Charte d'utilisation des Ressources du Système d Information (ANNEXE 2 au Règlement Intérieur) Cette charte concerne toute personne ayant accès au système d information de la CEBPL et son application relève d une démarche collective d autodiscipline. Elle est avant tout un code de bonne conduite pour l utilisation des ressources du système d information et des services Internet/Intranet et Messagerie. Son respect préserve d éventuelles sanctions disciplinaires ou pénales. Elle a notamment pour objet de : protéger le patrimoine de l entreprise, rappeler la responsabilité des utilisateurs face à la législation en vigueur. 1 Domaine d application Utilisateur On désigne sous le terme «utilisateur» toute personne, sans exception, disposant d un accès, utilisant ou intervenant, à titre professionnel, sur les ressources du Système d Information. Les règles et procédures prévues dans la présente charte s imposent à tous quels que soient leur statut ou leur situation géographique (salariés de l entreprise, stagiaires ou vacataires, prestataires externes intervenant en sous-traitance, ). Ressources On désigne par ressources : Les matériels : Tout moyen capable d enregistrer, de stocker et/ou de véhiculer de l information. Les traitements : Tout traitement (automatisé ou non) capable de gérer tout ou partie des informations de l entreprise. Les données : Toutes les informations circulant dans l entreprise qu elle en soit ou non propriétaire. Caisse d Epargne Bretagne - Pays de Loire 1/5 1 er octobre 2007
2 Règles d utilisation et de bon usage L utilisation des ressources du système d information et l usage des services Internet sont autorisés dans le cadre de l activité professionnelle et présumés l être à cette fin. Elle peut l être le cas échéant pour des besoins personnels à la condition que cet usage présente un caractère limité en nombre et en durée de connexions et qu il ne soit pas porté atteinte à l obligation d exécution loyale du contrat de travail. Le droit d'accès à un système d information est soumis à autorisation. Cette autorisation est strictement personnelle et ne peut en aucun cas être cédée, même temporairement, à un tiers. Elle peut être retirée à tout moment. Toute autorisation prend fin lors de la cessation, même provisoire, de l activité professionnelle non justifiée. Tout utilisateur est responsable de l usage qu il fait des ressources du système d information auxquelles il a accès. L utilisation de ces ressources doit être rationnelle et loyale afin d en éviter la saturation ou leur détournement à des fins personnelles. Il a aussi la charge, à son niveau, de contribuer à la sécurité générale du système d information de l entreprise En particulier : il doit appliquer les recommandations de sécurité de l établissement ; il doit assurer la protection de ses informations en utilisant les différents moyens de sécurité mis à sa disposition ; il est responsable du bon usage de ses droits ; il doit signaler toute anomalie qu il peut constater, à sa hiérarchie et au chargé de sécurité informatique ; il ne doit pas installer de logiciels, ni contourner ses restrictions d utilisation. En dehors d autorisations exceptionnelles et spécifiques, seules les équipes d administration sont autorisées à installer les logiciels dûment acquis par l établissement ; il choisit des mots de passe sûrs, gardés secrets et en aucun cas ne doit les communiquer à des tiers ; il s engage à ne pas mettre à la disposition d utilisateurs non autorisés un accès aux systèmes ou aux réseaux, à travers des matériels dont il a l usage ; il ne doit pas utiliser ou essayer d utiliser des droits autres que les siens, de masquer sa véritable identité ou d usurper celle d autrui ; il ne doit pas tenter de lire, modifier, copier ou détruire des données autres que celles qui lui appartiennent en propre, directement ou indirectement. il ne doit pas quitter son poste de travail ni ceux en libre service sans se déconnecter en laissant des ressources ou services accessibles. Notamment dans l usage des services Internet/Intranet et messagerie : il ne doit pas se connecter ou essayer de se connecter sur un serveur, interne ou externe, autrement que par les dispositions prévues par ce serveur ou sans y être autorisé; il ne doit pas se livrer à des actions mettant sciemment en péril la sécurité ou le bon fonctionnement des serveurs auxquels il accède ; Caisse d Epargne Bretagne - Pays de Loire 2/5 1 er octobre 2007
il ne doit pas utiliser ces services pour proposer ou rendre accessibles aux tiers des données et informations confidentielles ou contraires à la législation en vigueur ; il ne doit pas déposer des documents sur un serveur, sauf si celui-ci le permet, ou sans y être autorisé ; il doit faire preuve de la plus grande correction et discrétion à l égard de ses interlocuteurs dans les échanges et notamment pour les courriers, forums de discussions, etc. il ne doit pas émettre d opinions personnelles étrangères à son activité professionnelle susceptibles de porter préjudice à l établissement ; il doit s imposer le respect des lois et notamment celles relatives aux publications à caractère injurieux, raciste, pornographique, diffamatoire. Par ailleurs, un simple accès délibéré dans l entreprise à de telles publications peut faire l objet de sanctions disciplinaires. L établissement ne peut être tenu pour responsable des détériorations d informations ou des infractions commises par un utilisateur qui ne se conforme pas à ces règles. 3 Confidentialité Protection des libertés individuelles L accès par l utilisateur aux informations et documents conservés sur les systèmes d information doit être limité à ceux qui lui sont propres, et ceux qui sont publics ou partagés. En particulier, il est interdit de prendre connaissance d informations détenues par d autres utilisateurs, quand bien même ceux-ci ne les auraient pas explicitement protégées. Cette règle ne s applique pas aux responsables hiérarchiques qui après autorisation de la DOMI et de la DRH justifiée par une recherche limitée dans son objet et dans le temps, pourront avoir accès aux informations individuelles des collaborateurs (boîte mail et/ou répertoire individuel) absents de manière prolongée et/ou imprévue, à l exception des documents qualifiés de personnel. Dans la mesure du possible, l entreprise préviendra le salarié concerné préalablement à ses recherches. Si, dans l accomplissement de son travail, l utilisateur est amené à constituer des fichiers nominatifs relevant de la loi Informatique et Libertés, il doit auparavant en avoir fait la demande auprès de sa hiérarchie et du chargé de sécurité informatique afin que l établissement puisse en faire la déclaration à la CNIL et en recevoir l autorisation. L utilisateur des ressources du système d information s interdit de noter dans le système d information des informations prohibées relatives à la vie privée des clients, tiers ou collaborateurs ainsi que d émettre des opinions pouvant avoir un caractère injurieux, raciste, pornographique ou diffamatoire. 4 - Respect du droit de propriété Il est strictement interdit d'effectuer des copies de logiciels commerciaux pour quelque usage que ce soit, hormis une copie de sauvegarde dans les conditions prévues par le code de la propriété intellectuelle. Ces dernières ne peuvent être effectuées que par la personne habilitée La copie d'un logiciel constitue le délit de contrefaçon sanctionné pénalement (Code de la propriété intellectuelle). Caisse d Epargne Bretagne - Pays de Loire 3/5 1 er octobre 2007
L'auteur d'une contrefaçon engage directement sa responsabilité, il peut être poursuivi devant les tribunaux ainsi que la personne morale qui l'emploie. 5 Préservation de l intégrité L utilisateur s engage à ne pas apporter volontairement des perturbations au bon fonctionnement des systèmes d information et des réseaux que ce soit par des manipulations anormales du matériel ou par l introduction de logiciels parasites connus sous le nom générique de virus. L implantation, l'utilisation, le développement ou la diffusion de programmes mettant en cause l'intégrité des systèmes sont prohibés. Il est interdit de se livrer depuis des systèmes appartenant à l établissement à des actes mettant sciemment en péril la sécurité ou le fonctionnement d'autres sites et des réseaux de télécommunications. La simple accession à un système sans autorisation constitue un délit, même s'il n'en est résulté aucune altération des données ou fonctionnement dudit système 6 Analyse et contrôle de l utilisation des ressources Pour des nécessités de maintenance, de gestion technique et de sécurité, l utilisation des ressources du système d information, ainsi que les échanges via le réseau, sont analysés et contrôlés dans le respect de la législation applicable et des règles d utilisation énoncées dans la présente charte. Les responsables hiérarchiques et les services de contrôle habilités de l entreprise peuvent à tout moment assurer le contrôle du respect de ces obligations par les collaborateurs. 7- Vidéosurveillance Dans le but d assurer la sécurité des personnes et des biens, une vidéosurveillance est installée dans les agences et dans les sièges administratifs. Sur l ensemble des sites, la centrale vidéo enregistre les mouvements détectés et conserve légalement les informations durant un délai de 30 jours maximum. La responsabilité de la gestion des images est partagée entre le département sécurité et la société de télésurveillance. Depuis le poste dédié, suite à un élément déclencheur, le département sécurité pourra réaliser une vision et une recherche à distance sur le disque support se trouvant en agence. La visualisation servira à analyser un danger réel et à répondre aux réquisitions. En cas de nécessité les images seront gravées sur un CD ROM et transmises aux personnes habilitées. Le principe de visualisation et de conservation des images obéit à des règles strictes et fait l objet d une déclaration auprès de la CNIL. Conformément à la loi informatique et libertés du Caisse d Epargne Bretagne - Pays de Loire 4/5 1 er octobre 2007
6 janvier 1978, les salariés peuvent consulter le département Sécurité pour connaître les modalités de traitement de ces images et obtenir une copie des données à caractère personnel. 8 Rappel des principales lois Il est rappelé que toute personne utilisatrice doit respecter la législation relative notamment à : la loi n 78-17 du 6/1/78 dite «Informatique et libertés» La protection des libertés individuelles : articles 226-1 / 226-2 / 226-10 / 226-13 / 226-16 à 226-23 du nouveau Code pénal, L atteinte aux mineurs : articles 227-23 à 227-24 du nouveau Code pénal, L apologie du terrorisme, la provocation raciale, le négationnisme, la diffamation, l injure : articles 23 24 24bis 30 à 33 de la loi du 29 juillet 1881 sur la liberté de la presse, Le secret de la correspondance : articles 226-15 / 432-9 du nouveau Code pénal, Le droit de propriété intellectuel : articles L335-2 L335-3 du Code de la propriété intellectuelle, L escroquerie et la fraude : articles 313-1 / 323-1 à 323-7 du nouveau Code pénal, Ces principaux textes de loi peuvent être consultés sur le site du journal officiel (http://www.legifrance.gouv.fr rubrique : doit français / les codes). 9 Application La présente charte s applique à l ensemble des collaborateurs de l établissement tous statuts confondus, et plus généralement à l ensemble des personnes, permanentes ou temporaires, utilisant les ressources du système d information auxquelles il est possible d accéder directement ou en cascade. Elle sera en outre communiquée à toutes les personnes accueillies par l établissement et ayant accès au dit système. Caisse d Epargne Bretagne - Pays de Loire 5/5 1 er octobre 2007