Accord d'entreprise "Charte relative à l'utilisation des systèmes d'information et de communication" chez NUMTECH SARL (Siège)

CHARTE RELATIVE A L'UTILISATION DES SYSTEMES

D'INFORMATION ET COMMUNICATION

Préambule

L'entreprise NUMTECH met en œuvre un système d'information et de communication nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique ainsi que des outils mobiles.

Les salariés, dans l'exercice de leurs fonctions, sont conduits à utiliser les outils informatiques et téléphoniques mis à leur disposition et à accéder aux services de communication de l’entreprise.

L'utilisation du système d'information et de communication doit être effectuée exclusivement à des fins professionnelles, sauf exception prévue dans la présente charte.

Dans un but de transparence à l'égard des utilisateurs, de promotion d'une utilisation loyale, responsable et sécurisée du système d'information, la présente charte pose les règles relatives à l'utilisation de ces ressources. Elle définit également les moyens de contrôle et de surveillance de cette utilisation mise en place, non seulement pour la bonne exécution du contrat de travail des salariés, mais dans le cadre de la responsabilité civile et pénale de l’employeur.

Validée par les Délégués du personnel, elle dispose d’un aspect réglementaire et est annexée au contrat de travail des salariés.

Elle ne remplace en aucun cas les lois en vigueur que chacun est censé connaitre.

Elle n'empêche en aucun cas le salarié de s'informer régulièrement, auprès d'organismes officiels tels que la CNIL, sur les bonnes pratiques en matière d'hygiène informatique.

1. Champ d'application

Utilisateurs concernés

Sauf mention contraire, la présente charte s'applique à l'ensemble des utilisateurs du système d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salariés, intérimaires, stagiaires, employés de sociétés prestataires ainsi que tout personne accédant au réseau interne du système d’information.

La Direction veille à la sécurisation des accès physiques aux locaux, au moyen de clés, badges et codes d’accès : les utilisateurs doivent s'assurer d'en conserver la propriété et la confidentialité.

Système d'information et de communication

Le système d'information et de communication de l'entreprise est notamment constitué des éléments suivants : ordinateurs (fixes ou portables), périphériques y compris clés USB et disques externes, photocopieurs, téléphones, smartphones, tablettes, logiciels, fichiers, données et bases de données, connexion internet, intranet, abonnements à des services interactifs.

La composition du système d'information et de communication est indifférente à la propriété sur les éléments qui le composent.

Autres accords sur l'utilisation du système d'information

La présente charte est sans préjudice des accords particuliers pouvant porter sur l'utilisation du système d'information et de communication par les institutions représentatives, l'organisation d'élections par voie électronique ou la mise en télétravail de salariés.

2. Confidentialité

Paramètres d'accès

L'accès à certains éléments du système d'information (comme la messagerie électronique ou téléphonique, les sessions sur les postes de travail, certaines applications ou services interactifs) est protégé par des paramètres de connexion (identifiants, mots de passe).

Les mots de passe doivent être uniques, comporter au minimum 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux) et doivent être modifiés tous les 6 mois.

Ces paramètres sont personnels à l'utilisateur et doivent être gardés confidentiels. Ils permettent en particulier de contrôler l'activité des utilisateurs. Toutefois, pour des raisons de sécurité et de persistance des données, ils doivent être communiqués à la Direction ou à défaut au Responsable Informatique.

Dans un souci d'hygiène informatique, ces paramètres doivent être mémorisés par l'utilisateur et ne pas être conservés, sous quelle que forme que ce soit. En tout état de cause, ils ne doivent pas être transmis à des tiers ou aisément accessibles. Ils doivent être saisis par l'utilisateur à chaque accès et ne pas être conservés en mémoire dans le système d'information.

Sauf demande formelle de la Direction, aucun utilisateur ne doit se servir pour accéder au système d’information de l’entreprise d’un autre compte que celui qui lui a été attribué. Il ne doit pas non plus déléguer à un tiers les droits d’utilisation qui lui sont attribués.

Pour des raisons de sécurité et de confidentialité des données, les sessions utilisateurs doivent être verrouillées en cas d'absence sur le poste de travail de plus 10 minutes.

Tout accès au réseau de l’entreprise depuis des postes externes doit passer par une authentification forte (par exemple, double authentification par mots de passe ou dongle VPN) mise à disposition par la Direction.

Tout autre moyen de connexion (logiciel d’accès distant ne faisant pas partie des recommandations ci-dessus) est prohibé.

L'accès au système d'information doit obligatoirement s'effectuer depuis les moyens de communication mis à disposition par l'entreprise, sauf autorisation expresse de la Direction.

Données

Chaque utilisateur est responsable pour ce qui le concerne du respect du secret professionnel et de la confidentialité des informations qu’il est amené à détenir, consulter ou utiliser. Les règles de confidentialité ou d’autorisation préalable avant diffusion externe ou publication sont définies par la Direction et applicables quel que soit le support de communication utilisé.

L’utilisateur doit être particulièrement vigilant sur le risque de divulgation de ces informations dans le cadre d’utilisation d’outils informatiques dans des lieux autres que ceux de l’entreprise (hôtels, lieux publics,...).

Il est conseillé de détruire systématiquement, en cas d'absence d'utilité professionnelle, tous documents générés par les imprimantes et photocopieuses, pouvant affecter la sécurité du système d'information.

De même, il est préconisé de chiffrer, dans la mesure du possible, toutes les données sensibles utilisées.

3. Sécurité

Rôle de l’entreprise

L'entreprise met en œuvre les moyens appropriés pour assurer la sécurité matérielle et logicielle du système d'information et de communication.

À ce titre, il lui appartient de limiter les accès aux ressources sensibles et d'acquérir les droits de propriété intellectuelle ou d'obtenir les autorisations nécessaires à l'utilisation des ressources mises à disposition des utilisateurs.

La Direction est responsable de la mise en œuvre et du contrôle du bon fonctionnement du système d'information et de communication. Elle veille à l’application des règles de la présente charte. Elle est assujettie à une obligation de confidentialité sur les informations qu’elle serait amenée à connaître.

Des procédures de sauvegardes régulières des données du système d’information (stations de travail et serveurs) sont appliquées par la Direction.

Des logiciels de chiffrement sont installés sur les terminaux nomades pour palier à tout vol de données.

La maintenance et la mise à jour régulière des stations de travail et des serveurs est assurée par le Service Informatique.

Responsabilité de l’utilisateur

L'utilisateur est responsable quant à lui des ressources qui lui sont confiées dans le cadre de l'exercice de ses fonctions. Il doit concourir à la protection des dites ressources, en faisant preuve de prudence et d'hygiène de sécurité.

Pour cela, l'utilisateur, en cas d'utilisation d'internet, doit privilégier, dans la mesure du possible, une utilisation WIFI de type WPA ENTREPRISE, EAP-TLS avec WPA2 ainsi que des protocoles réseaux sécurisés (SSH, POPS, SMTPS, HTTPS...) et des applications d'éditeurs mis à disposition par l'entreprise.

En particulier, il doit signaler à la Direction ou à défaut au Responsable Informatique, toute violation ou tentative de violation de l’intégrité de ces ressources et, de manière générale tout dysfonctionnement, incident ou anomalie, dans un délai maximum de 24 heures après sa survenance : en cas d'infection informatique, il est nécessaire au préalable de déconnecter le poste du réseau et de ne pas l'éteindre électriquement.

Sauf autorisation expresse de la Direction, l’accès au système d’information avec du matériel n’appartenant pas à l’entreprise (smartphones, appareils et supports amovibles,...) est interdit. Dans les cas exceptionnels où il a été autorisé, il appartient à l’utilisateur de veiller à la sécurité du matériel utilisé et à son innocuité.

De même la sortie de matériel appartenant à l’entreprise est interdite sauf accord express de la Direction ou du service informatique.

Seules les clés USB mises à disposition par l’entreprise devront être utilisées pour le transport de fichiers.

Toute installation de logiciel nécessite une validation préalable de la part du Responsable Informatique. L'utilisateur ne doit pas installer, supprimer des logiciels, copier ou installer des fichiers susceptibles de créer des risques de sécurité au sein de l'entreprise.

Il ne doit pas non plus modifier les paramétrages de son poste de travail ou des différents outils mis à sa disposition, ni contourner aucun des systèmes de sécurité mis en œuvre dans l’entreprise (notamment les mises à jour des systèmes d'exploitation et autres applications), ni entraver les systèmes de sauvegarde mis en place.

Il doit dans tous les cas en alerter la Direction ou à défaut le Responsable Informatique.

L'utilisateur s’oblige en toutes circonstances à se conformer à la législation, qui protège notamment les droits de propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement automatisé de données, le droit à l'image des personnes, l'exposition des mineurs aux contenus préjudiciables.

Il ne doit en aucun cas se livrer à une activité susceptible de lui causer un quelconque préjudice en utilisant le système d'information et de communication.

Précautions d’utilisation nomade

L’ordinateur professionnel utilisé n’est en aucun cas un ordinateur familial. Il s’agit d’un outil de travail. Aucun membre de la famille ou ami ne doit être autorisé à y accéder.

Le lieu de travail nomade (domicile en cas de télétravail, hôtel, transport public, espace de coworking, etc…) étant un lieu non maîtrisé de façon pérenne du point de vue de la sécurité, et qui ne présente pas les moyens de protection physique habituellement mis en œuvre dans les locaux de l’entreprise, l’utilisateur doit mettre en œuvre les précautions nécessaires :

• La session de travail doit être systématiquement verrouillée lorsque l’on s’absente de son poste,

• L'ordinateur ne doit pas être laissé dans un véhicule sans surveillance,

• Lorsqu'il n'est pas utilisé, l’ordinateur doit être stocké en lieu sûr (rangement dans un tiroir ou une armoire fermant à clé).

• Si possible utilisation d’un filtre de confidentialité ou dans tous les cas, s’assurer que l’affichage de l’équipement d’accès ne soit pas visible par l’entourage proche de l’utilisateur nomade.

Pour la sécurité du système d'information, il est fortement conseillé d’obstruer (au besoin avec un scotch), toutes les webcams ou micros intégrés aux équipements, en dehors de leur utilisation.

4. Internet

Accès aux sites

Dans le cadre de leur activité, les utilisateurs ont accès à Internet. Pour des raisons de sécurité ou de déontologie, l'accès à certains sites peut être limité ou prohibé par la Direction qui peut imposer des configurations du navigateur et installer des mécanismes de filtrage limitant l’accès à certains sites.

Seule la consultation de sites ayant un rapport avec l’activité professionnelle est autorisée. En particulier, l’utilisation de l’Internet à des fins commerciales personnelles en vue de réaliser des gains financiers ou de soutenir des activités lucratives est strictement interdite. Il est aussi prohibé de créer ou de mettre à jour au moyen de l’infrastructure de l’entreprise tout site internet, notamment des pages personnelles.

Bien sûr, il est interdit de se connecter à des sites Internet dont le contenu est contraire à l’ordre public, aux bonnes mœurs ou à l’image de marque de l’entreprise, ainsi qu’à ceux pouvant comporter un risque pour la sécurité du système d’information de l’entreprise ou engageant financièrement celle-ci.

Autres utilisations

Dans un souci de maîtrise et de limitation des connexions entrantes et sortantes, toutes utilisations personnelles de l'internet de l'entreprise, à travers des smartphones, assistants, tablettes, MP3..., est prohibé, sauf autorisation expresse de la direction.

La contribution des utilisateurs à des forums de discussion, blogs et réseaux sociaux, sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte.

En revanche, tout téléchargement de fichier, en particulier de fichier média, est prohibé, sauf justification professionnelle dûment validée par la hiérarchie.

Seuls les logiciels de messagerie instantanée référencés par la Direction sont autorisés.

Il est rappelé que les utilisateurs ne doivent en aucun cas se livrer sur Internet à une activité illicite ou portant atteinte aux intérêts de l'entreprise.

Ils sont informés que la Direction enregistre leur activité sur Internet et que ces traces pourront être exploitées à des fins de statistiques, contrôle et vérifications dans les limites prévues par la loi, en particulier en cas de perte importante de bande passante sur le réseau de l’entreprise.

5. Messagerie électronique

Les salariés disposent, pour l’exercice de leur activité professionnelle, d’une adresse de messagerie électronique normalisée attribuée par la Direction ou à défaut par le Responsable Informatique. La messagerie est accessible aussi bien à partir d’un logiciel de messagerie qu’à partir d’un navigateur Internet grâce à un Webmail.

Les messages électroniques reçus sur la messagerie professionnelle font l'objet d'un contrôle antiviral et d'un filtrage anti-spam. Néanmoins, les salariés doivent rester vigilants et s’assurer de la connaissance de la provenance (expéditeurs connus) et du contenu (pièces jointes attendues) des messages électroniques. Ils sont invités à informer la Direction ou à défaut le Responsable Informatique, des dysfonctionnements qu'ils constatent dans le dispositif de filtrage.

Conseils généraux

L'attention des utilisateurs est attirée sur le fait qu'un message électronique a la même portée qu'un courrier postal : il obéit donc aux mêmes règles, en particulier en termes d’organisation hiérarchique. En cas de doute sur l’expéditeur compétent pour envoyer le message, il convient d’en référer à son supérieur.

Un message électronique peut être communiqué très rapidement à des tiers et il convient de prendre garde au respect d'un certain nombre de principes, afin d'éviter les dysfonctionnements du système d'information, de limiter l'envoi de messages non sollicités et de ne pas engager la responsabilité civile ou pénale de l'entreprise et/ou de l'utilisateur.

Avant tout envoi, il est impératif de vérifier l'identité des destinataires du message et leur qualité à recevoir la communication des informations transmises. En présence d’information à caractère confidentiel, ces vérifications doivent être renforcées.

En cas d'envoi à une pluralité de destinataires, l'utilisateur doit respecter les dispositions relatives à la lutte contre l'envoi en masse de courriers non sollicités. Il doit également envisager l'opportunité de dissimuler certains destinataires, en les mettant en copie cachée, pour ne pas communiquer leur adresse électronique à l'ensemble des destinataires.

Le risque de retard, de non remise et de suppression automatique des messages électroniques doit être pris en considération pour l'envoi de correspondances importantes.

Les messages importants doivent être envoyés avec un accusé de réception ou signés électroniquement.

Les utilisateurs doivent veiller au respect des lois et règlements, et notamment à la protection des droits de propriété intellectuelle et des droits des tiers.

Les correspondances électroniques ne doivent comporter aucun élément illicite, tel que des propos diffamatoires, injurieux, contrefaisants ou susceptibles de constituer des actes de concurrence déloyale ou parasitaire.

La forme des messages professionnels doit respecter les règles définies par la Direction, notamment en ce qui concerne la mise en forme et surtout la signature des messages.

En cas d’absence supérieure à deux jours (congés, maladie, déplacement à l’étranger avec accès limité, etc…), le salarié doit mettre en place un message d’absence automatique. Le cas échéant, le Responsable Informatique pourra prendre l’initiative de mettre en place ce message.

Pour des raisons techniques, la taille, le nombre et le type des pièces jointes sont limités pour éviter l'engorgement du système de messagerie.

Utilisation personnelle de la messagerie

Les messages à caractère personnel sont tolérés, à condition de respecter la législation en vigueur, de ne pas perturber et de respecter les principes posés dans la présente charte.

Les messages envoyés doivent être signalés par la mention "Privé " dans leur objet et être classés dès l'envoi dans un dossier lui-même dénommé de la même façon. Les messages reçus doivent être également classés, dès réception, dans un dossier lui-même dénommé "Privé".

Toutefois, les utilisateurs sont invités, dans la mesure du possible, à utiliser leur messagerie personnelle via un client en ligne pour l'envoi de message à caractère personnel plutôt que la messagerie de l’entreprise.

Utilisation de la messagerie pour la communication destinée aux institutions représentatives du personnel

Afin d'éviter l'interception de tout message destiné à une institution représentative du personnel, les messages présentant une telle nature doivent être signalés et classés de la même manière que les messages à caractère personnel, mais en utilisant la mention "Délégué" dans leur objet à l’émission et dans le dossier où ils doivent être classés.

6. Téléphonie

Pour leur activité professionnelle, les utilisateurs peuvent disposer d’un poste fixe et d’un terminal mobile, smartphone, tablette ou clé routeur.

Pour ce qui est de l’utilisation des terminaux mobiles en connexion pour accès à des sites Internet ou la messagerie électronique, les règles édictées ci-dessus s’appliquent de la même manière.

De plus, il est rappelé que l’envoi de SMS est réservé aux communications professionnelles et qu’il engage la responsabilité de l’émetteur au même titre que l’envoi d’un courriel. Il est donc soumis aux mêmes règles rappelées plus haut.

Utilisation personnelle de la téléphonie

L’utilisation à caractère personnel du téléphone, fixe ou mobile, est tolérée, à condition qu’elle reste dans des limites raisonnables en termes tant de temps passé que de quantité d’appels.

Les surcoûts pour l’entreprise engendrés par l’utilisation de la téléphonie à des fins personnelles devront être remboursés par les utilisateurs concernés. Il s’agit tout particulièrement des appels à des numéros surtaxés et des appels depuis l’étranger ou à destination de l’étranger, au sens de la facturation téléphonique.

7. Données personnelles

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, définit les conditions dans lesquelles des traitements de données personnelles peuvent être opérés. Elle institue au profit des personnes concernées par les traitements des droits que la présente invite à respecter, tant à l'égard des utilisateurs que des tiers.

Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôles, prévus dans la présente charte. Ils sont, en tant que de besoin, déclarés conformément à la loi du 6 janvier 1978. Tout utilisateur pourra avoir accès aux données le concernant et ces données ne seront conservées que sur une durée maximale de 1 an.

Il est rappelé aux utilisateurs que les traitements de données à caractère personnel doivent être déclarés à la Commission nationale de l'informatique et des libertés, en vertu de la loi n° 78-17 du 6 janvier 1978. Les utilisateurs souhaitant réaliser, dans le cadre professionnel, des traitements relevant de ladite loi sont invités à prendre contact avec la Direction avant d'y procéder.

Conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016, les utilisateurs s'engagent à prendre toutes précautions, conformes aux usages et à l’état de l’art dans le cadre de leurs attributions, afin de protéger la confidentialité des informations auxquelles ils auront accès, et en particulier à empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

De même, les utilisateurs s'engagent :

• A ne pas utiliser les données auxquelles ils auront accès à des fins autres que celles prévues par leurs attributions,

• A ne pas divulguer ces données à des personnes autres que celles dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales,

• A ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de leurs fonctions,

• A prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de leurs attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données,

• A prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données,

• A s’assurer, dans la limite de leurs attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données,

• En cas de cessation de leurs fonctions, à restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité sera en vigueur pendant toute la durée des fonctions, et demeurera effectif, sans limitation de durée après la cessation des fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.

Toute violation aux présents engagements peuvent exposer les utilisateurs à des sanctions disciplinaires et pénales, conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.

8. Contrôle des activités

Contrôles automatisés

Le système d'information et de communication s'appuie sur des fichiers journaux ("logs"), créés en grande partie automatiquement par les équipements informatiques et de télécommunication.

Ces fichiers sont stockés sur les postes informatiques et sur le réseau. Ils permettent d'assurer le

bon fonctionnement du système, en protégeant la sécurité des informations de l'entreprise, en détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l'activité des utilisateurs et des tiers accédant au système d'information.

Les utilisateurs sont informés que de multiples traitements sont réalisés afin de surveiller l'activité du système d'information et de communication. Sont notamment surveillées et conservées les données relatives :

• à l'utilisation des logiciels applicatifs, pour contrôler l'accès, les modifications et suppressions de fichiers ;

• aux connexions entrantes et sortantes au réseau interne, à la messagerie et à Internet, pour détecter les anomalies liées à l'utilisation de la messagerie et surveiller les tentatives d'intrusion et les activités, telles que la consultation de sites web ou le téléchargement de fichiers ;

• aux appels téléphoniques émis ou reçus à partir des postes fixes ou mobiles pour surveiller le volume d’activités et détecter des dysfonctionnements.

L'attention des utilisateurs est attirée sur le fait qu'il est ainsi possible de contrôler leur activité et leurs échanges. Des contrôles automatiques et généralisés sont susceptibles d'être effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.

Il est précisé que chaque utilisateur pourra avoir accès aux informations enregistrées lors de ces contrôles le concernant sur demande préalable à la Direction.

De plus, les fichiers journaux énumérés ci-dessus sont automatiquement détruits dans un délai maximum de 1 an après leur enregistrement.

Procédure de contrôle manuel

En cas de dysfonctionnement constaté par la Direction, il peut être procédé à un contrôle manuel

et à une vérification de toute opération effectuée par un ou plusieurs utilisateurs.

Le contrôle concernant un utilisateur peut porter sur les fichiers contenus sur le disque dur de l’ordinateur, sur un support de sauvegarde mis à sa disposition ou sur le réseau de l’entreprise, ou sur sa messagerie.

Alors, sauf risque ou événement particulier, la Direction ne peut ouvrir les fichiers ou messages identifiés par l’utilisateur comme personnels ou liés à la délégation de personnel conformément à la présente charte, qu'en présence de l’utilisateur ou celui-ci dûment appelé et éventuellement représenté par un délégué du personnel.

9. Informations et sanctions

La présente charte est affichée publiquement et annexée au contrat de travail.

Elle est communiquée individuellement à chaque salarié.

Chaque utilisateur doit se conformer aux procédures et règles de sécurité édictées par la Direction dans le cadre de la présente charte.

Le manquement aux règles et mesures de sécurité de la présente charte est susceptible d'engager la responsabilité de l'utilisateur et d'entraîner à son encontre des avertissements, des limitations ou suspensions d'utiliser tout ou partie du système d'information et de communication, voire des sanctions disciplinaires, proportionnées la gravité des faits concernés.

Dans ce dernier cas, les procédures prévues dans le règlement intérieur et dans le Code du travail seront appliquées.

L’utilisation reconnue à des fins personnelles de certains services payants à travers le système de communication de l’entreprise donnera également lieu à remboursement de la part de l’utilisateur concerné.

10. Entrée en vigueur

La présente charte est applicable à compter du 1^ER aout 2019. Elle a été adoptée après information et consultation du Comité Social et Economique en date du 14 mai 2019

Le représentant du Comité Social et Economique Le Président