Acronymes
CIL | Correspondant Informatique et Libertés |
RSSI | Responsable de la Sécurité des Systèmes d’Information |
SI | Système d'Information |
Définitions
Activité universitaire | L’activité universitaire est celle découlant des missions de l’université définies par la loi, à savoir : les activités de recherche, d’enseignement, de développement technique, de transfert de technologies, de diffusion d’informations scientifiques, techniques et culturelles, d’expérimentation de nouveaux services présentant un caractère d’innovation technique, mais également toute activité administrative et de gestion découlant de ses activités. |
Code ou logiciel malveillant | Code ou logiciel développé dans le but de nuire aux ressources d’un SI. Les virus, vers, chevaux de Troie ou bombes logiques constituent des exemples de codes ou de logiciels malveillants. |
Donnée à caractère personnel | Donnée qui permet d’identifier directement ou indirectement les personnes physiques. Il peut s’agir d’informations qui ne sont pas nécessairement associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes et ses goûts. Exemples : nom, lieu de résidence, profession, éléments biométriques. |
Entité | Entité existante au sein de l’université, de ses composantes, services communs et services centraux pour l’accomplissement de ses missions. Exemples : laboratoires, départements ou filières d’enseignement, services administratifs ou techniques, etc. |
Messagerie | La messagerie électronique comprend les systèmes de courrier électronique, de messagerie instantanée et messagerie texte (SMS). |
Personne juridiquement responsable | Toute personne ayant la capacité de représenter l’université (Président, Vice-président, Directeur, etc.). |
Responsable de la Sécurité des Systèmes d’Information | Il est chargé avec son adjoint, par le Président de l’université, d’assurer la sécurité des systèmes d’information de l’université d’Orléans. |
Responsable de l’utilisateur |
Le responsable de l’utilisateur est :
|
Ressources du Système d’information |
Ensemble des ressources techniques, applicatives, organisationnelles, humaines et documentaires permettant de collecter, stocker, traiter, rechercher et/ou transmettre des données, en particulier :
|
Utilisateur |
Toute personne / individu ayant accès ou utilisant les ressources du système d’information de l’université d’Orléans, quel que soit son statut, en particulier :
|
Section 1.1 - Objet
La présente charte définit les règles d’usage et de sécurité que l’utilisateur et l’université s’engagent à respecter.
Elle a pour objet de définir les droits et les devoirs de chacun dans le cadre de l’utilisation des ressources du système d’information.
Elle est associée aux chartes des différents fournisseurs d’accès à Internet, notamment la charte RENATER, en ce qui concerne les modalités d’accès au réseau.
Section 1.2 - Domaine d’application
Les dispositions de la présente charte s’appliquent à l’université ainsi qu’à l’ensemble des utilisateurs.
Section 1.3 - Engagements de l’université
L’université porte à la connaissance des utilisateurs la présente charte.
L’université met en œuvre toutes les mesures nécessaires pour assurer la sécurité du système d’information et la protection des utilisateurs.
L’université facilite l’accès des utilisateurs aux ressources du système d’information. Les ressources mises à leur disposition sont prioritairement à usage universitaire, mais l’université est tenue de respecter l’utilisation du système d’information à titre privé, tel que défini dans la section 2.3.
Section 1.4 - Engagement de l’utilisateur
L’utilisateur est responsable, en tout lieu, de l’usage qu’il fait des ressources du système d’information de l’université d’Orléans.
L’utilisateur s’engage à respecter les dispositions de la présente charte.
Section 2.1 - Accès et utilisation des ressources du système d’information
L’utilisation des ressources du système d’information de l’université et la connexion d’un équipement externe au système d’information sont soumises à autorisation. Chaque entité peut prévoir des restrictions d’accès (carte à puce d’accès, filtrage d’accès sécurisé, etc.) spécifiques à son organisation, sous réserve de validation.
L’utilisateur est informé que :
Afin d’assurer la sécurité des accès aux ressources du système d’information, l’utilisateur doit :
Afin d’assurer la sécurité des accès aux ressources du système d’information, l’université est tenue de :
Pour les accès distants aux ressources du système d’information, il est rappelé que les chartes des différents fournisseurs d’accès au réseau Internet empruntés par l’utilisateur s’appliquent.
Section 2.2 - Utilisation d'équipements (ordinateur, mobile, tablette) externes au système d'information de l'université (privés ou extérieurs) dans le cadre professionnel
De manière générale seuls les matériels fournis, configurés et gérés par l'université (ou le CNRS dans le cas de laboratoires mixtes) sont autorisés à être connectés au réseau filaire de l'université.
Toutefois, pour répondre à la nécessité de service, l'utilisation d'un équipement externe dans le cadre d'activités professionnelles pourra être autorisée sous conditions :
L'autorisation d'utilisation d’un équipement externe dans le cadre d'activités professionnelles fait entrer l’équipement dans les ressources informatiques de l'université et comme tel dans le périmètre de la SSI, ce qui implique que :
Section 2.3 - Utilisation des ressources à titre privé
Les ressources du système d’information sont des outils mis à disposition pour une utilisation dans le cadre d’activités universitaires. L’utilisation de ces moyens peut également constituer le support d’une communication à titre privé dans les conditions décrites ci-après.
L’utilisation résiduelle des ressources du système d’information à titre privé doit être non lucrative et raisonnable, tant dans sa fréquence que dans sa durée. En toute hypothèse, le surcoût qui en résulte doit demeurer négligeable au regard du coût global d’exploitation.
Cette utilisation ne doit pas nuire à la qualité du travail de l’utilisateur, au temps qu’il y consacre et au bon fonctionnement du service. Toute information est réputée universitaire à l’exclusion des données explicitement désignées par l’utilisateur comme relevant de sa vie privée.
Il appartient à l’utilisateur de procéder au stockage de ses données à caractère privé dans un espace de données prévu explicitement à cet effet nommé « PRIVE » ou « PERSO ». La sauvegarde régulière des données à caractère privé incombera à l’utilisateur.
L’utilisateur, lors de son départ de l’université, est responsable de la destruction de son espace de données à caractère privé, la responsabilité de l’université quant à la conservation de cet espace ne pouvant être engagée à cet effet.
Les données sont conservées conformément à la réglementation en vigueur.
L’utilisation des systèmes d’information à titre privé doit respecter la réglementation en vigueur.
Section 2.4 - Utilisation des logiciels, données et applications
L’utilisateur est tenu de :
Lors d’un changement de poste ou d’habilitations d’un utilisateur, le responsable de l’utilisateur concerné a pour obligation d’informer le service compétent conformément à la procédure en vigueur.
Section 2.4.1 - Données sensibles
Les données sont considérées comme sensibles si leur divulgation à des personnes non autorisées, leur altération ou leur indisponibilité sont de nature à porter atteinte à la réalisation des objectifs de l’Université d’Orléans. Les informations d’authentification (mots de passe, certificats, etc.) sont considérées comme des données sensibles.
Stockage des données sensibles
L’hébergement des données sensibles de l’administration sur le territoire national est obligatoire.
Les données sensibles ne doivent pas être stockées sur du matériel autre que celui mis à disposition de l’utilisateur par l’université.
Un répertoire chiffré, recommandé par l’université, pourra être utilisé pour sécuriser le stockage d’informations sensibles.
Traitement des données sensibles
Le traitement d’informations sensibles au sein des zones d’accueil est à éviter. Si un tel traitement est strictement nécessaire, il doit rester ponctuel et exceptionnel.
Pour les postes de travail nomades manipulant des données sensibles, un filtre de confidentialité doit être positionné sur l’écran dès lors que le poste est utilisé en dehors de l’entité (en particulier dans les transports).
Transfert de données sensibles
Les données sensibles doivent transiter de préférence sur le réseau filaire de l’université et sur RENATER.
Dans le cas où elles doivent transiter sur un autre réseau, l’accès aux données sensibles devra se faire via le VPN de l’université d’Orléans.
Section 2.5 - Utilisation d'Internet
Section 2.5.1 - Accès à Internet
L’utilisation d’Internet est soumise à la législation en vigueur. Pour l’accès à Internet depuis le système d’information, les chartes des différents fournisseurs d’accès à Internet s’appliquent.
L’utilisateur est informé que, si une utilisation résiduelle privée peut être tolérée, les connexions à Internet établies grâces aux ressources du système d’information mises à disposition par l’université sont réputées avoir un caractère universitaire. L’université, ainsi que les différents fournisseurs d’accès à Internet, peuvent les rechercher aux fins de les identifier et de les contrôler conformément aux dispositions prévues par la loi.
L’université se réserve le droit de filtrer ou d’interdire l’accès à certains sites, de procéder au contrôle a priori ou a posteriori des sites visités et des durées d’accès correspondantes (ex : limitation de la bande passante vers des sites de téléchargements).
La consultation de l'historique de navigation d'un utilisateur nommé n'est autorisée que sur réquisition judiciaire.
L’accès à Internet n’est autorisé qu’au travers des dispositifs mis en place par l’université. Des règles de sécurité spécifiques peuvent être précisées, s’il y a lieu, dans un guide d’utilisation établi par l’entité.
L’utilisateur est informé des risques et limites inhérents à l’utilisation d’Internet par le biais d’actions de formation ou campagnes de sensibilisation.
Section 2.5.2 - Publications sur le site Internet de l’université
Toute publication de contenu sur le site Internet de l’université (page personnelle enseignants, chercheurs et enseignants chercheurs) relève de la responsabilité d’un publiant nommément désigné. Les publications doivent respecter les dispositions de la charte d’hébergement de l’université.
Section 2.5.3 - Téléchargement ou transfert de fichiers
Tout téléchargement ou transfert de fichiers, notamment de sons ou d’images, sur Internet doit s’effectuer dans le respect des droits de propriété intellectuelle.
L’université se réserve le droit de limiter le téléchargement de certains fichiers pouvant se révéler volumineux ou présenter un risque pour les ressources du système d’information (virus susceptibles d’altérer le bon fonctionnement du SI de l’université, codes ou logiciels malveillants, programmes espions, etc.).
Section 2.6 - Communication électronique
Section 2.6.1 - Adresses électroniques
L’université met à la disposition de certains utilisateurs une boite à lettres universitaire nominative lui permettant d’émettre et de recevoir des messages électroniques. L’utilisation de cette adresse nominative est ensuite de la responsabilité de l’utilisateur.
L’aspect nominatif de l’adresse électronique constitue le simple prolongement des coordonnées administratives : il ne retire en rien le caractère universitaire de la messagerie.
Une adresse électronique, fonctionnelle ou organisationnelle, peut être mise en place pour un utilisateur ou un groupe d’utilisateurs pour les besoins de l’université. Les adresses nominatives ne peuvent pas être partagées entre plusieurs utilisateurs.
La gestion des adresses électroniques correspondant à des listes de diffusion universitaires, désignant une catégorie ou un groupe d’utilisateurs, relève de la responsabilité de l’université : ces listes ne peuvent être utilisées sans autorisation explicite. Leur création à l’initiative d’un utilisateur doit être validée par son responsable avant leur utilisation.
L’utilisateur est informé que l’université pourra prendre des mesures de type conservatoire sur les comptes de messagerie lorsque la situation le justifie (exemple : blocage de compte en cas de suspicion de compromission, d’usage illicite ou contraire aux dispositions de la présente charte).
Section 2.6.2 - Contenu des messages électroniques
Tout message est réputé universitaire (en lien avec les activités de l’établissement) sauf s’il comporte une mention particulière et explicite indiquant son caractère privé ou s’il est stocké dans un répertoire privé de données. En ce sens, il appartient à l'utilisateur de procéder au stockage de ses messages électroniques à caractère privé dans un dossier prévu explicitement à cet effet nommé « PRIVE » ou « PERSO ».
Pour préserver le bon fonctionnement des services, l’université se réserve le droit de mettre en place des limitations, dont les termes sont précisés et portés à la connaissance de l’utilisateur par l’université.
Les messages comportant des contenus à caractère illicite sont interdits, quelle qu’en soit la nature. Il s’agit notamment des contenus contraires à la liberté d’expression ou portant atteinte à la vie privée d’autrui et plus généralement aux dispositions de l’article 2.4.
La consultation par un tiers des messages électroniques (non réputés privés) d'un utilisateur nommé n'est autorisée que sur réquisition judiciaire ou à des fins professionnelles liées à la continuité du service public (les conditions de consultation sont décrites à la section 2.7). La consultation est soumise au droit au respect de la vie privée.
Section 2.6.3 - Émission et réception de messages
L’utilisateur doit s’assurer de l’identité et de l’exactitude des adresses des destinataires des messages.
Il doit veiller à ce que la diffusion des messages soit limitée aux seuls destinataires concernés, eux-mêmes en petit nombre, afin d’éviter les diffusions de messages en masse, l’encombrement inutile de la messagerie ainsi qu’une dégradation du service.
Section 2.6.4 - Statut et valeur juridique des messages
Les messages électroniques échangés avec les tiers peuvent, au plan juridique, former un contrat, sous réserve du respect des conditions fixées par les articles 1369-1 à 1369-11 du code civil.
L’utilisateur doit, en conséquence, être vigilant sur la nature des messages électroniques qu’il échange, au même titre que pour les courriers traditionnels.
Section 2.6.5 - Stockage et archivage des messages
Chaque utilisateur doit mettre en œuvre les moyens nécessaires à la conservation des messages pouvant être indispensables ou simplement utiles en tant qu’éléments de preuve.
Section 2.7 - Continuité de service
Afin d’assurer la continuité de service, les personnels de l’université doivent privilégier le dépôt de leurs fichiers de travail sur des espaces partagés avec l’ensemble du service ou de l’équipe.
Également, dans la mesure du possible, les personnels de l’université doivent favoriser l’usage des alias de messagerie fonctionnels (Exemple : secretariat.service@univ-orleans.fr).
Lors du départ programmé d’un agent, le responsable hiérarchique prévoit le transfert des données professionnelles de l’agent partant (documents et messagerie), en concertation avec celui-ci.
En tout état de cause les données non situées dans le répertoire « PRIVE » ou « PERSO » sont considérées comme des données appartenant à l’établissement qui pourra en disposer.
En cas d'absence, il est recommandé aux personnels de l'université de mettre en place un message d'absence associé à leur messagerie. Ce message d'absence pourra préciser une autre personne à contacter durant l'absence. En cas de besoin, pour répondre à la nécessité de service, un message d'absence pourra être mis en place par le service informatique, à la demande du responsable hiérarchique du personnel, avec l'accord du RSSI.
Dans le cas où il serait nécessaire d’accéder aux données professionnelles d’un personnel de l’université en son absence et afin d’assurer la continuité de service, seul le Président de l’université peut donner son accord, dans le respect du droit à la vie privée et des dispositions de la loi Informatique et Libertés. Le Président signifiera alors son accord au RSSI et au responsable du service dont dépend la personne, en précisant les données auxquelles il est nécessaire d’accéder.
Section 2.8 - Devoir de signalement et d’information
L’utilisateur doit avertir son responsable ou le RSSI de toute anomalie ou dysfonctionnement constaté. Il signale également à son responsable toute possibilité d’accès à une ressource qui ne correspond pas à son habilitation.
L’utilisateur doit avertir son responsable et le RSSI en cas de doute concernant la divulgation possible de données sensibles.
Section 2.9 - Exploitation et contrôle des ressources du système d’information
L’utilisateur est informé que :
Les personnels chargés des opérations de contrôle des systèmes d’information sont soumis au secret professionnel. Ils ne peuvent divulguer les informations qu'ils sont amenés à connaître dans le cadre de leurs fonctions dès lors que ces informations sont couvertes par le secret des correspondances ou qu’identifiées comme telles, elles relèvent de la vie privée de l'utilisateur.
En revanche, ils doivent communiquer ces informations si elles mettent en cause le bon fonctionnement technique des applications ou leur sécurité, ou si elles tombent dans le champ de l'article 40, alinéa 2 du code de procédure pénale.
Section 2.10 - Traçabilité
L'université est dans l'obligation légale de mettre en place un système de journalisation de certains usages des ressources du système d'information, tels que les accès Internet, la messagerie et les données échangées.
Les conditions de collecte et d’utilisation des journaux sont décrites dans le document « Politique de gestion des journaux informatiques à l’université d’Orléans », joint à la présente charte.
Section 3.1 - Propriété intellectuelle
L'université rappelle que l’utilisation des ressources du système d'information implique le respect de ses droits de propriété intellectuelle ainsi que ceux de ses partenaires et plus généralement, de tout tiers titulaire de tels droits.
En conséquence, chaque utilisateur doit :
Section 3.2 - Loi Informatique et Libertés
L'utilisateur est informé de la nécessité de respecter les dispositions légales en matière de traitement automatisé de données à caractère personnel, conformément à la loi n° 78-17 du 6 janvier 1978 dite «Informatique et Libertés» modifiée.
Les données à caractère personnel sont des informations qui permettent, sous quelque forme que ce soit, directement ou indirectement, l’identification des personnes physiques auxquelles elles s’appliquent.
Toutes les créations de fichiers comprenant ce type d’informations et demandes de traitement afférent, y compris lorsqu'elles résultent de croisement ou d'interconnexion de fichiers préexistants, sont soumises aux formalités préalables prévues par la loi «Informatique et Libertés».
En conséquence, tout utilisateur souhaitant procéder à une telle création devra en informer préalablement le CIL qui prendra les mesures nécessaires au respect des dispositions légales.
Par ailleurs, conformément aux dispositions de cette loi, chaque utilisateur dispose d’un droit d’accès et de rectification relatif à l’ensemble des données le concernant, y compris les données portant sur l’utilisation des ressources du système d’information.
Ce droit s’exerce auprès du CIL ou du responsable du traitement qui est en l’occurrence le président de l’université d’Orléans.
Section 3.3 - Politique de Sécurité des Systèmes d’Information de l’Etat
L'utilisateur et l'université sont tenus de respecter les dispositions légales et réglementaires suivantes :
Section 3.4 - Protection du potentiel scientifique et technique de la nation
L'utilisateur et l'université sont tenus de respecter les dispositions légales et réglementaires suivantes :
Section 3.5 - Autres lois et réglementations applicables (liste non exhaustive)
L’utilisateur et l'université sont tenus de respecter les dispositions légales et réglementaires suivantes:
L’utilisateur est passible de sanctions dans les cas suivants :
Dans ces cas de figure, les sanctions applicables à l'utilisateur sont :
Par ailleurs, la personne juridiquement responsable pourra, sans préjuger des poursuites ou procédures de sanctions pouvant être engagées à l'encontre des personnels, limiter les usages par mesure conservatoire.
Le présent document annule et remplace tous les autres documents ou chartes relatifs à l’utilisation des ressources du système d’information.
La présente charte a été validée par le conseil d’administration de l’université d’Orléans le 29/01/2016 et est applicable à compter de ce jour.