis l’extérieur, il doit alors disposer d’une connexion sécurisée (VPN) délivrée par le Responsable Informatique.

Sauf dérogation particulière, les connexions sécurisées de type VPN sont paramétrées uniquement sur le matériel mis à disposition par l’entreprise, et en aucun cas sur des matériels personnels.

Utilisation des moyens d’information et de communication

• Poste de travail

OSSABOIS met à disposition de chaque Utilisateur un poste de travail comprenant l’ensemble des outils informatiques nécessaires à l’accomplissement de ses fonctions (ordinateur, téléphone fixe et/ou mobile, photocopieurs, fax, etc.) ainsi que les logiciels de l’entreprise.

Seul le responsable informatique est chargé de la configuration du poste de travail. Toute installation de logiciels supplémentaires est subordonnée à l’autorisation de service informatique.

• Authentification

On entend par équipement nomade tous les moyens techniques mobiles (ordinateur portable, tablettes, téléphone mobile …).

L’Utilisateur doit renseigner et signer un registre tenu par le service informatique, actant de la remise de l’équipement nomade. Il en assure alors la garde et la responsabilité et doit informer le Responsable Informatique en cas d’incident (vol, perte, dégradation…) afin qu’il soit procédé aux démarches nécessaires.

L’utilisation de ces équipements nomades appelle à une vigilance particulière en raison du risque d’atteinte à la confidentialité qu’ils comportent, en cas de vol notamment. L’Utilisateur veillera à mettre en place un moyen de verrouillage adapté à ces équipements, de manière à prévenir tout accès non autorisé aux données qu’ils contiennent.

• La messagerie électronique

Utilisation de la messagerie électronique :

La messagerie mise à disposition des Utilisateurs est destinée à un usage professionnel. Son utilisation à des fins personnelles est tolérée si elle n’affecte pas le travail de l’agent ni le fonctionnement et la sécurité du réseau. Toute utilisation jugée abusive par le Responsable Informatique pourra toutefois être sanctionnée.

Les e-mails identifiés comme « privés », « personnels » et/ou « confidentiels » bénéficieront du secret des correspondances, tel que prévus par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée. Leur consultation est limitée et strictement encadrée par la loi.

A défaut d’être identifiés comme tels, ils sont présumés professionnels et pourront être consultés sans formalité préalable et même en l’absence de l’Utilisateur par le Responsable Informatique dans le cadre d’une éventuelle investigation rendue nécessaire pour le bon fonctionnement du Système d’Information.

Adresse électronique :

Chaque Utilisateur dispose d’une adresse de messagerie électronique composée du prénom et du nom. En cas d’homonymie, le Responsable Informatique fixera la règle d’attribution. En cas de changement de nom, l’Utilisateur pourra demander une nouvelle adresse de messagerie électronique à son responsable hiérarchique qui, après validation, transfèrera la demande au Responsable Informatique.

Contenu des messages électroniques :

L’e-mail est un écrit pouvant engager la société. Il est reconnu comme preuve valable pour établir un fait ou un acte juridique. Les règles hiérarchiques et d’organisation des pouvoirs internes de signatures devront être respectées.

Aucun e-mail, y compris relevant de l’utilisation privée, ne devra comporter des éléments de nature offensante, diffamatoire, injurieuse, ou préjudiciables à OSSABOIS.

SPAM et e-mail non sollicité :

Les Utilisateurs sont appelés à faire preuve d’une vigilance toute particulière à l’égard des e-mails dont l’origine n’est pas clairement identifiée ou paraît douteuse et ne pas les ouvrir. En cas de doute, il est préférable de demander conseil au service informatique.

• Internet

Les Utilisateurs peuvent consulter les sites internet présentant un lien direct et nécessaire avec l’activité professionnelle.

L’utilisation d’internet à des fins privée est tolérée à condition qu’elle reste ponctuelle, raisonnable et n’affecte pas la sécurité du réseau.

La consultation de sites dont le contenu est contraire à la loi, à la morale ou à l’ordre public ou est susceptible de mettre en cause l’intérêt et la réputation d’OSSABOIS est strictement interdite.

L’entreprise met en place des règles de filtrage interdisant l’accès à certains sites considérés comme dangereux ou contraires aux dispositions du règlement interne d’OSSABOIS. Une absence de filtrage n’implique pas que la consultation de tels sites soit autorisée.

Le Responsable Informatique peut exercer un contrôle sur les durées de connexion et les sites visités, dans le cadre de sa mission de protection du Système d’Information.

• La téléphonie

L’utilisation des téléphones mis à disposition par OSSABOIS est réservée à des fins professionnelles. Toutefois, leur utilisation à des fins personnelles est tolérée à condition de ne pas nuire au bon fonctionnement des activités de l’entreprise.

L’Utilisateur est informé par la présente charte du suivi des consommations téléphoniques.

• L’espace de stockage

Utilisation de l’espace de stockage

Le stockage des dossiers et fichiers personnels sur le serveur est strictement interdit. Il est toutefois toléré sur les ordinateurs de bureau dans la mesure où cela ne perturbe pas leur fonctionnement et que leur contenu n'est pas contraire à la loi.

La sauvegarde des données

Seules les données enregistrées sur le serveur font l’objet de sauvegardes régulières. L’Utilisateur doit, par conséquent, stocker les données propres à l’exercice de son travail (fichiers, documents, e-mails…) sur le serveur. A défaut de respecter cette démarche, l’Utilisateur s’expose au risque de perdre des données qui ne pourront être restaurées.

La restauration de sauvegardes ne peut être effectuée que par le Responsable Informatique ou les personnes qui sont sous sa responsabilité.

• Utilisation du système d’information par la délégation unique du personnel

La Délégation Unique du Personnel dispose d’une adresse de messagerie propre et d’un répertoire qu’elle gère de façon autonome au sein du Système d’Information.

La Délégation Unique du Personnel est soumise aux mêmes règles d’utilisation du Système d’Information que tout autre Utilisateur.

En cas de non-respect de ces dispositions, l’autorisation d’utilisation du Système d’Information pourra être retirée.

Règles de de sécurité

Tout Utilisateur s’engage au titre de la présente charte à respecter les règles de sécurité suivantes :

• Signaler immédiatement au Responsable Informatique tout évènement remettant en cause la sécurité du Système d’Information d’OSSABOIS qu’il s’agisse d’une tentative de violation suspectée de son compte personnel ou de tout autre dysfonctionnement,

• Ne jamais confier son identifiant / mot de passe, même à un collègue de travail,

• Ne pas utiliser une fausse identité,

• Ne pas modifier les paramétrages de son poste de travail ou installer de logiciels sans autorisation expresse du Responsable Informatique,

• Ne pas copier, modifier ou détruire les logiciels propriété de la société OSSABOIS,

• Veiller à sécuriser l’accès à son poste de travail en son absence,

• Veiller à sécuriser l’accès à son téléphone mobile,

• Prendre toutes les dispositions utiles pour éviter le vol et/ou la dégradation du matériel mis à disposition par la société.

Droits de l’entreprise

• Surveillance et contrôle 

L’utilisation abusive des équipements informatiques mis à disposition des utilisateurs peut engager la responsabilité d’OSSABOIS. Il lui appartient donc de prendre les dispositions nécessaires au contrôle du respect des règles.

Dans ce cadre, mais également pour des nécessités d’administration des équipements et de maintenance, OSSABOIS peut mettre en place, dans le respect de la législation en matière de confidentialité et de vie privée des utilisateurs, des dispositifs de traçabilité et de contrôle lesquels portent notamment sur :

• Les applications pouvant avoir un impact sur les données à caractère personnel

• Les sites internet visités (type de site, nombre, durée de connexion, etc.)

• La taille et le nombre de messages et pièces jointes échangés par messagerie

• La bande passante réseau utilisée

• Le bon fonctionnement des outils de sécurité

• Les consommations téléphoniques

• Etc.

Ces contrôles constituent un traitement informatisé d’informations directement ou indirectement nominatives et font l’objet d’une déclaration à la CNIL avant leur mise en œuvre.

Préalablement à la mise en place de ces dispositifs, les utilisateurs sont informés par une note de service.

• Accès aux données d’un collaborateur

Toute consultation des données d’un utilisateur par un administrateur (accès à la boite mail, accès à sa session ou aux données de son poste de travail) respecte les principes fixés par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée. A ce titre la consultation n’est possible que sur autorisation de l’utilisateur.

Dérogations :

En cas d’absence prolongée (longue maladie) ou de circonstances particulières (licenciement) et dans le seul but de garantir la continuité du fonctionnement d’OSSABOIS ou la protection de son intégrité, le chef de service peut demander au service informatique, après accord de son directeur, le transfert des messages reçus.

Responsabilité et sanctions

Le manquement aux règles et mesures de sécurité et de confidentialité définies par la présente charte engage la responsabilité de l’Utilisateur et est susceptible de donner lieu à des sanctions.

Sanctions disciplinaires :

Les sanctions internes pouvant être prononcées en cas de violation des dispositions de la présente charte sont les suivantes :

• Dans un premier temps, un rappel à l’ordre émanant du Responsable Informatique après avis du Directeur du service d’information

• Dans un second temps et en cas de renouvellement des manquements, des sanctions disciplinaires pourront être prononcées. L’application de ces sanctions sera proportionnelle à la gravité du manquement constaté et pourra aller du simple avertissement jusqu’au licenciement.

Sanctions pénales :

Le non-respect des dispositions règlementaires et législatives applicables en matière de sécurité des systèmes d’information, dont la liste est fournie en annexe de la présente charte, est expose l’utilisateur aux sanctions pénales prévues par ces textes.

Par ailleurs, le règlement européen sur la protection des données personnelles prévoit désormais qu’en cas de non-respect des règles définies, le responsable du traitement des données personnelles encourt une amende allant jusqu’à 10M €, voire jusqu’à 2% du chiffre d’affaire annuel mondial.

Entrée en vigueur de la charte

La présente charte a été soumise à l’avis de la Délégation Unique du Personnel, conformément à l’article L. 1321-4 du Code du travail, et communiquée en deux exemplaires, à Monsieur l'Inspecteur du travail et au Greffe du Conseil des Prud'hommes de Montbrison (42).

Elle est applicable à compter du 1^er janvier 2019.

Pour la société OSSABOIS SA Pour la C.F.T.C

Maud BATTANDIER Isabelle MICHEL

ANNEXE : DISPOSITIONS LEGAGES APPLICABLES

• Loi n°88-19 du 5 janvier 1988, dite loi « Godfrain » relative à la fraude informatique

Dispositions pénale : art 323-1 à 323-7 du code pénal

• Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée

Dispositions pénales :

• Code pénal (partie législative) : art 226-1 à 226-24

• Code pénal (partie règlementaire) art R625-10 à R625-13

• Loi n°94-361 du 10 mai 1994 sur la propriété intellectuelle des logicielle

Dispositions pénales : art 335-2 du code pénal

• Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

• Loi Hadopi 1 dite « loi favorisant la diffusion et la protection de la création sur internet » du 12 juin 2009 et 2 dite « loi relative à la protection pénale de la propriété littéraire et artistique sur internet » du 28 octobre 2009

• Code de la propriété intellectuelle du 1^er juillet 1992

• Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

• Convention n°108 du Conseil de l’Europe du 28 janvier 1980 pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel.