Sécurité : Définir un cadre pour les utilisateurs

14 mars 2024

Donner une force contraignante aux principales règles d’usage des outils informatiques.

Les utilisateurs ont un usage souvent quotidien de l’outil informatique. Leurs pratiques peuvent avoir un impact direct sur la sécurité des données personnelles et doivent donc être encadrées.

Les précautions élémentaires

Rédiger une charte informatique et lui donner une force contraignante (ex. : annexion au règlement intérieur).

Inclure dans la charte au moins les éléments suivants :

  1. Le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.

  1. Le champ d’application de la charte, qui inclut notamment :

  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
  • les moyens d’authentification utilisés par l’organisme et la politique de mots de passe que l’utilisateur doit respecter ;
  • les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de : 
    • signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique, toute perte ou vol de matériel et, de manière générale, tout dysfonctionnement ;
    • ne jamais confier son mot de passe (ou équivalent) à un tiers ;
    • ne pas installer, copier, modifier, détruire des logiciels et leur paramétrage sans autorisation ;
    • verrouiller (ou éteindre) son ordinateur dès que l’on quitte son poste de travail ;
    • ne pas accéder, tenter d’accéder à des informations ou les supprimer si cela ne relève pas des tâches incombant à l’utilisateur ;
    • respecter les procédures préalablement définies par l’organisme afin d’encadrer les opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supérieur hiérarchique et en respectant les règles de sécurité.
  1. Les modalités d’utilisation des moyens informatiques et de télécommunication mis à disposition comme :

  • le poste de travail ;
  • les équipements nomades (notamment dans le cadre du télétravail) ;
  • les espaces de stockage individuel ;
  • les réseaux locaux ;
  • les conditions d’utilisation des dispositifs personnels ;
  • l’accès à Internet ; - la messagerie électronique ;
  • la téléphonie.
  1. Les conditions d’administration du système d’information, et l’existence, le cas échéant, de :

  • systèmes automatiques de filtrage ;
  • systèmes automatiques dédiés à la traçabilité des actions ;
  • systèmes de gestion du poste de travail.
  1. Les responsabilités et sanctions encourues en cas de non-respect de la charte

    Ce qu’il ne faut pas faire

    • Ne pas donner de force contraignante à la charte ou ne pas l’appliquer et la faire appliquer en cas de manquement.
       
    • Ne pas tenir compte des pratiques réelles des usagers, de leurs attentes et de leurs besoins en définissant les règles d’usage des moyens informatiques : l’informatique fantôme (ou « shadow IT » en anglais) révèle parfois des besoins essentiels non pourvus par l’organisme ou un dysfonctionnement structurel.
       
    • Ne pas accompagner les usagers dans leurs pratiques.

    Pour aller plus loin

    Prévoir la signature d’un engagement de confidentialité (voir exemple de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données personnelles.

    Prévoir une charte spécifique pour les administrateurs qui détaille les exigences complémentaires que cette population particulièrement à risque doit respecter.

    Exemple de clause d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données personnelles

    Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare reconnaître la confidentialité desdites données.

    Je m’engage par conséquent, conformément à l’article 32 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

    Je m’engage en particulier à :
    - ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
    - ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
    - ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
    - prendre toutes les mesures conformes à l’état de l’art et aux règles internes dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
    - prendre toutes précautions conformes à l’état de l’art et aux règles internes pour préserver la sécurité physique et logique de ces données ;
    - m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
    - en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

    Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, après la cessation de mes fonctions, quelle qu’en soit la cause et tant que les données n’auront pas été rendues publiques par la Société, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.

    J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la règlementation en vigueur, notamment au regard des articles 226-13 et 226-16 à 226-24 du code pénal.

    Fait à xxx, le xxx, en xxx exemplaires

    Nom :
    Signature :