Cet article est consacré à un exemple de charte qu’un organisme de recherche doit faire signer aux utilisateurs de son système d’information. Un tel document doit être approuvé par les organismes de concertation entre le personnel et la direction de l’établissement, c’est-à-dire en droit français le Comité d’entreprise pour les organismes de droit privé et le Comité technique paritaire central pour les organismes publics, puis il doit être promulgué par la direction au plus haut niveau. Une fois ces formalités accomplies, la charte devient partie intégrante du règlement intérieur de l’entreprise, et peut donc être opposée aux membres du personnel qui la transgressent, y compris devant les instances disciplinaires et juridiques. En outre, un membre du personnel qui enfreindrait une loi pénale signalée par la charte ne pourrait pas arguer de sa bonne foi devant un tribunal, ni rejeter la responsabilité de ses actes délictueux sur son employeur.
Une telle charte est destinée à faire l’objet d’une large publicité, et notamment à paraître sur le site Web de l’organisme.
Préambule de la charte
Cette charte de l’utilisateur des ressources informatiques et des services Internet de l’INSIGU1, désigné ci-dessous par « l’institut », est avant tout un code de bonne conduite. Il a pour objet de préciser la responsabilité des utilisateurs en accord avec la législation afin d’instaurer un usage convenable des ressources informatiques et des services Internet, dans le respect des dispositions légales et réglementaires en vigueur, avec des règles minimales de courtoisie et de respect d’autrui.
Pour tout renseignement complémentaire, les utilisateurs peuvent s’adresser, selon le cas, au responsable de leur unité, équipe, département ou service, au responsable régional informatique de la direction régionale dont ils dépendent, ou au Responsable de la sécurité des systèmes d’information de l’institut.
Définitions
On désignera sous le terme « entité » les structures créées par l’INSIGU pour l’accomplissement de ses missions, telles que les unités de recherche, les équipes, ainsi que les départements et services administratifs.
On désignera de façon générale sous le terme « ressources informatiques », les moyens informatiques de calcul ou de gestion locaux ainsi que ceux auxquels il est possible d’accéder à distance, directement ou en cascade à partir du réseau administré par une entité de l’institut.
On désignera par « services Internet », la mise à disposition par des serveurs locaux ou distants de moyens d’échanges et d’informations diverses : Web, messagerie, forum, etc.
On désignera sous le terme « utilisateur », les personnes ayant accès aux ressources informatiques et services Internet d’une entité de l’institut.
Accès aux ressources et aux services
L’utilisation des ressources informatiques et l’usage des services Internet ainsi que du réseau pour y accéder sont autorisés dans le cadre exclusif de l’activité professionnelle des utilisateurs conformément à la législation en vigueur.
L’activité professionnelle est celle prévue par les statuts du réseau MIRANDA pour la recherche scientifique, auquel est lié l’INSIGU, à savoir : les activités de recherche, d’enseignement, de développement technique, de transfert de technologies, de diffusion d’informations scientifiques, techniques et culturelles, d’expérimentation de nouveaux services présentant un caractère d’innovation technique, mais également toute activité administrative et de gestion découlant de ces activités ou les accompagnant.
L’utilisation des ressources informatiques partagées de l’entité et la connexion d’un équipement sur le réseau sont en outre soumises à autorisation. Ces autorisations, délivrées par le directeur de l’entité, sont strictement personnelles et ne peuvent en aucun cas être cédées, même temporairement, à un tiers. Ces autorisations peuvent être retirées à tout moment. Toute autorisation prend fin lors de la cessation, même provisoire, de l’activité professionnelle qui l’a justifiée.
L’entité pourra en outre prévoir des restrictions d’accès spécifiques à son organisation : chiffrement d’accès ou d’authentification, filtrage d’accès sécurisé, etc.
Règles d’utilisation, de sécurité et de bon usage
Tout utilisateur est responsable de son usage des ressources informatiques et du réseau auxquels il a accès. Il a aussi la charge, à son niveau, de contribuer à la sécurité générale et aussi à celle de son entité.
L’utilisation de ces ressources doit être rationnelle et honnête afin d’en éviter la saturation ou le détournement à des fins personnelles.
En particulier :
– il doit appliquer les recommandations de sécurité de l’entité à laquelle il appartient ;
– il doit assurer la protection de ses informations et il est responsable des droits qu’il donne éventuellement à d’autres utilisateurs, il lui appartient de protéger ses données en utilisant les différents moyens de sauvegarde individuels ou mis à sa disposition ;
– il doit signaler toute tentative de violation de son compte et, de façon générale, toute anomalie qu’il peut constater ;
– il doit suivre les règles en vigueur au sein de l’entité pour toute installation de logiciel ;
– il choisit des mots de passe sûrs, gardés secrets et il ne doit en aucun cas les communiquer à des tiers ;
– il s’engage à ne pas mettre à la disposition d’utilisateurs non autorisés un accès aux systèmes ou aux réseaux, à travers des matériels dont il a l’usage ;
– il ne doit pas utiliser ou essayer d’utiliser des comptes autres que le sien, ni tenter de masquer sa véritable identité ;
– il ne doit pas tenter, directement ou indirectement, de lire, modifier, copier ou détruire des données autres que celles qui lui appartiennent en propre ; en particulier, il ne doit pas modifier le ou les fichiers contenant des informations comptables ou d’identification ;
– il ne doit pas quitter son poste de travail ni ceux en libre-service en laissant des ressources ou services accessibles et il doit se déconnecter, sauf avis contraire de l’administrateur du réseau.
Confidentialité
L’accès par les utilisateurs aux informations et documents conservés sur les systèmes informatiques doit être limité à ceux qui leur sont propres, et ceux qui sont publics ou partagés. En particulier, il est interdit de prendre connaissance d’informations détenues par d’autres utilisateurs, quand bien même ceux-ci ne les auraient pas explicitement protégées. Cette règle s’applique également aux conversations privées de type courrier électronique dont l’utilisateur n’est destinataire ni directement ni en copie. Si, dans l’accomplissement de son travail, l’utilisateur est amené à constituer des fichiers relevant de la loi Informatique et Libertés, il devra auparavant en avoir fait la demande à la CNIL en concertation avec le Directeur de l’entité, le correspondant informatique et libertés de l’INSIGU et le service juridique de l’institut et en avoir reçu l’autorisation. Il est rappelé que cette autorisation n’est valable que pour le traitement défini dans la demande et non pour le fichier lui-même.
Respect de la législation
Il est strictement interdit d’effectuer des copies de logiciels commerciaux pour quelque usage que ce soit, hormis une copie de sauvegarde dans les conditions prévues par le code de la propriété intellectuelle. Ces dernières ne peuvent être effectuées que par la personne habilitée à cette fin par le responsable de l’entité.
Par ailleurs l’utilisateur ne doit pas installer de logiciels à caractère ludique, ni contourner les restrictions d’utilisation d’un logiciel.
Il est rappelé que les logiciels commerciaux disponibles pour les utilisateurs de l’INSIGU sont l’objet de licences par lesquelles des droits d’usage sont concédés à l’institut. Ces licences font l’objet de contrats conclus par l’institut. Il est de la responsabilité des personnels de respecter les termes de ces licences et de ces contrats ; y manquer serait un délit et, en outre, une faute professionnelle.
De même, l’installation sur un système informatique mis en œuvre par l’institut d’un logiciel dont le droit d’usage est acquis à titre privé par un membre du personnel n’est pas autorisée.
L’usage de logiciels commerciaux est régi par des contrats et protégé par des lois qui entraînent une responsabilité personnelle de leur utilisateur, que la responsabilité propre de l’institut en tant que personne morale ne saurait exonérer.
Préservation de l’intégrité des systèmes informatiques
L’utilisateur s’engage à ne pas apporter volontairement de perturbations au bon fonctionnement des systèmes informatiques et des réseaux (internes ou externes à l’institut), que ce soit par des manipulations anormales du matériel, ou par l’introduction de logiciels parasites connus sous le nom générique de virus, chevaux de Troie, bombes logiques...
Tout travail de recherche ou autre risquant de conduire à la violation de la règle définie au paragraphe précédent ne pourra être accompli qu’avec l’autorisation du responsable de l’entité et dans le strict respect des règles qui auront alors été définies.
Il est de la responsabilité de l’utilisateur de s’assurer de l’installation sur l’ordinateur qu’il utilise régulièrement de logiciels de protection contre les logiciels parasites évoqués ci-dessus. Le département du système d’information organise la distribution des logiciels de protection appropriés.
Usage des services Internet (Web, messagerie, forum...)
L’utilisateur doit faire usage des services Internet dans le cadre exclusif de ses activités professionnelles et dans le respect de principes généraux et des règles propres aux divers sites qui les proposent, ainsi que dans le respect de la législation en vigueur.
En particulier, il doit respecter les règles suivantes.
- Règles de bon usage
Il ne doit pas se connecter ou essayer de se connecter sur un serveur autrement que par les dispositions prévues par ce serveur ou sans y être autorisé par les responsables habilités.
Il ne doit pas se livrer à des actions mettant sciemment en péril la sécurité ou le bon fonctionnement des serveurs auxquels il accède.
Il ne doit pas usurper l’identité d’une autre personne et il ne doit pas intercepter de communications entre tiers.
Il ne doit pas utiliser ces services pour proposer ou rendre accessibles aux tiers des données et informations confidentielles ou contraires à la législation en vigueur.
Il ne doit pas déposer des documents sur un serveur sauf si celui-ci le permet, ou sans y être autorisé par les responsables habilités.
Il doit faire preuve de la plus grande correction à l’égard de ses interlocuteurs dans les échanges électroniques par courrier, forums de discussions, etc.
Il n’émettra pas d’opinions personnelles étrangères à son activité professionnelle susceptibles de porter préjudice à l’institut ou à ses agents.
Il doit respecter les lois et notamment celles relatives aux publications à caractère injurieux, raciste, pornographique ou diffamatoire.
- Publication sur l’Internet
La mise à la disposition du public d’un serveur Web appartenant au domaine insigu.fr, ou affichant le logo de l’institut ou manifestant de toute autre façon son appartenance à l’institut engage la responsabilité de l’institut et expose son image. L’ouverture d’un tel site est donc soumise à l’autorisation du département de l’information scientifique et de la communication. La publication de documents sur un site autorisé se fera ensuite sous la responsabilité des responsables d’entité, sous le contrôle a posteriori du département de l’information scientifique et de la communication, et selon les principes énoncés par la charte de bonne utilisation du réseau Internet dans les laboratoires institut, disponible sur le serveur http://www.insigu.fr.
- Responsabilité légale
La publication d’informations et de documents sur un support public tel que le Web entraîne une responsabilité personnelle de leur auteur devant la loi, que la responsabilité de l’institut en tant que personne morale ne saurait exonérer.
- Dispositifs de filtrage de trafic
L’institut met en oeuvre des dispositifs de contrôle du trafic provenant de l’Internet. Il s’agit notamment d’un système obligatoire de mandataires (proxy) effectuant un contrôle antivirus sur les documents chargés ainsi que d’un système de filtrage d’URL destiné à interdire l’accès à certains sites ou certains types de documents.
Toute l’activité de navigation, les accès autorisés ou interdits sont enregistrés et conservés par l’institut pour une durée d’un an, conformément à la législation.
La mise en œuvre de cette solution est faite dans le respect de la législation et a donné lieu à une information préalable des instances représentatives du personnel et du comité d’entreprise.
Surveillance et contrôle de l’utilisation des ressources
Pour des nécessités de maintenance et de gestion technique, l’utilisation des ressources matérielles ou logicielles ainsi que les échanges via le réseau peuvent être analysés et contrôlés dans le respect de la législation applicable et notamment de la loi sur l’informatique et les libertés.
La mise en œuvre de ces mesures est faite dans le respect de la législation et a donné lieu à une information préalable des instances représentatives du personnel et du comité d’entreprise.
Rappel des principales lois françaises
Il est rappelé que toute personne présente sur le sol français doit respecter la législation française, notamment dans le domaine de la sécurité informatique :
– la loi du 6 janvier 1978 dite « informatique et liberté » (cf. le site Web de la CNIL http://www.cnil.fr/) ;
– la législation relative à la fraude informatique, (article 323-1 à 323-7 du Code pénal, cf. http://www.legifrance.gouv.fr/) ;
– la législation relative à la propriété intellectuelle (cf. http://www.legifrance.gouv.fr/) ;
- la loi du 4 août 1994 relative à l’emploi de la langue française, (cf. http://www.culture.gouv.fr/culture/dglf/) ;
- la législation applicable en matière de cryptologie, (cf. http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/).
Application
La présente charte s’applique à l’ensemble des agents de l’institut tous statuts
confondus, et plus généralement à l’ensemble des personnes utilisant, de façon permanente ou temporaire, les moyens informatiques de l’entité ainsi que ceux auxquels il est possible d’accéder à distance directement ou en cascade à partir du réseau administré par l’entité.
Elle sera annexée, à titre d’information, aux contrats de travail conclus avec les agents contractuels et vacataires qui auront accès au système informatique de leur entité.
Elle sera en outre signée par toutes personnes accueillies à l’INSIGU et ayant accès audit système.