Charte d'usage des systèmes informatiques
de l’Institut d’Etudes Politiques de Lille
(approuvée par le Conseil d’Administration du 23 juin 2011)
Table des matières
Charte d'usage des systèmes informatiques de L’Institut d’Etudes Politiques de Lille
1. Préambule.
2. Règles d'usage du système informatique.
2.1. Respect des réglementations en vigueur.
2.1.1. Respect de la propriété intellectuelle.
2.1.2. Respect de la loi informatique et libertés.
2.2. Respect de la vocation professionnelle et pédagogique du SI.
2.3. Respect de la réglementation sur les utilisations frauduleuses.
2.4. La garantie de la continuité de service.
3. Règles de sécurité
3.1. Pour l'institution.
3.2. Pour l'utilisateur.
4. Mesures d'amélioration du service.
5. Traçabilité
6. Sanctions pour non respect de la charte.
6.1. Sanctions disciplinaires
6.2. Sanctions pénales
6.3. Sanctions civiles
7. Entrée en vigueur de la charte
La présente charte complète ou précise les éléments inclus dans la charte déontologique d'utilisation du réseau RENATER (Réseau National de télécommunications pour la Technologie l'Enseignement et la Recherche).
1.Préambule
Le "système d'information" est l'ensemble des moyens (organisation, acteurs, procédures, systèmes informatiques) nécessaire au traitement et à l'exploitation des informations.
Le bon fonctionnement du système d'information suppose le respect des dispositions législatives et règlementaires et notamment des règles visant à assurer la sécurité, la performance des traitements et la conservation des données.
Par « institution » il faut entendre l’Institut d’Etudes Politiques de Lille.
Le terme « utilisateur » correspond à toute personne ayant accès, dans le cadre de l'exercice de son activité, au système informatique quel que soit son statut. Il s'agit notamment :
• des enseignants et enseignants chercheurs,
• des personnels administratifs et techniques,
• des étudiants,
• des personnes extérieures autorisées.
Le "système informatique" recouvre l'ensemble des ressources matérielles, logicielles, applications, bases de données et réseaux de télécommunications, pouvant être mis à disposition par l'institution. L'informatique nomade, tels que les assistants personnels, les ordinateurs portables, les téléphones portables..., est également un des éléments constitutifs du système informatique.
La présente charte rappelle et définit les règles générales d'usage et de sécurité que l'institution et l'utilisateur s'engagent à respecter : elle précise les droits et devoirs de chacun. Certains usages font l'objet de chartes spécifiques qui s'ajoutent à celle-ci.
Engagements de l'institution
L'institution porte à la connaissance de l'utilisateur la présente charte et s'engage, par son intermédiaire, à mettre en oeuvre toutes les mesures nécessaires pour :
• assurer la sécurité du système d'information, la protection de la vie privée de ses utilisateurs et l'intégrité de leurs ressources.
• faciliter l'accès des utilisateurs aux ressources du système d'information.
Engagements de l'utilisateur
L'utilisateur reconnait :
• être responsable, en tout lieu, de l'usage qu'il fait du système informatique auquel il a accès,
• être astreint au respect d'une obligation de réserve et de confidentialité à l’égard des informations et documents auxquels il accède.
En tout état de cause, l'utilisateur est soumis au respect des obligations résultant de son statut ou de son contrat et au respect des règles d’éthique professionnelle et de déontologie.
2. Règles d'usage du système informatique
2.1. Respect des réglementations en vigueur
2.1.1. Respect de la propriété intellectuelle
L'institution rappelle que l'utilisation des ressources informatiques implique le respect des droits de propriété intellectuelle de toute personne intéressée. En conséquence, chaque utilisateur doit utiliser (reproduire, copier, diffuser, modifier...) les créations protégées par le droit d'auteur ou un
droit voisin (logiciels, bases de données, textes, images....) dans les conditions des licences souscrites ou après avoir obtenu préalablement l’autorisation de ou des titulaire(s) de ces droits.
2.1.2. Respect de la loi informatique et libertés
L'utilisateur est informé de la nécessité de respecter les dispositions en matière de traitement automatisé de données à caractère personnel, conformément à la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés » modifiée. Le texte de loi est disponible sur le site Légifrance.
Les données à caractère personnel sont des informations qui permettent sous quelque forme que ce soit directement ou indirectement, l'identification des personnes physiques auxquelles elles s'appliquent.
Toute demande de traitement comprenant ce type d'informations, y compris lorsqu'elles résultent de croisement ou d'interconnexion de fichiers préexistants, est soumise aux formalités préalables prévues par la loi « Informatique et Libertés ».
En conséquence, tout utilisateur souhaitant procéder à de tels traitements devra en informer préalablement la Commission Nationale Informatique et Libertés qui prendra les mesures nécessaires au respect des dispositions légales.
Par ailleurs, conformément aux dispositions de cette loi, chaque utilisateur dispose d'un droit d'accès et de rectification relatif à l’ensemble des données le concernant, y compris les données portant sur l'utilisation des Systèmes d’Information. Ce droit s'exerce auprès du responsable du service concerné ou auprès du CIL.
2.2. Respect de la vocation professionnelle et pédagogique du SI
Les ressources informatiques sont mises à disposition des utilisateurs dans un but professionnel et pédagogique. Elles peuvent également constituer le support d'une communication privée dans les conditions décrites ci-dessous.
• L'utilisation du système d'information à titre privé doit être non lucrative et raisonnable, tant dans sa fréquence, sa durée ou son volume.
• Cette utilisation ne doit pas nuire à la qualité du travail de l'utilisateur, au temps qu'il y consacre et au bon fonctionnement du service.
Toute information est réputée professionnelle à l'exclusion des données explicitement désignées par l'utilisateur comme relevant de sa vie privée. Ainsi, il appartient à l'utilisateur de procéder au stockage de ses données à caractère privé dans un espace de données prévu explicitement à cet effet ou en mentionnant le caractère privé sur la ressource.
Par ailleurs, eu égard à la mission éducative de l'institution, la consultation de sites de contenus à caractère pornographique depuis les locaux de l'institution est interdite.
2.3. Respect de la réglementation sur les utilisations frauduleuses
L'institution est tenue par la loi de signaler toute violation des lois dûment constatée. Toute personne qui aura connaissance d'un délit relatif à l'informatique est tenue de le dénoncer dans les formes prévues par le Code de Procédure Pénale.
2.4. La garantie de la continuité de service
Les administrateurs des systèmes informatiques peuvent donner l'accès aux ressources professionnelles ou pédagogiques d'un personnel aux seules fins d'assurer la continuité de service.
3. Règles de sécurité
3.1. Pour l'institution
L'institution applique les mécanismes de protection appropriés sur le système d'information. A ce titre :
• elle fournit aux usagers une identité numérique personnelle constituée d'un nom utilisateur et d'un mot de passe, identité à laquelle sont rattachés des droits d'accès spécifiques,
• elle informe les utilisateurs que cette identité numérique constitue une mesure de sécurité destinée à éviter toute utilisation malveillante ou abusive,
• elle veille à ce que les ressources sensibles ne soient accessibles qu’aux personnes habilitées, en dehors des mesures d’organisation de la continuité du service,
• elle limite l'accès aux seules ressources pour lesquelles l'utilisateur est expressément habilité.
3.2. Pour l'utilisateur
Pour l'utilisateur, la sécurité du système d'information mis à sa disposition impose de respecter les règles d'usage de ses identifiants numériques :
• respecter les règles de renouvellement du mot de passe fixées par l'établissement,
• garder strictement confidentiels ses identifiants numériques et ne pas les dévoiler à un tiers,
• respecter la gestion des accès, en particulier ne pas utiliser les identifiants numériques d'un autre utilisateur, ni chercher à les connaître.
Par ailleurs, la sécurité des ressources mises à la disposition de l'utilisateur nécessite :
• de ne pas accéder ou tenter d'accéder à des ressources du système d'information, pour lesquelles il n’a pas reçu d’habilitation explicite,
• de ne pas connecter directement aux réseaux locaux des matériels sans une autorisation préalable de l'équipe réseaux,
• de ne pas installer, télécharger ou utiliser sur le matériel de l'institution, des logiciels ou progiciels sans autorisation,
• de ne pas se connecter simultanément à 2 réseaux différents (Wifi et filaire ou autre),
• de se conformer aux dispositifs mis en place par l'institution pour lutter contre les virus et les attaques par programmes informatiques.
Enfin, dans le cadre de son devoir de signalement, l'utilisateur doit avertir le Service Informatique de l’IEP dans les meilleurs délais :
• de tout dysfonctionnement constaté,
• de toute anomalie découverte telle une intrusion dans le système d'information,
• de toute possibilité d'accès à une ressource qui ne correspond pas à son habilitation,
• de toute utilisation frauduleuse de son identité numérique.
4. Mesures d'amélioration du service
L'utilisateur est informé :
• que pour effectuer la maintenance, l'institution se réserve la possibilité de réaliser des interventions (le cas échéant à distance) sur les ressources mises à la disposition de l'utilisateur,
• qu'une maintenance à distance est précédée d'une information de l'utilisateur.
5. Traçabilité
L'institution est dans l'obligation légale de mettre en place un système de journalisation des accès et des actions.
Les traitements de ces journaux informatiques ont pour finalités :
• de contrôler le volume d'utilisation de la ressource, détecter des anomalies afin de mettre en place une qualité de service et faire évoluer les équipements en fonction des besoins (métrologie),
• de vérifier que les règles en matière de sécurité des systèmes d'information (SSI) sont correctement appliquées,
• de détecter toute défaillance ou anomalie de sécurité, volontaire ou accidentelle, passive ou active, d'origine matérielle ou humaine,
• de détecter toute violation de la loi ou tout abus d'utilisation des moyens informatiques pouvant engager la responsabilité de l'établissement,
• de détecter les utilisations des moyens informatiques contraires aux chartes ou au règlement intérieur de l'établissement,
• d'être à même de fournir les éléments de preuves nécessaires pour mener les enquêtes en cas d'incident et de répondre à toute réquisition de l'autorité judiciaire présentée dans les formes légales.
6. Sanctions pour non respect de la charte
Si des raisons objectives laissent prévoir la survenance d’un événement préjudiciable au bon fonctionnement du système informatique, le RSSI pourra restreindre la connectivité du site ou d'un usager et/ou supprimer les éléments incriminés après sauvegarde sur support isolé. Les modalités d'information à l'usager et de restauration des accès ou services sont précisées dans une procédure spécifique.
Dans le cas de manquements plus graves notamment de non respect des lois, les sanctions peuvent être de 3 ordres.
6.1. Sanctions disciplinaires
Qu'il s'agisse d'un usager ou d'un personnel de l'établissement, l'institution a compétence pour
engager toute procédure disciplinaire :
• décret 92-657 du 13 juillet 1992 et les articles L811-5 et L811-6 et L952-7 à L952-9 du code de l'éducation (pour les usagers et les personnels enseignants) ;
Loi n°83-634 du 13 juillet 1983, Loi n°84-16 du 11 janvier 1984 et Décret n° 84-961 du 25 octobre 1984 (pour les autres personnels).
6.2. Sanctions pénales
Il est rappelé que le code pénal prévoit diverses infractions liées à l’utilisation frauduleuse des divers moyens de communication, notamment informatiques. Tel est le cas en particulier :
• de l’atteinte volontaire portée à l'intimité de la vie privée d'autrui (art. 226-1) ;
• de la publication d’un montage réalisé avec les paroles ou l’image d’une personne sans son consentement (art. 226-8) ;
• de la diffusion ou de la représentation à caractère pornographique d’un mineur (art. 227- 23) ;
• de l’outrage aux personnes chargées d’une mission de service public (art. 433-5) ;
• de la provocation aux attroupements armés (art. 431-6) ou à la rébellion (art. 433-10);
• de la provocation à la discrimination, à la haine ou à la violence (art. R. 625-7) ;
• des violations de la loi informatique et libertés (art. 226-16 à 226-19) ;
• des atteintes aux systèmes de traitement automatisé de données : (art. 323-1 à 323-7) ;
• des atteintes au secret des correspondances (art. 423-9) ;
• des atteintes au Code de la propriété intellectuelle ;
• des contenus illégaux ;
6.3. Sanctions civiles
Outre les sanctions précédemment citées, tout utilisateur, qui aurait contrevenu à la réglementation, pourra être condamné à des dommages et intérêts en réparation du préjudice subi par la victime.
7. Entrée en vigueur de la charte
Le présent document est adopté en séance du Conseil d'Administration du 23 juin 2011, il entre en vigueur dès cette date.
