Accord d'entreprise "Avenant à la convention collective relatif à la charte d'utilisation des moyens informatiques" chez CRF - CROIX ROUGE FRANCAISE (Siège)

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

AVENANT A LA CONVENTION COLLECTIVE RELATIF À LA CHARTE D’UTILISATION DES MOYENS INFORMATIQUES

ENTRE :

LA CROIX-ROUGE FRANCAISE, dont le siège social est situé 98 rue Didot – 75694 PARIS CEDEX 14, représentée par XXXX, en sa qualité de Directeur Général,

D’une part,

LES ORGANISATIONS SYNDICALES REPRESENTATIVES, ci-dessous désignées :

∙ L’organisation syndicale CGT, représentée par XXXX ayant mandat pour négocier et signer le présent accord,

∙ L’organisation syndicale CFDT, représentée par XXXX ayant mandat pour négocier et signer le présent accord,

∙ L’organisation syndicale CFTC, représentée par XXXX ayant mandat pour négocier et signer le présent accord,

∙ L’organisation syndicale FO, représentée par XXXX ayant mandat pour négocier et signer le présent accord,

∙ L’organisation syndicale CFE-CGC, représentée par XXXX ayant mandat pour négocier et signer le présent accord,

D’autre part.

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

L’annexe 8^ème partie de la convention collective est remplacée par le texte suivant

SOMMAIRE

Sommaire..................................................................................................................................................2

Objet du document ...............................................................................................................................3

Champ d’application............................................................................................................................3 Cadreréglementaire.............................................................................................................................5 Critères fondamentaux de la sécurité ..........................................................................................5

Les principes fondamentaux .....................................................................................................................5

Une mission de sécurité ............................................................................................................................6

Un enjeu technique et organisationnel.....................................................................................................6

Règles de sécurité ................................................................................................................................6

Droit d’accès..............................................................................................................................................6 Confidentialité de l’information et obligation de discrétion et de confidentialité ...................................6 Protection de l’information.......................................................................................................................7 Usages des ressources informatiques.......................................................................................................8 Usages des outils de communication......................................................................................................11 Usages des logins et des mots de passe..................................................................................................16 Abus d’emblème de la CRF......................................................................................................................16

Protection des donnéespersonnelles........................................................................................17 Gestion, restitution, et fin de vie des moyens et données informatiques ..................17 Règles d’attribution des ressources informatiques.................................................................................17 Règles d’accès en cas d’absence .............................................................................................................18 Le cas d’un départ ...................................................................................................................................18 En cas de décès d’un salarié....................................................................................................................19 Fin de vie du matériel informatique........................................................................................................19 Surveillance du système d’information.....................................................................................19 Contrôle...................................................................................................................................................19 Supervision technique.............................................................................................................................20 Traçabilité................................................................................................................................................20 Durées de conservation des informations ..............................................................................................21 Alertes .....................................................................................................................................................21 Responsabilité et sanctions ...........................................................................................................21 Processus d’adoption et de publicité.........................................................................................22 Annexe 1..................................................................................................................................................24

2

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Article 1^er. Objet de l’accord

La présente Charte a pour objet de décrire les règles d’accès et d’utilisation des ressources informatiques et des services Internet de la Croix-Rouge française (CRf) et rappelle à ses utilisateurs les droits et les responsabilités qui leur incombent dans l’utilisation du système d’information.

Elle pose des règles permettant d’assurer la sécurité et la performance du système d’information de la CRf et de chacune de ses structures, de préserver la confidentialité des données, dans le respect de la réglementation en vigueur, et des droits et libertés reconnus aux utilisateurs, conformément à la Politique Générale de Sécurité du Système d’Information (PGSSI) et au règlement général de la protection des données (RGPD) en vigueur depuis mai 2018.

Le non-respect de la présente charte peut donner lieu à des sanctions (proportionnée selon la gravité de la faute) décrites au chapitre 9 “Responsabilités et sanctions).

Article 2. Champ d’application de l’accord

La présente Charte concerne les ressources informatiques, les services Internet et téléphoniques de la CRf ainsi que tout autre moyen de connexion à distance permettant d’accéder, via le réseau informatique, aux services de communication ou de traitement électroniques interne ou externe.

Il s’agit principalement des ressources suivantes :

∙ Ordinateurs de bureau ;

∙ Ordinateurs portables ;

∙ Terminaux portables ;

∙ Imprimantes simples ou multifonctions ;

∙ Tablettes ;

∙ Smartphones ;

∙ Matériels biomédicaux et stations connectées ;

∙ Supports de stockage amovibles ;

∙ Téléphonie ;

∙ Et plus largement tout objet connecté.

L’application de cette Charte est complétée d’une part par la PGSSI et d’autre part par des procédures et fiches réflexes relatives à la protection des données à caractère personnel.

Cette Charte s’applique et est opposable à l’ensemble des utilisateurs de la CRf. On entend par utilisateurs tous les acteurs de la Croix-Rouge quel que soit son statut, et concerne notamment les collaborateurs permanents ou temporaires (stagiaires, internes, doctorants, prestataires, fournisseurs, sous-traitants, mécènes de compétences…) ainsi que tous les bénévoles de la Croix-Rouge française utilisant les moyens informatiques de la CRf, que cet accès soit réalisé depuis les locaux de la CRf ou à distance.

3

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Tout contrat ou convention entre la CRf et un tiers ayant accès aux données à caractère personnel, aux programmes informatiques ou autres moyens de la CRf devront stipuler que les utilisateurs (et ceux de leurs sous-traitants) s’engagent à respecter la présente charte ainsi que tout autre document relatif à la protection des données dans le cadre de leur mission.

Dans la présente Charte, sont désignés sous les termes suivants :

∙ Ressources informatiques : les moyens informatiques accessibles directement ou à distance ;

∙ Outils de communication : la mise à disposition par des serveurs locaux ou distants de moyens d’échanges et d’informations diverses (téléphonie, web, messagerie électronique, intranet, vidéo-conférence, chat, etc.) ;

∙ Données à caractère personnel : toute information se rapportant directement ou indirectement à une personne physique identifiée ou identifiable. A distinguer des données « privées » qui concerne la vie privée de l’individu.

∙ Données sensibles : au sens de la réglementation, une donnée « sensible » relève d’une série limitative de données : données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle. Les données sensibles sont des données secrètes.

∙ Données critiques de la CRf : les données critiques comprennent les données classifiées en C3-Confidentielles et C4-Secret au sein de CRf:

o Données confidentielles: classées C3-Confidentiel, il s’agit de données contenant un risque de perte significative pour l’association, crise d’image, mise en cause judiciaire, ou autre.

o Données secrètes: classées C4-Secret, il s’agit de données contenant un risque de perte ou de crise majeure, de nature à impacter la continuité / pérennité de l'association ou de l’un de ses établissements

Les données confidentielles et secrètes seront qualifiées de données « critiques ».

∙ DPO : Data Protection Officer ou Délégué à la protection des données, est la personne chargée de la protection des données personnelles au sein de la CRf.

∙ Utilisateurs : les personnes autorisées à utiliser les ressources informatiques et les services Internet de la CRf : salariés, bénévoles, stagiaires, prestataires, …

∙ Tiers : toute personne qui n’est pas la personne visée dans la disposition.

4

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Article 3. Cadre réglementaire

Le cadre réglementaire de l’utilisation des moyens informatiques est complexe. Il porte sur les grands thèmes suivants :

∙ Le traitement numérique des données, et plus précisément :

- Le traitement de données à caractère personnel et le respect de la vie privée y compris les données sensibles, dont les données de santé ;

- Le traitement des données critiques de la CRf.

∙ Le droit d’accès des personnes accompagnées et des professionnels de santé aux données médicales ;

∙ L’hébergement de données médicales ;

∙ Le secret professionnel et le secret médical ;

∙ La signature électronique des documents ;

∙ Le secret des correspondances ;

∙ La lutte contre la cybercriminalité ;

∙ La protection des logiciels et des bases de données et le droit d’auteur.

La présente Charte d’utilisation des moyens informatiques tient compte de la réglementation sur la sécurité de l’information en vigueur et des droits et libertés reconnus aux utilisateurs.

Les principaux textes législatifs applicables figurent en Annexe 1 de la présente Charte. Article 4. Critères fondamentaux de la sécurité

4.1. Les principes fondamentaux

La CRf héberge et traite des informations hautement sensibles et des données à caractère personnel, en ce compris des données sensibles sur les personnes accompagnées, telles que des données médicales et administratives sur les patients (dossier médical, dossier de soins) et des données sur le personnel (dossier administratif du salarié, fiche de paie…).

L’information se présente sous de multiples formes : stockée sous forme numérique sur des supports informatiques (physique, cloud et hybride), imprimée ou écrite sur papier, imprimée sur des films (images, vidéos), transmise par des réseaux informatiques privés ou Internet, par la poste, oralement et/ou par téléphone...

La sécurité de l’information est caractérisée comme étant la préservation de :

∙ Sa disponibilité : l’information doit être accessible à l’utilisateur, quand celui-ci en a besoin ;

∙ Son intégrité : l’information doit être exacte, exhaustive et conservée intacte pendant sa durée de vie ;

∙ Sa confidentialité : l’information ne doit être accessible qu’aux personnes autorisées à y accéder ;

∙ Sa traçabilité : les systèmes doivent comporter des moyens de preuve sur les accès et opérations effectuées sur l’information ;

5

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

4.2. Une mission sécurité

La CRf fournit un système d’information qui s’appuie sur une infrastructure informatique. Elle doit assurer la mise en sécurité de l’ensemble, c’est-à-dire protéger ces ressources contre des pannes, des erreurs ou des malveillances. Elle doit aussi protéger les intérêts de l’association et de ses adhérents en s’assurant que ces moyens sont bien au service de ces derniers. Elle doit donc caractériser et empêcher les abus.

Les rôles des acteurs de la sécurité du Système d’information sont fixés dans la PGSSI. 4.3. Un enjeu technique et organisationnel

Les enjeux majeurs de la sécurité sont la qualité et la continuité des actions d’aide et de soin, le respect du cadre juridique sur l’usage des données personnelles de santé.

Pour cela la CRf déploie un ensemble de dispositifs techniques, mais aussi organisationnels. En effet, au-delà des outils, la bonne utilisation des moyens informatiques est essentielle pour garantir un bon niveau de sécurité. La sécurité peut être assimilée à une chaîne dont la solidité dépend du maillon le plus faible. Certains comportements humains, par ignorance des risques, peuvent fragiliser le système d’information.

Article 5. Règles de sécurité

5.1. Droits d’accès

L’accès au système d’information de la CRf est soumis à autorisation. L'accès est créé sur la demande du manager et après la saisie d'informations dans le formulaire de création des comptes par le futur utilisateur. L'accès est octroyé ou refusé après validation ou infirmation des personnes compétentes.

Ce droit d’accès est strictement personnel et concédé à l’utilisateur pour des activités exclusivement liées à sa mission. Il ne peut être cédé, même temporairement à un tiers (sauf dans le cas de la messagerie après accord exprimé du titulaire dans l’intérêt exclusif de la continuité de service). Tout droit prend fin lors de la cessation, même provisoire, de l’activité professionnelle ou de la mission de l’utilisateur, ou en cas de non-respect des dispositions de la présente Charte par l’utilisateur.

L’obtention d’un droit d’accès au système d’information de la CRf entraîne pour l’utilisateur les droits et les responsabilités précisées dans les paragraphes ci-dessous.

5.2. Confidentialité de l’information et obligation de discrétion et de confidentialité

Les utilisateurs de la CRf sont soumis à une obligation de discrétion. Cette obligation revêt une importance toute particulière lorsqu’il s’agit de données critiques, ou de données à caractère personnel. Les personnels doivent faire preuve d’une discrétion absolue dans l’exercice de leur mission.

6

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Un comportement exemplaire est exigé dans toute communication, orale ou écrite, téléphonique ou électronique, que ce soit lors d’échanges professionnels ou au cours de discussions relevant de la sphère privée.

L’accès par les utilisateurs aux informations et documents conservés sur les systèmes informatiques doit être limité à ceux qui leur sont strictement nécessaires dans l’exercice de leur mission, ainsi que ceux qui sont publics ou partagés. Il est ainsi interdit de prendre connaissance d’informations détenues par d’autres utilisateurs, même si ceux-ci ne les ont pas explicitement protégées. Cette règle s’applique en particulier aux données couvertes par le secret professionnel, aux groupes de travail, aux espaces de travail partagés (serveurs partagés, Drive) et aux conversations privées de type courrier électronique ou messagerie instantanée dont l’utilisateur n’est ni directement destinataire, ni en copie.

L’utilisateur ne doit avoir accès qu’à l’information dont il a besoin pour réaliser ses tâches et les informations de communication CRf.

S’il prend connaissance d’une information qui ne lui est pas destinée, il ne doit pas la partager mais il doit avertir au plus vite la personne qui a transmis l’information par erreur et supprimer lorsque cela est possible l’information à son niveau.

Cette règle s’applique en particulier aux données couvertes par le secret professionnel, aux groupes de travail, aux espaces de travail partagés (serveurs partagés, Drive) et aux conversations privées de type courrier électronique ou messagerie instantanée dont l’utilisateur n’est ni directement destinataire, ni en copie.

En outre, si l’utilisateur prend connaissance d’un document comportant des données personnelles, il doit avertir au plus vite le DPO à l'adresse suivante: dpo@croix-rouge.fr.

L’utilisateur doit assurer la confidentialité des données qu’il détient. En particulier, il ne doit pas diffuser à des tiers, au moyen d’une messagerie non sécurisée, des informations nominatives et/ou confidentielles couvertes par le secret professionnel.

5.3. Protection de l’information

Les postes de travail permettent l’accès aux applications du système d’information. Ils permettent également d’élaborer des documents bureautiques. Il est important d’éviter au maximum de stocker des données ou des documents sur ces postes (disques durs locaux), et plus particulièrement s’ils comportent des données personnelles ou critiques. De même, les documents bureautiques produits doivent être stockés au maximum sur des serveurs de fichiers. Ces espaces sont à usage professionnel uniquement. Le stockage de données privées sur des disques réseau, le Cloud et l’intranet est interdit.

Le cas échéant, ceux qui utilisent un matériel portable (exemples : poste, tablette, smartphone…) ne doivent pas le mettre en évidence pendant un déplacement ni exposer son contenu à la vue d’un tiers (voisin de train, salle d’attente, espace de coworking par exemple…) ; le matériel doit être rangé en lieu sûr. De même, il convient de ranger systématiquement en lieu sûr tout support mobile de données (exemples : CD, clé, disque dur…).

Aucune donnée sensible ou critique ne doit être stockée sur des postes ou périphériques personnels, ni transmise sans un moyen de sécurisation adapté à la criticité de l’information et au destinataire de ladite information (chiffrement de bout en bout, utilisation de la messagerie sécurisée MS Santé pour les professionnels de santé).

7

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Il convient également de mettre sous clé tout dossier ou document critique lorsque l’on quitte son espace de travail.

Les médias de stockage amovibles (exemples : clés USB, CD-ROM, disques durs…) présentent des risques très élevés vis-à-vis de la sécurité : risques importants de contamination par des programmes malveillants (virus) ou risques de perte de données. Leur usage doit être limité et faire l’objet d’une très grande vigilance. L’établissement se réserve le droit de limiter, voire d’empêcher, l’utilisation de ces médias en bloquant les ports de connexion des outils informatiques.

L’utilisateur ne doit pas transmettre de fichiers critiques à une personne qui en ferait la demande et qu’il ne connaîtrait pas, même s’il s’agit d’une adresse électronique interne à l’établissement.

En cas de doute ou si la demande paraît incongrue, l’utilisateur doit en avertir le support DSI ou le RSSI de la CRf.

5.4. Usage des ressources informatiques

Seules des personnes habilitées de la DSI (ou par son intermédiaire la société avec laquelle elle a contracté) ont le droit d’installer de nouveaux logiciels, de connecter de nouveaux PC au réseau de l’établissement et, plus globalement, d’installer de nouveaux matériels informatiques.

L’utilisateur ne peut pas modifier la configuration des ressources mises à sa disposition (matériels, réseaux…) sans l’intervention des personnes habilitées de la DSI ou désignées par celle-ci.

Généralités

∙ Utilisation illicite ou abusive des ressources informatiques

Les unités de stockage du poste de travail de l’utilisateur et les unités personnelles de stockage ne doivent pas contenir de programmes, logiciels, documents, fichiers, informations ou données à caractère illicite et peuvent faire l’objet de vérifications et de contrôles par la DSI de la CRf, dans les limites prévues par la réglementation applicable en matière de protection de la vie privée et des données à caractère personnel et dans les conditions et selon les modalités prévues à l’article de la présente Charte.

Tout usage abusif (répété) ou illicite, contraire à l’ordre public et aux bonnes mœurs ou pour des finalités qui sont susceptibles d’être sanctionnées, par voie pénale, disciplinaire ou administrative, durant et/ou en dehors des heures normales de travail, des moyens de communication ou des outils informatiques est interdit et peut être puni de sanctions prévues à l’article 9 de la présente Charte.

∙ Utilisation professionnelle et utilisation à titre privée

Par « usage professionnel » on entend toute utilisation ayant un lien direct avec les activités exercées par l’utilisateur dans l’exercice de ses missions. Par opposition, on entend par « utilisation à titre privé », ou « usage non professionnel », celui qui n’a aucun lien direct avec les activités exercées par l’utilisateur dans l’exercice de ses missions.

8

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

D’une manière générale, un usage modéré, loyal, non lucratif, conforme aux réglementations applicables, des ressources informatiques à des fins privées est toléré sous réserve que cela ne nuise pas à la performance de la CRf et à l’accomplissement de ses missions.

Dans le cadre d’une utilisation privée, chaque utilisateur doit conserver ses informations privées dans un dossier nommé « privé » ou « personnel ». Aucune donnée professionnelle ne devra être stockée dans un répertoire nommé « privé » ou « personnel ».

Attention : un espace nommé « mes documents », ou identifié par des initiales de l’utilisateur ou son identifiant de connexion ne constitue pas un dossier privé et son contenu sera considéré comme professionnel.

Lorsque l’utilisateur quitte définitivement l’établissement, il doit procéder à la suppression de l’ensemble de ses fichiers privés. À défaut, il reconnaît à la CRf le droit d’y accéder et de les détruire.

De même, l’utilisateur s’engage à ne pas détourner les données professionnelles dont il a la charge dans l’exercice de ses missions, en la qualifiant frauduleusement d’information privée. De tels agissements exposent l’utilisateur aux sanctions prévues à l’article 9 de la présente Charte.

Spécificités

∙ Le poste de travail

Dans le cadre de sa mission, un utilisateur peut se voir fournir un ou plusieurs postes de travail, fixes ou nomades. Il est de son devoir d’appliquer les règles de bonne pratique liées à ce type de matériel. Notamment,

Le collaborateur doit :

o Veiller à conserver en bon état de fonctionnement le matériel et les logiciels mis à sa disposition ;

o Veiller à ce que les règles de verrouillage de session soient bien appliquées sur son matériel ;

o Signaler tout dysfonctionnement, anomalie sur le matériel, vol, perte ou sortie anormale du matériel de la CRf.

o Utiliser les espaces de stockage des lecteurs réseau, cloud d’entreprise et intranet pour héberger des données professionnelles selon son niveau de sensibilité.

o S’engager à sécuriser son matériel avec les moyens mis à disposition par la CRf (utilisation effective du système antivol, etc.).

o Utiliser de façon modérée les équipements professionnels pour un usage personnel.

9

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Le collaborateur ne doit pas :

o Faire usage de postes de travail pour lesquels il n’a pas été explicitement autorisé.

o Utiliser les espaces de stockage des lecteurs réseau, cloud d’entreprise et intranet pour héberger des données personnelles ;

o Accéder ou tenter d’accéder à un serveur ou à un poste de travail sans avoir été préalablement habilité ;

o Se livrer à des actions portant atteinte à la sécurité et au bon fonctionnement des serveurs, postes de travail et réseau de la CRf.

∙ Les logiciels et les applications

L’utilisation de logiciels du commerce est soumise au respect du code de la propriété intellectuelle défini par le législateur.

Chaque collaborateur doit avoir conscience :

o Que l’utilisation de logiciels est soumise à l’acquisition par l’entreprise de licences d’utilisation ;

o Que la loi protège les logiciels contre la copie ;

o Que sa responsabilité civile et pénale sera engagée en cas de copie non autorisée ou de piratage de logiciel ;

o Qu’un logiciel utilisé sans licence, qu’il soit gratuit ou non, est une contrefaçon et une source d’infection virale, voire d’intrusion par un tiers ;

o Qu’aucune installation de logiciel piraté sur le poste de travail, même pour utilisation à titre personnel, ne sera admise.

∙ Les espaces de stockage en nuage

Seuls les espaces de stockage en nuage (« Cloud ») mis à la disposition de la CRf peuvent être utilisés par les utilisateurs dans l’exercice de leurs missions.

Tout usage d’espaces de stockage privés (en dehors des espaces validés par la DSI) à des fins professionnels est proscrit. Toute information stockée dans des espaces non validés par la DSI doit être intégrée à l’espace Google Workspace de la CRf.

∙ Les équipements mobiles de stockage

L’usage de périphériques type clés USB ou disques durs externes doit rester exceptionnel (si l'utilisateur ne peut pas utiliser un autre moyen de stockage) :

o Seuls les périphériques de stockage fournis par la CRf sont autorisés ;

o Tout périphérique de ce type doit faire l’objet d’un scan par l’antivirus à chaque utilisation par l’utilisateur.

∙ Les accès distants et le nomadisme

La CRf permet un accès distant à son Système d’Information exclusivement via la solution de réseau privé virtuel (Virtual Private Network - VPN).

Pour assurer une maîtrise du niveau de sécurité de la connexion à distance, l’utilisateur met à jour cette solution à chaque fois que le support informatique le demande.

10

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Il est préférable que l’utilisateur ne se connecte pas sur un réseau public, et peu ou non sécurisé (TGV, hôtel, restaurant…). De même, il fait preuve de discrétion dans les lieux publics (l’utilisation de filtre de confidentialité est fortement recommandée) ou personnels :

o L’utilisateur faire preuve de discrétion sur son travail vis à vis de son entourage ;

o L’utilisateur utilise autant que de besoin un casque ou des écouteurs lors des conversations professionnelles ;

o L’utilisateur ne laisse pas son ordinateur/téléphone portable professionnel sans surveillance.

∙ Le BYOD

L’acronyme « BYOD » est l’abréviation de l’expression anglaise « Bring Your Own Device », qui désigne l’usage d’équipements informatiques personnels dans un contexte professionnel.

La CRf est responsable de la sécurité de ses données, y compris lorsqu’elles sont stockées sur des matériels dont elle n’a pas la maîtrise physique ou juridique, mais dont elle a autorisé l’utilisation pour accéder à ses ressources informatiques.

Ce type d’usage est toléré à titre subsidiaire, mais la CRf fournit à ses employés les moyens nécessaires à l’exécution de leurs tâches et se réserve donc le droit d’interdire le BYOD.

La CRf se réserve également le droit de cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel afin :

- De se prémunir de compromissions des systèmes d’informations de la CRf ; - D’empêcher l’accès par la CRf à des éléments relevant de la vie privée stockés dans l’espace personnel de l’équipement de l’utilisateur.

5.5. Usage des outils de communication

Les outils de communication tels que le téléphone, le fax, Internet ou la messagerie sont destinés à un usage exclusivement professionnel. L’usage à titre personnel, dans le cadre des nécessités de la vie privée, est toléré à condition qu’il soit très occasionnel et raisonnable, qu’il soit conforme à la législation en vigueur et qu’il ne puisse pas porter atteinte à l’image et aux principes et valeurs de la CRf. Il ne doit en aucun cas être porté à la vue des personnes accompagnées ou de visiteurs et accompagnants.

∙ Usage du téléphone et du fax

Le téléphone et le fax sont des moyens potentiels d’échanges de données qui présentent des risques puisque l’identité de l’interlocuteur qui répond au téléphone ou de celui qui réceptionne un fax n’est pas garantie.

11

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Il ne faut ainsi communiquer aucune information sensible par téléphone, notamment des informations nominatives, médicales ou non, ainsi que des informations ayant trait au fonctionnement interne de l’établissement. Exceptionnellement, une communication d’information médicale peut être faite après avoir vérifié l’identité de l’interlocuteur téléphonique (processus d'identito-vigilance). Si un doute subsiste, le numéro de téléphone de l’interlocuteur indiqué doit être vérifié, le cas échéant, dans les annuaires de personnes accompagnées ou de professionnels.

La communication d’informations médicales (exemples : résultats d’examens…) aux personnes accompagnées et aux professionnels extérieurs est strictement réglementée. Les utilisateurs concernés doivent se conformer à la réglementation et aux procédures de l’établissement en vigueur.

Il convient de retirer immédiatement des fax les documents contenant de l’information sensible ou classée. Il est nécessaire de détruire les documents sensibles ou comprenant des données personnelles à l’aide d’un broyeur.

Les téléphones portables mis à disposition du personnel doivent respecter les conditions d’utilisation suivantes :

- Une code d’accès doit être configuré ;

- Les réglages réalisés par la DSI (ou toute partie habilitée par elle) ne doivent pas être modifiés ;

- Les ajouts de fonctionnalités ou de programmes doivent respecter le cadre légal et réglementaire et ne doivent pas nuire ni à la sécurité, ni à l’usage professionnel.

∙ Usage d’Internet

L’accès à l’Internet a pour objectif d’aider les personnels à trouver des informations nécessaires à leur mission usuelle, ou dans le cadre de projets spécifiques. Une utilisation d’internet à des fins personnelles est tolérée, elle doit rester néanmoins raisonnable.

D’une manière générale, toute communication de données à caractère personnel et de données critiques à l’extérieur de la CRf est interdite en dehors des applications informatiques métier. La plus grande vigilance est recommandée pour des saisies d’informations sur internet.

Il est rappelé aux utilisateurs que, lorsqu’ils « naviguent » sur l’Internet, leur identifiant est enregistré. Il conviendra donc d’être particulièrement vigilant lors de l’utilisation de l’Internet et de ne pas mettre en danger l’image ou les intérêts de la CRf.

Par ailleurs, les données concernant l’utilisateur (exemples : sites consultés, messages échangés, données fournies à travers un formulaire, données collectées à l’insu de l’utilisateur…) peuvent être enregistrées par des tiers, analysées et utilisées à des fins, notamment commerciales. Il est donc recommandé à chaque utilisateur de ne pas fournir son adresse électronique professionnelle ni aucune coordonnée professionnelle, sur l’Internet, si ce n’est strictement nécessaire à la conduite de son activité professionnelle.

12

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Il est interdit et peut faire l’objet le cas échéant de sanctions, les actions suivantes :

- Participer et s’exprimer sur des forums, blogs et groupes de discussion au nom de la CRf sans habilitation donnée par la communication externe ;

- Émettre des opinions personnelles étrangères à l’activité professionnelle susceptibles de porter préjudice à la CRf ;

- Se connecter sur des sites et/ou télécharger des fichiers ou des données à caractère injurieux, violent, raciste, discriminatoire, pornographique, diffamatoire ou manifestement contraire à l’ordre public ;

- Utiliser son adresse professionnelle pour s’inscrire sur des sites ou des réseaux non liés à son activité professionnelle (jeux, commerce en ligne, etc.) ;

- Télécharger ou exploiter, tout ou partie des données numériques soumises au droit d’auteur ou à la loi des copyrights sans autorisation et sans mention des crédits en cas de publication

- Communiquer des données à caractère personnel, des informations critiques ou protégées par la législation ou la réglementation en vigueur à des tiers non autorisés ;

- Déposer des données professionnelles sur des sites grand public ou sur des espaces personnels sans en avoir été habilité ;

- Utiliser l’infrastructure de l’établissement à des fins de publication d’ordre privé, forum de discussion, réseaux sociaux, newsgroups, messageries instantanées, service d’échange collaboratif (web conférence, call conférence, etc.), activités rémunérées ou transactions financières n’ayant aucun rapport avec l’exercice de ses fonctions ;

- Participer à des chaînes de messages ;

- Diffuser ou télécharger des données ou des logiciels portant atteinte aux droits d’auteurs ou autres droits de propriété intellectuelle ;

- Consulter ou diffuser des données confidentielles, protégées par le secret professionnel ou protégées par la réglementation applicable à la protection des données, des usagers, des partenaires ou de ses collègues, sauf habilitation exprès ;

- Rechercher et utiliser des scripts (programmation informatique) et des programmes autres que ceux fournis par la CRF.

- Stocker ou déposer des documents professionnels sur des sites ou solutions informatiques n’ayant pas fait l’objet d’un contrat.

Tous les logs de connexion d’accès sont susceptibles d’être tracés.

Ce contrôle des accès aux sites visités permet de filtrer les sites jugés indésirables, notamment les sites dangereux pour la sécurité du réseau. Il permet de détecter, de bloquer et de signaler les accès abusifs (en matière de débits, volumes, durées), les accès à des sites illicites et contraires aux valeurs de la CRf.

La DSI, sur instruction du supérieur hiérarchique de l’utilisateur auteur de ces comportements illicites, se réserve le droit de bloquer à tout moment et sans avertissement préalable l’accès aux sites dont elle juge le contenu illégal, offensant ou inapproprié. La CRf ne saurait être tenue pour responsable de toute infraction commise par un utilisateur ne se conformant pas à ces règles.

13

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

∙ Usage de la messagerie électronique

L’usage de la messagerie est autorisé à l’ensemble des personnels salariés et bénévoles de la CRf. La messagerie permet de faciliter les échanges entre les acteurs de la CRf et vers les interlocuteurs en dehors de la CRf.

Les utilisateurs doivent garder à l’esprit que leurs messages électroniques peuvent être stockés, réutilisés, exploités à des fins auxquelles ils n’auraient pas pensé en les rédigeant, constituer juridiquement une preuve ou un commencement de preuve par écrit, ou valoir offre ou acceptation de manière à former un contrat entre la CRf et son interlocuteur, même en l’absence de contrat signé de façon manuscrite.

Un usage privé de la messagerie est toléré s’il reste exceptionnel. Les messages personnels doivent comporter explicitement la mention « privé » ou « personnel » dans l’objet. À défaut, les messages seront réputés relever de la correspondance professionnelle. Les messages marqués « privé » ou « personnel » ne doivent pas comporter de signature d’ordre professionnel à l’intérieur du message.

Il est interdit d’utiliser son adresse e-mail personnelle pour envoyer ou recevoir des e mails professionnels ou à vocation interne CRf. Des comptes éphémères sont créés pour les utilisateurs amenés à accéder au système d’information durant une courte durée.

Il est interdit d’attribuer une adresse e-mail CRf traditionnelle à une personne externe à la CRf. L’adresse mail d’un prestataire doit, par exemple, prendre la forme suivante : (com + 1ere lettre du prénom).externe@croix-rouge.fr

L’usage des listes de diffusion doit être strictement professionnel dans le cadre strict des missions de la CRf. Si une communication est faite à l’égard d’un bénévole et si ce dernier n’utilise pas une adresse CRF, le courriel doit être envoyé en ne divulguant pas son adresse électronique aux autres destinataires (Cci). Il en est de même pour les webinaires. En dehors de ce cas de figure, l’utilisation du champ Cci est à utiliser avec parcimonie. L’utilisateur doit éviter l’envoi de copies (Cc: ou Cci:) à un nombre injustifié de destinataires. L’utilisation de la fonction « répondre à tous » ne doit pas être systématique pour ne pas encombrer les boîtes de messagerie des destinataires.

Il est strictement interdit d’utiliser la messagerie pour des messages d’ordre commercial ou publicitaire (autre que ceux liés à aux missions de la CRf), du prosélytisme, du harcèlement, des messages insultants ou de dénigrement, des textes ou des images provocants et/ou illicites, ou pour propager des opinions personnelles qui pourraient engager la responsabilité de l’établissement ou porter atteinte à son image. Les utilisateurs sont tenus par leurs clauses de confidentialité et de loyauté contractuelles qui encadrent le contenu des informations qu’ils peuvent transmettre par email.

Afin de ne pas surcharger les serveurs de messagerie et pour des enjeux écologiques, les utilisateurs doivent veiller à éviter l’envoi de pièces jointes volumineuses, notamment lorsque le message comporte plusieurs destinataires. Seules les pièces jointes professionnelles de type « documents » ou « images » sont autorisées. Il est rappelé que le réseau Internet n’est pas un moyen de transport sécurisé. Il ne doit donc pas servir à l’échange et à la communication de données à caractère personnel ou de données critiques dans le corps du message ou en pièce-jointe du message électronique. En l’absence de dispositif de chiffrement de l’information de bout en bout, les informations d’ordre personnel ou stratégique doivent être rendues anonymes.

Chaque messagerie est associée à un compte personnel et ne peut être utilisée par un tiers sauf accord exprimé du titulaire dans l’intérêt de la continuité de service.

14

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

∙ Usage de la messagerie sécurisée de santé

La messagerie sécurisée de santé à destination des professionnels de santé doit être systématiquement utilisée en cas d’échanges de données personnelles de santé entre professionnels de santé. Tout professionnel de santé est tenu de respecter le cadre juridique de l’échange des données de santé (art L1110-4 du code de la santé publique). Les données de santé à caractères personnel sont des données hautement sensibles, protégées par la loi et dont le traitement est en outre soumis aux principes de la protection des données personnelles tels que définis par le RGPD.

Les administrateurs des Systèmes d’information ne peuvent pas avoir accès aux données échangées.

∙ Gestionnaire d’absence du bureau

Le gestionnaire (ou indicateur) d’absence du bureau est une fonctionnalité de la messagerie qui permet aux salariés, aux bénévoles et à certains prestataires de répondre automatiquement aux expéditeurs des messages envoyés pendant leur période d’absence du bureau, en particulier lorsque la continuité de l’activité s’impose, pour améliorer l’accueil et pour faciliter le traitement de l’information. Il appartient à chaque utilisateur de régler le gestionnaire d’absence du bureau de sa propre boîte de messagerie, avant toute période d’absence, et de s’assurer qu’il est bien désactivé à son retour.

Les informations communément indiquées dans le courriel de réponse automatique sont: La date de retour ;

La (les) personne(s) à contacter pour assurer la continuité de l’activité pendant cette période.

S’il ne peut le faire lui-même, en dernier recours et en cas d’absolue nécessité, la DSI peut être sollicitée pour intervenir après validation écrite du niveau hiérarchique supérieur du l’utilisateur concerné.

∙ Usage de la messagerie instantanée

La messagerie instantanée peut permettre de :

- Connaître la disponibilité d’une personne que l’on souhaite contacter ;

- Initier une conversation instantanée (par vidéo, audio, ou texte) entre 2 utilisateurs ou plus ;

- Partager des ressources informatiques en temps réel uniquement à des fins professionnelles et dans le strict exercice des missions des utilisateurs (bureau, fichiers) ;Il est strictement interdit de :

- Transmettre des fichiers comportant des données à caractère personnel, des informations confidentielles de la CRf non protégés par un mot de passe robuste tel que défini dans le chapitre suivant;

- Transmettre des données, des fichiers ayant un caractère explicitement indécent, contraire à l’ordre public, portant atteinte à la dignité ou à la vie privée (pornographie, etc.) ;

- Utiliser à des fins professionnelles des outils de messageries non homologuées par la CRf (WhatsApp, Facebook Messenger, etc.) ;

Chaque utilisateur doit faire preuve de courtoisie dans l’utilisation de la messagerie instantanée

15

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

5.6. Usages des logins et des mots de passe

Chaque utilisateur dispose d’un compte nominatif lui permettant d’accéder aux applications et aux systèmes informatiques de la CRf. Ce compte est personnel. Il est strictement interdit d’usurper une identité en utilisant, ou en tentant d’utiliser, le compte d’un autre utilisateur, ou en agissant de façon anonyme dans le système d’information.

Pour utiliser ce compte nominatif, l’utilisateur dispose d’un login et d’un mot de passe qu’il doit modifier dès sa 1ere connexion.

Le mot de passe choisi doit être robuste (8 caractères minimum, dont à minima 1 majuscule, 1 chiffre, 1 caractère spécial à chaque fois que l’outil utilisé le permet), de préférence simple à mémoriser, mais surtout complexe à deviner. Il doit être changé tous les 3 mois. Le mot de passe est strictement confidentiel. Il ne doit pas être communiqué à qui que ce soit : ni à des collègues, ni à sa hiérarchie, ni au personnel en charge de la sécurité des systèmes d’information, même pour une situation temporaire.

L’utilisateur ne doit pas stocker son mot de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d'autres personnes.

Pour certains services critiques, comme dans le cas de Google Workspace, une double authentification est demandée.

Chaque utilisateur est responsable de son compte et de son mot de passe, et de l’usage qui en est fait. La plupart des systèmes informatiques et des applications de la CRf (dont le Dossier Patient Informatisé) assurent une traçabilité complète des accès et des opérations réalisées à partir des comptes sur les applications associatives, sociales, médicales et médico-techniques, les applications administratives, le réseau, la messagerie, l’Internet… Il est ainsi possible pour l’établissement de vérifier a posteriori l’identité de l’utilisateur ayant accédé ou tenté d’accéder à une application au moyen du compte utilisé pour cet accès ou cette tentative d’accès.

C’est pourquoi il est important que l’utilisateur veille à ce que personne ne puisse se connecter avec son propre compte. Pour cette raison, sur un poste dédié, il convient de fermer ou verrouiller sa session lorsqu’on quitte son poste. Il ne faut jamais se connecter sur plusieurs postes à la fois. Pour les postes qui ne sont pas utilisés pendant la nuit, il est impératif de fermer sa session systématiquement avant de quitter son poste le soir.

Il est interdit de contourner, ou de tenter de contourner, les restrictions d’accès aux logiciels.

L’utilisateur s’engage enfin à signaler toute tentative de violation de son compte personnel au support informatique, au RSSI et au DPO.

5.7. Abus d’emblème de la CRF

Les utilisateurs ne doivent pas nuire à l’image de marque de la CRf à travers la communication d’informations à l’extérieur, via les moyens informatiques auxquels ils ont accès, en interne ou en externe, ou du fait de leur accès à Internet.

16

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Article 6. Protection des données personnelles

Les utilisateurs du système d’information de la Croix-Rouge française comportant des données à caractère personnel sont soumis à la réglementation applicable en matière de protection des données à caractère personnel, et en particulier, au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et la loi Informatique et libertés du 6 janvier 1978 modifiée. De façon générale, les utilisateurs doivent respecter les principes de protection des données (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité et respect des droits des personnes) qui s’imposent à la CRf.

Dans ce cadre, les utilisateurs doivent notamment :

∙ Saisir le DPO pour tout nouveau traitement de données à caractère personnel ;

∙ Porter au registre des activités de traitement de la CRf tout nouveau traitement ;

∙ S’assurer que l’encadrement contractuel des sous-traitants est conforme au RGPD le cas échéant ;

● Se conformer aux règles de sécurité et de confidentialité des données définies au sein de la CRf, dans le respect de la politique générale de sécurité des systèmes d’information (PGSSI), à la Politique de données à Caractère personnel et à la politique de conservation des données;

● Signaler auprès du DPO les incidents de sécurité impliquant des données personnelles.

Article 7. Gestion, restitution et fin de vie des moyens et données informatiques

7.1. Usage des ressources informatiques

Au moment de son arrivée à la CRf, chaque utilisateur se voit attribuer, après demande de son manager ou responsable de mission, le matériel mis à sa disposition (ordinateur, téléphone, badge…) nécessaire à l’exercice de ses fonctions. Il réalise la demande de création de compte à la DSI. Par la suite, l’utilisateur sera accompagné pour remplir le formulaire d’ouverture de compte. La CRf créée à cet effet pour chaque nouvel utilisateur un identifiant personnel de connexion lui permettant d’avoir accès aux ressources du système d’information. Les accès aux applicatifs métiers font l’objet d’une procédure spécifique selon la direction ou la structure concernée.

Il revient par ailleurs à chaque manager d’organiser les ressources au sein de son équipe (notamment via des espaces de stockage partagés), afin de faciliter au maximum la continuité d’activité en cas d’absence ou de départ.

Avant qu‘un utilisateur externe (consultant, sous-traitant, etc.) n’obtienne l’accès à une ressource informatique, un contrat doit être signé par la direction concernée et par cette tierce partie. Ce contrat inclura des clauses définissant les termes et conditions d’un tel accès et un engagement de confidentialité.

Les tiers utilisateurs doivent prendre connaissance et signer la présente charte avant de recevoir une identification de connexion individuelle leur permettant d’accéder aux ressources du système d’information.

17

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

7.2. Règles d’accès en cas d’absence

En cas d’absence de l’utilisateur, quelle que soit la raison de l’absence (congé, arrêt, mise à pied, déplacement professionnel…), celui-ci s’engage à faire le nécessaire pour mettre à disposition de son responsable hiérarchique ou de mission, pour le bon suivi des dossiers et activités dont il a la charge au sein de la CRf, tous éléments ou fichiers nécessaires au bon fonctionnement du service, ce par tout moyen (transfert de fichier, dossiers partagés…).

Si l’utilisateur n’a pas pu permettre l’accès à l’information nécessaire à la continuité de service malgré une prise de contact de son responsable hiérarchique (ou son responsable de mission) en ce sens, celui-ci demande l’accès aux éléments contenus dans le poste de travail ou la messagerie par écrit au Département Juridique de la Direction RH nationale. Cet écrit précise le nom du salarié ou bénévole concerné, le motif de la demande qui ne peut concerner que la continuité d’activité et le/les élément(s) recherché(s). L’autorisation d’accès est donnée par le Département Juridique de la Direction RH nationale après avis des DPO ou RSSI, puis transmise pour action à la DSI (exploitation).

L’utilisateur sera obligatoirement informé de cet accès par courrier par son responsable hiérarchique ou son responsable de mission.

Il est à noter que tout dossier ou message qui n’est pas identifié comme « personnel » ou « privé » est réputé être professionnel de sorte que la CRf peut y accéder. Il appartient à l’utilisateur d’identifier les contenus qui sont personnels. A défaut d’une telle identification, les contenus sont présumés être professionnels.

7.3. Le cas d’un départ

La date du départ de l’utilisateur correspond à l’échéance du contrat, du stage, de la mission, du bénévolat ou d’un changement de poste en interne ou de situation (détachement, retraite…).

L’utilisateur est informé qu’à son départ, il est de sa responsabilité de vider, de ses messages personnels ou documents personnels, sa messagerie et son poste informatique (ou tout autre équipement informatique mis à sa disposition).

Tout matériel mis à sa disposition (ordinateur, téléphone, badge…) doit être restitué avant le départ (sauf si un accord est formalisé entre le salarié et la CRf pour qu’il puisse garder son matériel et après l’avoir vidé de tout élément appartenant à la CRf et désactivé de tout accès) auprès du responsable hiérarchique, de structure ou de mission qui collecte le matériel et le transmet au service informatique. Une note de rappel est adressée au moment de la remise du solde de tout compte. Le service informatique tient une liste à jour du matériel et des propriétaires associés. Le service informatique avertit le gestionnaire RH pour un salarié ou le responsable de structure pour un bénévole en cas de non restitution d’un matériel devant être restitué.

Tout matériel non restitué (hors accord de non restitution), et après envoi d’un courrier RH ou par le responsable de structure, sera considéré comme volé et donnera lieu à une plainte.

18

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Tout changement de personnel doit être signalé à la DSI par le responsable du personnel qui instruit le dossier du personnel concerné pour suppression des droits et habilitations.

Au moment de son départ, les droits d’accès au SI de la CRf sont supprimés pour l’utilisateur, tel que le décrit la partie 5.1 (Droits d’accès). Le gestionnaire RH (ou le référent Gaia dans le cas d’un bénévole) est responsable de la mise à jour de la fiche de l’utilisateur sortant sur le logiciel correspondant, permettant la suppression des droits d’accès sur Google Workspace.

La durée pendant laquelle les données sont conservées et au terme de laquelle elles sont supprimées est fixée à 1 an à partir du solde de tout compte. Cette durée peut être étendue d’un an supplémentaire pour les postes à hautes responsabilités (Cadre position 14 minimum) ou d’élus et responsables d’activité.

7.4. En cas de décès d’un salaire

En cas de décès d’un salarié, les équipements informatiques sont récupérés, dans la mesure du possible, par son supérieur hiérarchique ou le responsable de structure et accompagnés, le cas échéant, par la DSI. A minima, les accès sont supprimés.

Un stockage et une transmission des données privées peuvent être envisagés après demande auprès ou venant de la famille dans un délai de 1 mois après le décès de la personne concernée. A l’issue toutes les données personnelles sont effacées.

En cas de décès avec réserve médico-légale ou donnant lieu à une enquête administrative et / ou judiciaire, les données et leurs supports sont conservées et mises sous séquestre jusqu’à la clôture des enquêtes.

7.5. Fin de vie du matériel informatique

La fin de vie et la mise au rebut des matériels appartenant à la CRf sont prévues et décrites dans le cadre d’une procédure décrite dans la PGSSI.

Article 8. Surveillance du système d’information

8.1. Contrôle

Pour des nécessités de maintenance et de gestion, l’utilisation des ressources matérielles ou logicielles, les échanges via le réseau, ainsi que les rapports des télécommunications peuvent être analysés et contrôlés dans le respect la PGSSI et de la législation applicable en matière de protection des données, et notamment du RGPD et de la loi Informatique et Libertés.

Il appartient au DPO et au RSSI de préciser les contrôles effectués pour s’assurer du respect de ces règles. Les contrôles doivent obéir aux principes de proportionnalité et de transparence, et s’exercer dans la limite du périmètre défini par les finalités suivantes :

La protection des utilisateurs de la CRf dans le cas où une levée de doute est nécessaire concernant un usage illicite par un tiers des informations placées sous leur responsabilité;

19

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

La prévention et la répression de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui, ainsi que la répression de ces faits;

La protection des intérêts du Département auxquels sont attachés un caractère de confidentialité, ainsi que la lutte contre les pratiques contraires ;

La sécurité et/ou le bon fonctionnement technique des systèmes informatiques ainsi que la protection physique des installations ;

La maintenance préventive, curative ou évolutive ;

Le respect des principes et règles d’utilisation des ressources des systèmes d’information, tels que définis par la présente charte et la PGSSI

La réalisation de statistiques techniques et anonymes.

Les modalités de contrôle sont spécifiées dans la PGSSI.

Par ailleurs, le contrôle du contenu de l’information s’inscrit dans le cadre des finalités décrites ci-dessus.

Conformément aux recommandations émises par la CNIL et à la jurisprudence en vigueur, la CRf ne peut accéder qu’aux informations de nature professionnelle, exception faite d’une injonction de justice. La DSI, dans le cadre de ses missions, n’a pas accès au contenu des informations placées sous la responsabilité des utilisateurs. Toutefois, si l’autorité judiciaire l’exige ou sur requête écrite et expresse du supérieur hiérarchique direct de l’utilisateur concerné, après avis motivé, la DSI peut activer des moyens informatiques lui permettant d’accéder au contenu des informations, en présence de l’utilisateur et/ou d’un représentant du personnel. Les analyses portant sur les usages d’utilisateurs précis ciblés, ne pourront être réalisées qu’après validation du Directeur Général sur la base d’une réquisition.

Le supérieur hiérarchique direct est le seul destinataire des résultats obtenus lors des contrôles du contenu. Il prendra les décisions qui s’imposent au regard de ces résultats notamment pour répondre aux requêtes des autorités judiciaires ou pour engager des sanctions ou des actions judiciaires adaptées aux circonstances.

8.2. Supervision technique

La supervision technique est nécessaire pour assurer le fonctionnement normal du système d’information. La DSI contrôle techniquement et rejette les flux d’information illicites ou abusifs et éventuellement des pièces jointes aux messages ou des fichiers téléchargés risquant de nuire à la sécurité du système d’information.

Ce contrôle ne s’exerce jamais sur le contenu de l’information.

8.3. Traçabilité

La CRf assure la traçabilité de l’ensemble des accès aux applications et aux ressources informatiques qu’elle met à disposition, pour des raisons d’exigence réglementaire de traçabilité, de prévention contre les attaques et de contrôle du bon usage des applications et des ressources.

20

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

8.4. Durées de conservation des informations

Pour répondre à des exigences réglementaires de traçabilité, de prévention contre les attaques et de contrôle du bon usage des applications et des ressources, la CRf s’engage à conserver ces informations selon les durées de conservation suivantes :

- Un an à partir du jour d’édition des journaux des usages de :

∙ Téléphonie et fax ;

∙ Messagerie électronique ;

∙ Supervision technique ;

∙ Accès aux applications et aux ressources informatique ;

∙ Accès distant aux SI

- Six mois à partir de la création des données de traçabilité sur les accès à l’internet

- 18 mois maximum concernant le log de la dernière connexion. A supprimer, dès que cela est possible, avant ce terme.

Les durées de conservation liées au départ ou au décès sont détaillées au chapitre 7.

Dans le cas où un utilisateur fait l’objet d’une procédure, le délai de conservation est prorogé jusqu’à l’expiration de la durée de prescription de la procédure en question.

8.5. Alertes

Tout constat de vol de matériel ou de données, d’usurpation d’identité, de détournement de moyen, de réception de messages interdits (tels que décrit dans le paragraphe 5.5 sur l’usage de la messagerie), de fonctionnement anormal ou, de façon plus générale, toute suspicion d’atteinte à la sécurité ou tout manquement substantiel à cette charte, doit être signalé à la DSI (ou au RIR) et au Responsable de la Sécurité du Système d’Information, ainsi qu’au DPO si l’incident concerne des données à caractère personnel.

La sécurité de l’information met en jeu des moyens techniques, organisationnels et humains. Chaque utilisateur de l’information se doit d’avoir une attitude vigilante et responsable afin que les personnes accompagnées bénéficient d’une prise en charge sécurisée et que leur vie privée, ainsi que celle des personnels, soit respectée.

Article 9. Responsabilité et sanctions

Les règles définies dans la présente Charte ont été fixées par la Direction générale de la CRf dans le respect des dispositions législatives et réglementaires applicables (annexe1).

La CRf ne pourra être tenu pour responsable des détériorations d’informations ou des infractions commises par un utilisateur qui ne se sera pas conformé aux règles d’accès et d’usage des ressources informatiques et des services Internet décrites dans la Charte.

Chaque utilisateur est responsable pénalement, selon les dispositions prévues au Code pénal, pour les infractions qu’il aurait commises par ou au moyen des outils informatiques ou des moyens de communication mis à disposition.

21

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

De plus, chaque utilisateur est responsable civilement pour les dommages qu’il aurait causés par ou au moyen des outils informatiques ou des moyens de communication mis à sa disposition. Cela signifie que l’usage abusif ou illicite des moyens de communication et des ressources informatiques mis à disposition par la CRf peut donner lieu au dépôt d’une plainte en justice ou une requête en indemnisation du dommage.

Le non-respect des règles et mesures de sécurité figurant dans la présente charte expose l’utilisateur, selon la gravité des infractions et leurs répercussions :

- A une limitation ou une suspension du droit d'utiliser tout ou partie du système d'information et de communication ;

- A une sanction disciplinaire proportionnée à la gravité des faits concernés et prise en conformité avec le règlement intérieur ;

- A des poursuites civiles ou pénales conformément aux dispositions légales en vigueur.

Article 10. Processus d’adoption, dépôt et de publicité

Cette Charte a été validée par la Direction générale de la CRf. Préalablement à sa mise en œuvre, elle a fait l’objet d’un travail en groupe technique paritaire, d’un passage en CPN, d’une signature du document via les délégués syndicaux centraux des organisations représentatives de la CRF et enfin d'un avis du CSEC de la CRf. Elle a été déposée au greffe du Conseil des Prud’hommes du ressort de la structure considérée. Elle a été communiquée à l’inspection du travail.

La Charte devient exécutoire un mois après l’accomplissement de ces formalités : il en sera de même à chaque modification.

La présente charte est remise à chaque nouvel utilisateur au moment de la signature de son contrat de travail, les sous-traitants (ou prestataires) au moment de la signature de leur contrat et à chaque nouveau bénévole au moment de la signature de la charte du volontariat.

Les contrats cadre de mécénat de compétence intègrent l’obligation pour les mécènes de compétence de se conformer à la charte informatique de la CRf.

La présente charte pourra être modifiée en fonction du contexte législatif et réglementaire. Elle est annexée à la convention collective.

Chaque utilisateur est invité à en prendre connaissance. La Charte est mise à leur disposition sur l’Intranet et / ou affichée dans les locaux de l’établissement.

Pour toute question relative au document, le RSSI peut être consulté (RSSI@croix rouge.fr).

Le présent accord est conclu pour une durée indéterminée.

Il sera présenté à l’agrément dans les conditions fixées à l’article L.314-6 du Code de l’action sociale et des familles.

Conformément aux dispositions légales et réglementaires en vigueur, le présent avenant sera déposé sur la plateforme de téléprocédure de Ministère du Travail, permettant de le publier (sous une version anonymisée) sur la base nationale d’accord collectifs. Un exemplaire auprès du greffe du Conseil de Prud’hommes de Paris.

Il sera notifié à l’ensemble des organisations représentatives à l’issue de la procédure de signature, conformément à l’article L.2231-5 du Code du Travail.

22

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914B

Fait à Montrouge, le 19 mars 2021

En 7 exemplaires originaux de 24 pages (annexes comprises)

Pour la Croix-Rouge française,

XXXX

13 avril 2021 | 18:30 CEST

# #

#Visa_CRf_DG-ou-RH#

Pour l’organisation syndicale CGT,

XXXX

#Visa_DSC_CGT#

Pour l’organisation syndicale CFDT,

XXXX

13 avril 2021 | 17:50 CEST

#Visa_DSC_CFDT#

Pour l’organisation syndicale CFTC,

XXXX

19 mars 2021 | 11:06 CET

#Visa_DSC_CFTC#

Pour l’organisation syndicale FO,

XXXX

22 mars 2021 | 12:30 CET

#Visa_DSC_FO#

Pour l’organisation syndicale CFE-CGC,

XXXX

19 mars 2021 | 11:40 CET

#Visa_DSC_CFE-CGC#

23

DocuSign Envelope ID: 402E3676-B183-4DC4-BA6A-E1ED7100914BAnnexe 1

∙ Code civil, art. 9 (respect dû à la vie privée, droit à l’image)

∙ Code pénal, notamment art. 226-1 et suivants (atteinte à la vie privée), art.226-13 à 226-14 (atteintes au secret professionnel), 226-15 et 432-9 (atteintes au secret des correspondances), 226-16 à 226-24 (atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques), 323-1 à 323-7 (atteintes aux systèmes de traitement automatisés de données)

∙ Code de la propriété intellectuelle, notamment art. L335-1 à L335-10 ; ∙ Code de la santé publique, notamment art. L1110-4 (secret professionnel et partage d'informations étendus en médical, médico-social et social), art. L.1111-8 et R. 1111-8-8 et s. (hébergement des données de santé), art. L. 1110-4-1 (référentiels de sécurité et d’interopérabilité des données de santé), art. L. 1460-1 et s. (mise à disposition des données de santé), art. L. 1111-8 et art. L 4113-7 (interdiction de procéder à une cession ou à une exploitation commerciale des données de santé) ;

∙ Loi du 1er Juillet 1992 relative au code de la propriété intellectuelle ∙ Loi du 29 juillet 1881 sur la liberté de la presse, notamment le chapitre IV ∙ Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

∙ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive95/46/CE (règlement général sur la protection des données)

∙ Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ∙ Loi du 5 janvier 1988 dite « Godfrain » relative à la fraude informatique ∙ Loi (646) du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications

∙ Loi du 15 novembre 2001 relative à la sécurité quotidienne (LSQ) ∙ Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité (LOPPSI 2)

∙ Loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet (HADOPI)