CHARTE D'UTILISATION DU SYSTEME D'INFORMATION

CHU de BESANCON Date de présentation au C.T.E. : 21 / 06 / 2007 Date de présentation en C.M.E : 10 / 04 / 2007 CHARTE D'UTILISATION DU SYSTEME D'INFORMATION Utilisation des Ressources Informatiques Version du 04/07/2007 Nom du document : SEC-PSSI-CHARTE INFO-FINALE-3.1

Table des matières 1 Pourquoi une charte d'utilisation du système d'information?... 3 2 La charte d'utilisation du système d'information... 3 3 L'utilisateur du système d'information... 4 3.1 Propriété du mot de passe... 4 3.2 La responsabilité de l'utilisateur... 5 3.3 Le matériel... 5 3.4 Les logiciels*... 5 3.5 Les fichiers... 5 3.6 La messagerie... 6 3.7 Messagerie de service et liste de diffusion... 7 3.8 Confidentialité des échanges... 7 3.9 Données de santé et messagerie électronique... 7 3.10 Messagerie universitaire... 7 3.11 Internet... 8 3.12 Accès distant au réseau de l établissement... 8 3.13 Les supports amovibles... 8 3.14 Obligation de vigilance... 8 4 Matériel informatique : Cas particuliers... 9 4.1 Postes Informatiques n appartenant pas à l établissement... 9 4.2 Réseau Wi-Fi/3G... 9 4.3 Équipements informatiques biomédicaux... 9 5 Les utilisateurs collectifs... 10 5.1 Propriété... 10 5.2 Responsabilité des utilisateurs collectifs et de leurs membres... 10 5.3 Messagerie interne... 10 6 Le service informatique... 10 7 Contrôle et confidentialité... 11 7.1 Nécessité de surveillance et de contrôle... 11 7.2 Respect de la vie privé des utilisateurs... 11 7.3 Respect de la légalité des usages des outils informatiques... 11 8 La portée de la charte... 12 8.1 Qui est concerné par la charte?... 12 8.2 Nature de la charte... 12 8.3 Modalités d'application... 12 8.4 Évolution de la charte... 12 Liste des Annexes Annexe juridique : Textes de référence Engagement de responsabilité 2

1 Pourquoi une charte d'utilisation du système d'information? "La sécurité informatique dans l'entreprise est un objectif qui doit être partagé et qui ne peut être atteint que dans un climat de loyauté et de confiance réciproque" (Rapport CNIL -mars 2001). C'est pourquoi l'établissement : rappelle à tous les utilisateurs de son système d'information que certains usages sont pénalement répréhensibles, que d'autres peuvent nuire au bon fonctionnement du réseau ou sont susceptibles d'engager la responsabilité de l'établissement, fixe par la présente charte, les règles générales d'utilisation et d'administration du système d'information de l'établissement. 2 La charte d'utilisation du système d'information Le bon usage des nouvelles avancées technologiques (Intranet, Internet...) nécessite d'une part, la mise en place de dispositifs techniques adaptés et, d'autre part, une mise en responsabilité de chaque utilisateur. Aussi est-il opportun de : rappeler les lois et les règlements encadrant les activités informatiques, officialiser les dispositifs pratiques mis en uvre par la collectivité pour les faire respecter, engager le personnel à respecter strictement les règles de bon usage, justifier les contrôles opérés pour garantir notamment l intégrité des systèmes et du réseau. On entend par «matériel informatique» l'ensemble des éléments matériels (moniteur, unité centrale, clavier, imprimante, souris ) et logiciels qui permettent le transfert, la mémorisation, la saisie, l'affichage, le traitement informatisé de l'information. Le matériel informatique mis à disposition de chaque agent/salarié par l'établissement afin qu'il accomplisse sa tâche ne constitue en aucun cas pour lui un espace privé dont l'identifiant qui en protège l'accès serait la clé personnelle. Ce dernier a pour seule fonction de protéger l'intégrité des données qu'il contient. La présente charte répond à plusieurs impératifs : - Sécurité. Nombreux sont les virus et autres comportements hostiles qui peuvent infester le réseau informatique. Afin d'en assurer le bon fonctionnement, l'établissement organise la protection de son système d'information vis-à-vis des agressions extérieures mais aussi en proscrivant les usages qui peuvent faciliter l'invasion du réseau. - Confidentialité. De par la nature même de son activité, l'établissement a mis en place des serveurs informatiques riches d'informations confidentielles sur les patients. Il serait tenu responsable au cas où cette confidentialité ne serait pas rigoureusement préservée. Cette obligation de confidentialité nécessite, de la part des utilisateurs, une attention permanente et des usages adaptés. - Légalité. Certains usages de la messagerie et d'internet sont pénalement répréhensibles, en particulier, ceux qui portent atteinte au respect des données nominatives et des droits d'auteur, à la tenue de propos à caractère raciste ou à la manipulation de documents pédophiles. - Efficacité. L'usage professionnel de la messagerie et d'internet est encouragé afin 3

d'améliorer la qualité, le confort et la rapidité du travail des salariés/agents. L'utilisation de ces outils ne doit cependant pas conduire à une baisse de l'efficacité des services. Il est rappelé que l usage à titre privé de ces outils (postes informatiques, Internet, mail ) est rigoureusement interdit pendant le temps de travail. En dehors du temps de travail, l usage à titre privé doit rester exceptionnel, ne pas gêner l'exercice des missions des services, respecter les conditions prévues par la présente charte, et faire l'objet d'un accord du cadre responsable du service. La Charte comprend les obligations tant des utilisateurs que des administrateurs du système d'information. Ainsi, chaque agent/salarié sera informé non seulement des bons usages qui le concernent directement mais aussi des règles qui encadrent l'activité nécessaire de ses collègues chargés du bon fonctionnement des systèmes et du réseau. Ce document sera présenté au C.E. / C.T.E. ainsi qu à la CME et mis en ligne sur l'intranet accompagné des documents pratiques complémentaires et des textes de référence en la matière. 3 L'utilisateur du système d'information Toute personne utilisant un poste informatique connecté au réseau de l'établissement est dénommée utilisateur, que ce poste informatique soit la propriété ou non de l établissement. Tout utilisateur est responsable de l'usage des ressources informatiques et du réseau auxquels il a accès. Il s'engage à prendre soin des matériels et des installations informatiques mis à sa disposition. 3.1 Propriété du mot de passe Chaque utilisateur accède au réseau ou à certaines ressources informatiques (courrier électronique, dossier médical informatisé, ) par des mots de passe personnels, uniques et confidentiels, dont il est propriétaire. Chaque utilisateur est responsable de la conservation confidentielle de ses mots de passe. Les mots de passe doivent posséder certaines caractéristiques: non trivial*, difficile à deviner, régulièrement modifié, secret, etc. Par conséquence, l'inscription du mot de passe sur un papier collé sur l'écran ou sous le clavier (par exemple) est formellement interdite. (*) Méthodes préconisées pour fabriquer un mot de passe : Méthode phonétique : Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase «J'ai acheté huit cd pour cent euros cet après midi» deviendra ght8cd%e7am. Méthode des premières lettres : Cette méthode consiste à garder les premières lettres d'une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation «un tiens vaut mieux que deux tu l'auras» donnera 1tvmQ2tl'A. 4

3.2 La responsabilité de l'utilisateur Toutes les connexions réalisées à l'aide du mot de passe de l'utilisateur engagent la responsabilité de son propriétaire. En conséquence, l'utilisateur doit assurer la confidentialité de sa signature. En cas de doute, il peut à tout moment en changer. Il lui appartient d'éteindre son ordinateur ou de verrouiller sa session, dès qu'il quitte son poste de travail. 3.3 Le matériel L'utilisateur est responsable du matériel qui lui a été confié. Il ne doit pas modifier sa configuration, ni procéder à des ajouts de périphériques (notamment des dispositifs de connexion WIFI, 3G ). Il peut demander par la voie hiérarchique au service informatique à être doté de matériel supplémentaire. Concernant les équipements mobiles, notamment les ordinateurs portables, si l établissement autorise l utilisation de matériel informatique à l extérieur de l établissement, dans le cadre strict des missions de l utilisateur, leur emploi répond au minimum aux exigences en règle à l intérieur de l établissement. Il est rappelé que ce matériel reste la propriété de l établissement. 3.4 Les logiciels* L établissement veille à doter chaque utilisateur, des logiciels adaptés à ses missions. Un utilisateur ne doit pas sans l autorisation de sa hiérarchie et du service informatique équiper son poste de logiciels supplémentaires. En tout état de cause, l'installation doit être effectuée sous la supervision du service informatique. Il est formellement interdit de copier les logiciels d'autres utilisateurs et d'utiliser des logiciels dont l'établissement n'aurait pas acquis les licences. Il est rappelé que de nombreux petits programmes gratuits apparemment anodins (post-it, mail, météo, barres d outils IE ) sont utilisés pour introduire des programmes malicieux à l insu des utilisateurs. Leur installation est donc fortement déconseillée. En particulier, l'utilisateur s'engage à ne pas tenter d'utiliser de logiciels de type peer-to-peer (Kazaa, Skype, etc). Pour des raisons de sécurité, l utilisation de certains logiciels qui peuvent faciliter l'invasion du réseau est proscrite. La liste des principaux logiciels proscrits est précisée dans la «Politique de Sécurité du Système d Information» de l établissement, elle est accessible à tous les utilisateurs sur l intranet. (*) Pour les équipements connectés au réseau de l établissement, mais dont ce dernier n est pas le propriétaire (recherche clinique, université ) se référer au paragraphe 4. 3.5 Les fichiers L'ensemble des données saisies est mis en forme par l'utilisateur dans le cadre de ses missions appartenant à l'établissement. L'utilisateur est pleinement responsable de la sauvegarde de ses productions. Pour prévenir la perte accidentelle de fichiers, l établissement met à la disposition de 5

l utilisateur un espace sécurisé de stockage accessible par le réseau (serveurs bureautiques sécurisés). La création, l utilisation de fichiers contenant des données à caractère personnel sont soumis à l autorisation préalable du responsable de la sécurité du système d information (RSSI) de l établissement qui prend les dispositions nécessaires à leurs déclarations à la Commission Nationale Informatique et Libertés (CNIL). Le responsable de la sécurité du système d information peut être contacté par courrier électronique à l adresse suivante : ssi@chu-besancon.fr Pour assurer la confidentialité des données personnelles de l utilisateur, lors des opérations de maintenance ou de réparation, les éventuels fichiers personnels, dont il assume la pleine et entière responsabilité, doivent être rassemblés dans un dossier unique intitulé "privé" ou "personnel". 3.6 La messagerie La messagerie permet aux utilisateurs qui en disposent de communiquer en interne et en externe. L établissement attribue une adresse personnelle de messagerie à tous les agents qui requièrent ce moyen de communication pour l accomplissement de leurs missions. Un agent peut donc demander par voie hiérarchique au service informatique à être doté d une adresse personnelle de messagerie. Chaque boîte de messagerie est définie par un code d identification unique auquel est associé un mot de passe. L'utilisateur de messagerie doit ouvrir quotidiennement sa correspondance électronique et y répondre (le volume par boîte aux lettres, actuellement limité à 10 Mo, évoluera pour répondre au mieux aux besoins des utilisateurs). Il doit porter une attention particulière à la rédaction de ses messages qui doivent être clairs et écrits en bon français. En outre, un message peut engager l'établissement. Aussi, l'utilisateur s'assure qu'il a la compétence juridique pour l'adresser. Si tel n'est pas le cas, il transfère le message à sa hiérarchie. L'utilisateur utilise la règle des copies pour informer sa hiérarchie. En retour, les messages en copie permettent à la hiérarchie d'informer l'ensemble des agents concernés. L'utilisateur porte une attention particulière à la taille et au contenu des fichiers transmis. Le destinataire d'un fichier attaché ne possède pas forcément les logiciels permettant de le lire. L utilisateur doit s assurer que le fichier est enregistré dans un format «décodable» par la plupart des logiciels courants. (.rtf,.pdf). Si la taille des documents attachés au message excède la limite prescrite par le service informatique (8 Mo), le message est bloqué et éliminé du système. Tant en interne qu'en externe, l'utilisateur porte une attention particulière à la rédaction de l'objet. L'envoi en nombre de messages à des utilisateurs qui sont sans rapport avec leur mission institutionnelle et qui ne l'ont pas explicitement souhaité est interdit. L établissement a mis en place un outil de filtrage des courriers électroniques indésirables et 6

un antivirus de messagerie. Les utilisateurs sont régulièrement et automatiquement avertis des messages bloqués, et ils sont invités à les supprimer. Enfin, aucun message professionnel ou privé ne doit comprendre des éléments de nature offensante, diffamatoire, injurieuse ou à connotation pornographique, sexiste ou raciste. 3.7 Messagerie de service et liste de diffusion Les messageries de service sont des messageries à l'intitulé impersonnel; elles couvrent tous les services du CHU. Cette notion de service s'applique non seulement aux services administratifs, techniques et médicaux, mais aussi aux principales fonctions logistiques (archives, blanchisserie, cuisine, imprimerie ), ainsi que les réseaux médicaux. L utilisation des messageries de service est soumise aux mêmes règles et aux mêmes exigences que les messageries personnelles. 3.8 Confidentialité des échanges L'établissement s'engage formellement à respecter la confidentialité et le secret des messages électroniques en provenance ou à destination des boîtes aux lettres des utilisateurs au titre de la loi 91-646. Dans ce cadre, des solutions de cryptage des messages sur le serveur de messagerie seront mises en place. L établissement ne peut pour autant être tenu responsable des violations qui pourraient être commises par des tiers. Il est du devoir de chaque utilisateur de préserver la confidentialité des messages reçus. Il est donc proscrit de rediriger ou retransmettre à d'autres personnes un courrier électronique personnellement adressé sans l'autorisation de l'expéditeur. En conséquence, la pratique des copies cachées est proscrite, car elle ne permet pas une circulation transparente de l'information. 3.9 Données de santé et messagerie électronique La messagerie électronique, même si elle apporte un gain de temps, ne constitue pas un moyen de communication sûr et confidentiel pour transmettre des données médicales nominatives. Aussi est il opportun de rappeler qu une simple erreur de manipulation (transfert, liste de diffusion ) peut conduire à divulguer, à des destinataires non habilités, des informations couvertes par le secret médical et à porter ainsi gravement atteinte à l intimité de la vie privée des personnes. En outre, la transmission par e-mail de données nominatives sur l état de santé d une personne comporte, compte tenu de l absence générale de confidentialité du réseau Internet, des risques importants de divulgation de ces données. Par conséquent, en l absence d une messagerie électronique sécurisée, la transmission des données médicales nominatives par la messagerie électronique est strictement interdite, sauf si une solution de cryptage, mise à disposition par l établissement, est adoptée. 3.10 Messagerie universitaire Certains utilisateurs hospitalo-universitaires (MCU-PH, PU-PH ) disposent d une messagerie électronique universitaire. Dans le cadre hospitalier, ces utilisateurs se conforment aux règles de bonne pratique précisées dans les paragraphes 3.6 à 3.10. Les utilisateurs d une messagerie universitaire, sont invités à consulter la «Politique de Sécurité du Système d Information» de l université, pour prendre connaissance des dispositions relatives la confidentialité et au secret des messages électroniques en provenance ou à destination de leur boîte aux lettres. 7

3.11 Internet La navigation sur Internet permet d'accéder rapidement à des informations professionnelles. Son usage peut être limité par l établissement pour assurer l'intégrité du système et son bon fonctionnement (se référer au paragraphe 4). L'utilisateur limite son temps de connexion au strict nécessaire et sans accès à des sites connus pour leur caractère strictement commercial. Il ne participe à aucun forum de discussion non professionnel. En outre, il est strictement interdit de procéder à la création de blogs ou autres sites personnels sur le réseau Internet à l'aide des moyens informatiques mis à disposition par l'établissement. Sont interdits, sauf dans le cas de dérogations précisés dans la «Politique de Sécurité du Système d Information» de l établissement, les actes commerciaux d'achat ainsi que les téléchargements de logiciels et autres uvres protégées (livre, musique, photo, vidéo...). La consultation et le téléchargement du contenu des sites à caractère pornographique sont interdits. L'accès à certains sites illégaux (pédophiles entre autres) peut même revêtir le caractère d'une infraction pénale. Cette activité est strictement interdite. Il est strictement interdit aux utilisateurs de se servir des points d accès Internet sans fil réservés à l usage exclusif des patients de l établissement. Pour prévenir efficacement l accès aux sites pédophiles, pornographiques, violents, racistes et de jeux d argent en ligne, l établissement mettra en place des outils de filtrage (paramétrés de façon identique) sur tous les points d accès à Internet. 3.12 Accès distant au réseau de l établissement Pour faciliter les échanges, et améliorer la coordination des soins, l établissement met en place un système sécurisé autorisant l accès à certains services (messagerie électronique, maintenance, applications métier ) depuis l extérieur de l établissement. Les modalités de connexion depuis l extérieur de l établissement seront précisées ultérieurement dans la «Politique de Sécurité du Système d Information» de l établissement. 3.13 Les supports amovibles Avec l augmentation de leur capacité, les supports amovibles (disquette, clé USB,...) sont devenus un moyen simple et efficace pour échanger, sauvegarder, transporter des données. Il est rappelé néanmoins que ces supports amovibles ne constituent pas un moyen de communication sûr et confidentiel pour transmettre des données médicales nominatives. Pour prévenir la divulgation accidentelle de données médicales ou confidentielles, l établissement mettra à la disposition de l utilisateur des outils permettant le cryptage des données inscrites sur un support amovible. En tout état de cause, l'utilisateur veillera à ne pas laisser sans surveillance les supports amovibles qu'il a en sa possession. 3.14 Obligation de vigilance Chaque utilisateur contribue, à son niveau, à la sécurité des systèmes informatiques. 8

Tout dysfonctionnement ou anomalie, constatés par l'utilisateur, toute erreur d'utilisation pouvant entraîner des conséquences dommageables, doit être signalé, sans retard, au service informatique par l intermédiaire de l assistance centralisée (tél. : 18 484 permanence de 8h à 18h). 4 Matériel informatique : Cas particuliers 4.1 Postes Informatiques n appartenant pas à l établissement Pour répondre à ses missions de recherche et d enseignement, l établissement autorise et facilite sous certaines conditions la connexion sur le réseau d un matériel informatique, non acquis par ce dernier (ordinateur portable, station de travail ). Pour être connecté au réseau de l établissement, ce matériel doit répondre aux mêmes exigences de sécurité que les autres équipements de l établissement, à savoir : présence d un antivirus mis à jour, mise à jour automatique du système d exploitation, non présence de logiciels proscrits par l établissement. La connexion de ce matériel est soumise à autorisation préalable du service informatique de l établissement, qui vérifie la conformité de ce dernier avec les exigences de sécurité précitées. Concernant l utilisation du réseau, ce matériel est soumis aux mêmes règles de vérification et de contrôle que les équipements de l établissement. Il est opportun de rappeler que la maintenance de ce matériel reste sous l entière responsabilité de son acquéreur, si aucune procédure de donation à l établissement n est effectuée. 4.2 Réseau Wi-Fi/3G acquisition, l installation et la configuration de réseaux sans fil (service Wireless LAN, Wi- Fi,3G) sont sous la responsabilité exclusive du service informatique de l établissement de établissement. Ce type de connexion est strictement contrôlé et fourni uniquement par le service informatique pour des besoins précis et justifiés. En cas de non-respect de ces règles, l utilisateur s expose à des sanctions et (ou) à des poursuites. 4.3 Équipements informatiques biomédicaux Pour être connectés au réseau de l établissement, les équipements informatiques biomédicaux doivent répondre, sous réserve des possibilités techniques, aux exigences de sécurité suivantes : présence d un antivirus mis à jour, mise à jour automatique du système d exploitation, fermeture des ports de communication inutilisés. La connexion de ce matériel est soumise déclaration préalable au service informatique de l établissement, qui vérifie la conformité de ce dernier avec les exigences de sécurité précitées. 9

5 Les utilisateurs collectifs Les instances syndicales représentatives sont nommées ci-après : utilisateurs collectifs. Les utilisateurs collectifs de l'établissement ont accès au système d'information de l'établissement sous réserve du respect de l'intégralité des dispositions de la présente charte. 5.1 Propriété Les moyens matériels et logiciels mis à la disposition des utilisateurs collectifs demeurent la propriété de l'établissement. 5.2 Responsabilité des utilisateurs collectifs et de leurs membres Les utilisateurs collectifs ainsi que leurs membres engagent leur responsabilité sur le contenu et la gestion des ressources mises à leur disposition. Ils en assument ainsi l'entière responsabilité éditoriale et technique. C'est en particulier le cas dans l'hypothèse du non-respect des dispositions légales et réglementaires, notamment en matière pénale (par exemple, injure et diffamation, contrefaçon, obligations résultant de la loi informatique et libertés) ou statutaire (par exemple, violation du devoir de discrétion professionnelle ou de l'obligation de réserve). Chaque utilisateur collectif ainsi que ses membres devront répondre personnellement, notamment, de la gestion, la conservation, la sauvegarde, la protection ou encore de la déclaration à la CNIL des fichiers dont ils ont l'usage, la détention ou qu'ils constituent, à quelque titre que ce soit. 5.3 Messagerie interne Il est attribué des boîtes aux lettres électroniques aux coordonnées des utilisateurs collectifs destinées aux messages relevant de leur activité collective, qui seules doivent servir à l'envoi de messages en relevant, à l'exclusion des boîtes qui sont attribuées à chacun dans le cadre de leur mission professionnelle propre. Les envois généraux au personnel de l'établissement ne sont pas autorisés et seuls sont admis les messages à destination de ceux qui ont préalablement manifesté la volonté d'en être destinataires en s'inscrivant sur une liste de diffusion; l'envoi de tels messages devra être arrêté dès que l'intéressé le demandera à l'émetteur ou à ceux dont la formation est de transmettre l'information. 6 Le service informatique Le service informatique de l établissement assure la direction de toutes les activités liées à la production, au transport et au stockage des données informatiques. Il est responsable du bon fonctionnement du système informatique. Il dimensionne les installations et les réseaux aussi bien que les volumes des fichiers transmis et les durées de connexions. Il met en place les outils nécessaires pour protéger les réseaux de toute intrusion, pollution ou acte hostile en conformité avec la politique de sécurité de l établissement. Certains personnels du service informatique, par leur fonction, accèdent aux données qui s'échangent, tant sur le réseau interne qu'avec l'extérieur. Ces personnels sont astreints au secret professionnel dans les limites prévues par la loi (cf. 7.2, 7.3). 10

7 Contrôle et confidentialité 7.1 Nécessité de surveillance et de contrôle À la fois pour assurer un bon fonctionnement et une protection du réseau, l établissement doit veiller au bon usage des ressources des utilisateurs. En conséquence, l'utilisation des ressources matérielles ou logicielles ainsi que les échanges via le réseau informatique sont analysés et contrôlés dans le respect de la législation applicable et notamment de la loi Informatique et Libertés. Concernant Internet, les modalités de contrôle des connexions sont entre autres et de façon nonexhaustive : le filtrage préventif des sites non autorisés, le contrôle statistique des sites les plus visités par le personnel hospitalier. Les statistiques d utilisation du réseau de l établissement (volumétrie entrante et sortante), ainsi que la liste des cent sites les plus visités, sont accessibles en ligne sur l intranet de l établissement. Le filtrage des postes ou des utilisateurs autorisés à accéder à une ressource Internet donnée. Conformément à la loi sur la "lutte contre le terrorisme", la traçabilité des accès (messagerie, Internet) est assurée par un historique («log») conservé sur le serveur pendant 1 à 2 mois puis archivé sur bande magnétique pendant 1 an. L historique des accès (de l extérieur) refusés est également conservé et analysé régulièrement. Dans un souci de transparence vis-à-vis des utilisateurs, l ensemble des dispositifs de surveillance et de contrôle, ainsi que l utilisation des données collectées par ces systèmes («log» ), sont portés à la connaissance des utilisateurs sur l intranet de l établissement. L accès et l utilisation des «logs» sont strictement encadrés par la «Politique de Sécurité du Système d Information» de l établissement et contrôlés par le responsable de la sécurité du système d information (RSSI). L établissement se réserve le droit de bloquer à tout moment, sans avertissement préalable, l'accès aux sites dont le contenu est jugé illégal ou offensant. Dans les cas encadrés par la «Politique de Sécurité du Système d Information» ou, après en avoir alerté le responsable de la sécurité du système d information de l établissement (RSSI) et suite à son autorisation, le service informatique peut : effacer, comprimer ou isoler toute donnée ou tout fichier, bloquer tout usage (réseau, poste, accès Internet ), manifestement en contradiction avec la charte ou qui mettrait en péril la sécurité des moyens informatiques de l établissement. 7.2 Respect de la vie privé des utilisateurs Tout utilisateur qui en raison de sa fonction ou de ses missions, prend connaissance d informations personnelles sur d autres utilisateurs est tenu de les garder confidentielles sous réserve des obligations légales (annexées à ce document) existant par ailleurs. 7.3 Respect de la légalité des usages des outils informatiques Sans préjudice de la confidentialité, le responsable de la sécurité du système d information de l établissement (RSSI) est tenu de dénoncer au Procureur de la République les usages illégaux (tels que pédophilie, incitation à la haine raciale, terrorisme) qu'il constaterait dans l'usage des outils informatiques. 11

8 La portée de la charte 8.1 Qui est concerné par la charte? La Charte s'applique à toutes personnes ayant accès au système d'information de l'établissement, entre autres et de façon non-exhaustive : les agents titulaires, contractuels ou stagiaires, quelque soit leur fonction, leur grade ou leur service, les vacataires, les étudiants, les stagiaires, les prestataires. 8.2 Nature de la charte La présente charte est un des éléments constitutifs de la politique de sécurité du système d information (PSSI) de l établissement. La charte remplace et annule toutes dispositions contraires contenues dans des notes de service ou autres réglementations existantes en vigueur relatives au fonctionnement et à l'utilisation du système d'information de l'établissement. 8.3 Modalités d'application La charte est applicable dès le 21/06/2007, après examen par le Comité Technique d'établissement. Elle est présentée à chaque agent / salarié au moment de sa prise de fonction, qui doit en prendre connaissance. Elle sera mise en ligne pour être consultable sur l intranet de l établissement. Elle sera communiquée aux fournisseurs et autres prestataires dont les salariés ou sous-traitants sont amenés, dans le cadre de leur mission, à avoir accès au système informatique de l'établissement. À charge pour eux de la communiquer et de la faire respecter aux personnes intervenant de leur fait. 8.4 Évolution de la charte La présente charte pourra être complétée par des consignes de «bons usages» du système d'information, sous forme de notes de service. Ces consignes de «bons usages» devront impérativement être conformes à la politique de sécurité du système d information de l établissement (PSSI). Chaque utilisateur est invité à transmettre à la Direction Générale les propositions d'amendements dont il a pu constater l'intérêt dans le cadre de sa pratique personnelle des ressources du système d'information. Ces suggestions seront prises en compte dans le cadre des concertations préalables aux mises à jour ultérieures de la présente. C.H.U de BESANCON Date de présentation au C.T.E. 21/06/2007 Date de présentation en C.M.E 10/04/2007 12

ANNEXE JURIDIQUE À LA CHARTE D'UTILISATION DU SYSTEME D'INFORMATION Textes de référence 13

LE CADRE LEGISLATIF Les principales lois encadrant cette charte sont celles régissant : - La responsabilité de l'établissement, - La protection de la vie privée des agents, - Les règles de la transparence et de la concertation, - Les règles générales de respect mutuel, - La protection des personnes inscrites sur les bases de données de l'établissement, - La protection de l'intégrité technique du système d'information de l'établissement. TRANSPARENCE ET CONCERTATION - L'article L. 432-2 du Code du travail : «Le comité d'entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel...» - L'article L. 412-8 alinéa 7 du Code du travail, modifié par l'article 45 de la loi relative à la formation professionnelle tout au long de la vie at au dialogue social, adoptée le 07 avril 2004 : «Un accord d'entreprise peut autoriser la mise à disposition des publications et tracts de nature syndicale, soit sur un site syndical mis en place sur l'intranet de l'entreprise, soit par diffusion sur la messagerie électronique de l'entreprise. Dans ce dernier cas, cette diffusion doit être compatible avec les exigences de bon fonctionnement du réseau informatique de l'entreprise et ne pas entraver l'accomplissement du travail. L'accord d'entreprise définit les modalités de cette mise à disposition ou de ce mode de diffusion, en précisant notamment les conditions d'accès des organisations syndicales et les règles techniques visant à préserver la liberté de choix des salariés d'accepter ou de refuser un message.» La rédaction de cet article ne procure aucun droit nouveau, en tant que tel, en matière de communication syndicale sur les outils électroniques de l'entreprise. RESPONSABILITE DE L'ETABLISSEMENT - L'article 1384 alinéa 5 du Code civil : «On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde. [...] Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés ;...» - L'article L. 120-2 du Code du travail : «Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.» - L'article L. 121-8 du Code du travail : «Aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi.» PROTECTION DE LA VIE PRIVEE DES SALARIES / AGENTS - Loi 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des 14

télécommunications, JORF 13 juillet 1991 : article 1 «Le secret des correspondances émises par la voie des communications électroniques est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci.» - L'article 9 du Code civil : «Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée: ces mesures peuvent, s'il y a urgence, être ordonnées en référé.» - L'article 8 de la Convention européenne de Sauvegarde des Droits de l'homme et des Libertés Fondamentales : «Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui.» - L'article 226-1 du Code pénal : «Est puni d'un an d'emprisonnement et de 45000 euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui : 1º En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ; 2º En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé. Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé.» - L'article 226-15 du Code pénal : «Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.» - L'article 432-9 du Code pénal : «Le fait, par une personne dépositaire de l'autorité publique ou chargée d'une mission de service public, agissant dans l'exercice ou à l'occasion de l'exercice de ses fonctions ou de sa mission, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l'ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Est puni des mêmes peines le fait, par une personne visée à l'alinéa précédent ou un agent d'un exploitant de réseaux ouverts au public de communications électroniques ou d'un fournisseur de services de télécommunications, agissant dans l'exercice de ses fonctions, d'ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l'interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l'utilisation ou la divulgation de leur contenu.» 15

REGLES GENERALES DE RESPECT DES DROITS D'AUTRUI - Les lois n 90-615 du 13 juillet 1990 et n 92-1336 du 16 décembre 1992 interdisent de faire l'apologie du racisme, de l'antisémitisme et de la xénophobie - La législation relative à la propriété intellectuelle - La loi du 29 juillet 1881 sur la Liberté de la Presse qui règlemente la nature des contenus. ENREGISTREMENT DE DONNEES NOMINATIVES ET REGLES ISSUES DE LA LOI «INFORMATIQUE ET LIBERTES» - Les articles 226-16 à 226-24 du Code pénal relatifs aux «atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques» : ces articles établissent qu'il y a délit non pas seulement en cas d'infraction intentionnelle mais également en cas de négligence, imprudence ou même incompétence professionnelle. Article 226-16 «Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2º du I de l'article 45 de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.» Article 226-17 «Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.» Article 226-18 «Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.» Article 226-18-1 «Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.» Article 226-19 «Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle de celles-ci, est puni de cinq ans d'emprisonnement 16

et de 300 000 Euros d'amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté.» Article 226-19-1 «En cas de traitement de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende le fait de procéder à un traitement : 1º Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données à caractère personnel sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des données transmises et des destinataires de celles-ci ; 2º Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant.» Article 226-20 «Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d'autorisation ou d'avis, ou par la déclaration préalable adressée à la Commission nationale de l'informatique et des libertés, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de traiter à des fins autres qu'historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée mentionnée au premier alinéa.» Article 226-21 «Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.» Article 226-22 «Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.» Article 226-22-1 «Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq 17

ans d'emprisonnement et de 300 000 Euros d'amende.» Article 226-22-2 «Dans les cas prévus aux articles 226-16 à 226-22-1, l'effacement de tout ou partie des données à caractère personnel faisant l'objet du traitement ayant donné lieu à l'infraction peut être ordonné. Les membres et les agents de la Commission nationale de l'informatique et des libertés sont habilités à constater l'effacement de ces données.» Article 226-23 «Les dispositions de l'article 226-19 sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en oeuvre ne se limite pas à l'exercice d'activités exclusivement personnelles.» Article 226-24 «Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section. Les peines encourues par les personnes morales sont : 1º L'amende, suivant les modalités prévues par l'article 131-38 ; 2º Les peines mentionnées aux 2º, 3º, 4º, 5º, 7º, 8º et 9º de l'article 131-39. L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.» DES RESPONSABILITES PENALES EN CAS D'ATTEINTE AUX SYSTEMES DE TRAITEMENT AUTOMATISE DE DONNEES - Les articles 323-1 à 323-7 du Code pénal relatifs aux «atteintes aux systèmes de traitement automatisé de données» : Article 323-1 «Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.» Article 323-2 «Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.» Article 323-3 «Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.» 18

Article 323-3-1 «Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.» Article 323-4 «La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3-1 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.» Article 323-5 «Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes : 1º L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ; 2º L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ; 3º La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ; 4º La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ; 5º L'exclusion, pour une durée de cinq ans au plus, des marchés publics ; 6º L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ; 7º L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35.» Article 323-6 «Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies au présent chapitre. Les peines encourues par les personnes morales sont : 1º L'amende, suivant les modalités prévues par l'article 131-38 ; 2º Les peines mentionnées à l'article 131-39. L'interdiction mentionnée au 2º de l'article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise.» Article 323-7 «La tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.» LA SIGNATURE ELECTRONIQUE Article 1316 «La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur 19

support et leurs modalités de transmission.» Article 1316-1 «L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.» Article 1316-2 «Lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support.» Article 1316-3 «L'écrit sur support électronique a la même force probante que l'écrit sur support papier.» Article 1316-4 «La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'etat.» 20

ANNEXE À LA CHARTE D'UTILISATION DU SYSTEME D'INFORMATION Engagement de Responsabilité 21

ENGAGEMENT DE RESPONSABILITÉ Je reconnais avoir pris connaissance du règlement intérieur de sécurité décrit dans la Charte Utilisation du Système d Information relatif aux règles de bonne conduite et à l'usage : q des ressources informatiques, du Centre Hospitalier Universitaire de Besançon. Et m'engage donc à respecter toutes les procédures relatives à la sécurité du Système d Information qui m ont été ou me seront transmises. Pleinement conscient de mes responsabilités, je reconnais être informé des conséquences du non respect de ces procédures........ (Nom, Prénom) (Date) (Signature) 22