L’entreprise : lieu de travail « fliqué » ou ambassade virtuelle du salarié ? Quels repères ?

j.Triquell

L’entreprise est au carrefour d’intérêts souvent opposés :  chef d’entreprise face à une responsabilité grandissante  /  fraude interne croissante (voir aussi : affaire Kerviel sur le risque opérationnel),  valorisation du patrimoine immatériel / nécessité de sécurité/sûreté de l’information,  importance de l’administrateur réseau dans le dispositif / son rôle ambigu, « obligation » de surveillance des salariés / obligation de respect de la vie privée des utilisateurs, de la protection des données à caractère personnel, du secret des correspondances privées des salariés …

« Elément de mesure » de l’ensemble du capital immatériel de l’entreprise, le système d’information est au centre de toutes ces préoccupations (voir aussi dans ce blog : SSI et stratégie globale).  

Face à une jurisprudence pénale et civile galopante, le chef d’entreprise va devoir rechercher un juste équilibre… (Voir aussi dans ce blog : « intelligence économique et cybersurveillance dans l’entreprise : une dynamique par l’éthique ?

Le chef d’entreprise peut  « ancrer » sa stratégie autour de l’indispensable « charte informatique » ou « charte d’utilisation du SIC »…

Comment construire cette charte ? Avec quels repères ?

Même si le concours d’un juriste me parait indispensable pour sa réalisation, je vous propose un canevas que j’ai créé à partir d’expériences vécues ces dernières années :

Cette charte interne à l’entreprise devient aujourd’hui un outil essentiel de la stratégie de « sécurité / sûreté ».

En effet, elle définit les droits et les obligations de chacun et constitue une base indispensable pour la gestion des contentieux.

Mais elle ne se borne pas seulement à rappeler la législation en vigueur et les interdits. Elle doit se présenter comme un véritable guide pédagogique pour les utilisateurs, et devenir dans l’entreprise l’outil marketing d’une nouvelle approche de la politique de sécurité :

La charte a pour objet de formaliser les règles d’éthique et de sécurité relatives à l’utilisation des bases de connaissances de l’entreprise.

Elle doit donc faire un tour d’horizon complet des pratiques dans ces domaines dans l’entreprise (évolutives selon la jurisprudence) et être assortie d’une véritable opération de « marketing » /management lors de sa mise en œuvre et ne doit pas être dissociée d’un cycle annuel de formation/sensibilisation obligatoire, portant  sur :

   L’ETHIQUE (sens des responsabilités et à la conscience de chacun, respect de l’intérêt général, objectif d’atteindre une démarche de sécurité proactive)

    La culture sécurité/PROTECTION DU PATRIMOINE, au traitement des incidents et à la gestion de crise.

    La culture SECURITE JURIDIQUE.

    La culture de recherche de VALORISATION permanente du capital immatériel de l’entreprise.

    La MAITRISE DES OUTILS de communication et des dispositifs de sécurité associés.

 Comment construire cette charte ?  

Vous trouverez dans ce blog (ICI), les principes incontournables (et références) de la cybersurveillance des salariés sur les lieux du travail, auxquels la charte doit être intimement liée pour être conforme au droit.

Voici un canevas de charte :

1 – LES PERIMETRES D’APPLICATION DE LA CHARTE :

Il s’agit de bien fixer le domaine d’action de la charte et définir avec précision chacun des trois périmètres.

Quelles sont les 3 sphères d’application ?

1-1 : Le système d’information – Détail du système d’information : informatique industrielle et de gestion, télécommunication, géolocalisation, accès, biométrie , sites distants, excentrés, interconnexions de réseaux…

1-2 : Les informations : Classification des informations traitées par l’entreprise : classification particulière dans l’entreprise. Précisions sur la confidentialité de chaque type – Définition des informations autorisées à sortir de l’entreprise.

1-3 : Les personnels : Les catégories de personnels concernés : employés, contractuels, stagiaires, intérimaires…

2 – LES OBJECTIFS DE LA CYBERSURVEILLANCE :

Il s’agit d’expliquer aux personnels pourquoi un système de cybersurveillance/cyberprotection est installé dans l’entreprise, les raisons se retrouvent dans l’administration de la preuve et dans la mission S.S.I..

Quels sont les objectifs précis poursuivis par la mise en place d’outils de surveillance du système d’information et de communication ?

Pour l’entreprise, que doivent permettre ces outils ?

 2-1 : La traçabilité. Permettre de tracer l’activité, les transferts d’informations, enregistrer … Toute connexion au réseau d’entreprise identifie nécessairement l’utilisateur et constitue une acceptation implicite de l’enregistrement automatique des traces de son activité.

2-2 : L’imputabilité. Permettre d’attribuer toute action dans le SI à un utilisateur précis. Responsabilisation de l’utilisateur quant aux moyens mis à sa disposition – Obligation de confidentialité des mots de passe – Toute opération faite à partir du compte utilisateur est réputée être de son fait.

2-3 : L’opposabilité. Permettre la constitution de « preuves » qui peuvent entraîner des sanctions. Le non-respect des règles définies dans la charte est susceptible de sanctions disciplinaires.

2-4 : La conformité d’utilisation aux besoins et intérêts de l’entreprise – Discrétion et secret professionnel. Utilisation du SIC à des fins professionnelles- Usage privé toléré dans les limites fixées dans le paragraphe 5.

2-5 : La conformité aux impératifs de sécurité/sûreté du S.I.C. et de protection des données à caractère personnel.

2-6 : Le respect de la vie privée des salariés. Le salarié a droit au respect de sa vie privée et de ses correspondances privées sur les lieux de son travail.

 3 – LE RESPECT DE LA LEGISLATION :

 Il s’agit de faire un panorama des textes de loi qui sont susceptibles d’être violés lors de l’utilisation d’un système d’information et de communication. Ce panorama ne doit pas se limiter à une simple liste mais doit aider le lecteur à comprendre les limites fixées par la loi, limites pouvant quelquefois être mal appréciées compte tenu du caractère étendu et évolutif des possibilités des S.I.C..

 3-1 : « toute forme de délinquance qui concerne les situations dans lesquelles les systèmes informatiques constituent l’objet même du délit, ainsi que la délinquance qui concerne les situations dans lesquelles les systèmes ou les réseaux informatiques constituent le moyen de commettre l’infraction. »

3-2 : Les atteintes aux systèmes informatiques (accès ou maintien frauduleux dans un système de traitement automatisé de données – Entrave au fonctionnement d’un système – Introduction frauduleuse de données …)

3-3 : Les atteintes aux droits sur les créations (La propriété intellectuelle…) La contrefaçon

3-4 : Les atteintes à la personnalité et à la dignité humaine ( interception de correspondance – usurpation d’identité – menaces – atteintes aux mineurs – loi sur la presse …)

3-5 : Les atteintes aux données à caractère personnel ( création d’un fichier illégal – détournement de finalité d’un fichier déclare – défaut de protection des données …)

3-6 : Les atteintes aux biens (escroquerie-délinquance financière …)

 4 – LES REGLES GENERALES D’UNE UTILISATION PERSONNELLE DE L’INTERNET :

 Le chef d’entreprise précise les limites d’une utilisation à des fins personnelles du système d’information et de communication (Internet notamment).

 Citez les grands principes d’utilisation, à des fins personnelles, du système d’information et de communication (internet notamment), afin de déterminer les limites pour l’utilisateur :

4-1 : Utilisation personnelle ponctuelle et raisonnable

4-2 : Consultation des sites internet dont le contenu n’est pas contraire à l’ordre public et aux bonnes mœurs

4-3 : Utilisation qui ne met pas en cause l’intérêt ou l’image de l’entreprise.

4-4 : Utilisation qui ne compromet pas la sécurité/sûreté du système d’information et de communication.

 5 – LES INTERDITS ET RESTRICTIONS PARTICULIERS :

 Le chef d’entreprise détaille des cas d’utilisation du S.I.C. qu’il interdit formellement dans son entreprise. Il devra détailler et expliquer chaque cas (et l’associer de séances de sensibilisation) afin que tous les employés sachent de quoi il s’agit (certains termes techniques ou certaines techniques informatiques peuvent ne pas être maîtrisés par des employés. Ils ne doivent pas pouvoir se retrancher derrière cette ignorance pour justifier des fautes).

Il s’agit de certaines  « pratiques d’utilisation du réseau », qui, même si elles ne tombent pas sous le coup de la loi, peuvent mettre en péril la sécurité/sûreté du système d’information et/ou l’image de l’entreprise (brèches du périmètre du SI, virus, responsabilité de l’entreprise, risque de perte d’informations …)

Ces pratiques sont révélées par des juridictions pénales/civiles ; en conséquence, une mise à jour régulière de la charte est indispensable (veille juridique nécessaire)

 Quelles sont ces pratiques et utilisations qu’il est indispensable d’interdire aux employés d’une entreprise dans la plupart des cas, pour assurer une sécurité juridique de l’entreprise en phase avec les évolutions de la loi (notamment la jurisprudence) ?

 5-1 : Consulter des sites pornographiques sur internet.

5-2 : Télécharger de la musique, des films ou autres programmes informatiques sur internet (produits légaux, les produits illégaux sont déjà prévus par la loi).

5-3 : Créer et/ou gérer un site internet, un blog sur internet, un forum de discussion.

5-4 : Faire des envois répétitifs de courriels et/ou en grand nombre, sans autorisation, sur intranet et internet.

5-5 : Se connecter sur des forums, des chats … même sans participation directe à ceux-ci, sur internet.

5-6 : S’abonner à des newsletter sur internet.

5-7 : Utiliser certains moyens de communication et d’échange : Wifi, bluetooth, téléphonie IP, vidéo, peer to peer, webmail … sur intranet et internet.

5-8 : Utiliser certains outils « nomades » sans autorisation ( ordinateurs portables de l’entreprise hors de l’enceinte de l’entreprise, connexion sur l’intranet de l’entreprise depuis l’extérieur de celle-ci.

5-9 : Utiliser certains moyens de stockage externes, sans autorisation.

 6 – LA STRATEGIE ORGANISATIONNELLE S.S.I. DANS L’ENTREPRISE :

 Il s’agit d’expliquer la stratégie organisationnelle de la sécurité du système d’information et de communication.

Ce sont les informations qu’il est indispensable de préciser (et d’expliquer) aux employés de l’entreprise :

  • Les différents moyens utilisés pour la protection afin qu’ils puissent s’intégrer dans ce dispositif et respecter ces moyens mis en œuvre. Les prescriptions à respecter pour optimiser les différents types de protection.
  • Les règles de confidentialité à respecter.
  • Les procédures à connaître et à maîtriser.

 Sur quelles prescriptions doit reposer le dispositif de la stratégie organisationnelle S.S.I.C. dans l’entreprise ? Quelles informations/prescriptions devez vous donner aux employés pour qu’ils appréhendent bien tous les aspects de la protection et puissent ainsi y adhérer ?

 6-1 : Le périmètre du S.I.C – Le respect de ce périmètre. Règles sur l’arrivée ou le déplacement de matériels informatiques, de logiciels – Le respect des procédures d’utilisation des ordinateurs nomades, des supports amovibles, des PDA ou autres appareils pouvant se connecter à un poste du S.I.C. – L’attention demandée pour la surveillance de la maintenance informatique externalisée, télémaintenance – Clauses particulières de sécurité lors d’une panne d’un ordinateur suivi par une maintenance externalisée…

6-2 : La classification des informations et de leur caractère de sensibilité – Le respect de cette classification et de la confidentialité s’y rapportant. L’utilisation des moyens de cryptage en cas d’échange de données sensibles. La circulation de ces informations sur les réseaux (autorisations, autorisation sous condition, interdiction …)

6-3 : La protection physique du S.I.C. – Le respect des règles (Zones – mesures appropriées – gestion des clés – fermeture locaux – documents détruits …)

6-4 : La protection logique du S.I.C. – Le respect des règles (description sommaire des moyens : filtrage accès – antivirus- cloisonnement des réseaux et maîtrise des flux – les moyens de journalisation des intrusions ou des utilisations frauduleuses – constitution de preuves. Gestion des traces – Analyse – Le suivi des actions de sécurité ( études, audits, mise en œuvre, formation …) – Procédures de tests de vulnérabilité et d’audit.

6-5 : L’accès aux informations – Les procédures d’habilitation, les droits d’accès des utilisateurs – Les moyens d’authentification des utilisateurs – Le respect de la confidentialité, par les salariés, des modalités d’accès et d’authentification (Mots de passe à plusieurs subsets – Ne jamais donner son mot de passe ni l’inscrire- changer le mot de passe tous les 60 jours (moyen particulier de mémorisation – Laisser activé l’écran de veille avec mot de passe…).

6-6 : La procédure de détection et d’alerte des incidents de sécurité – Alertes de sécurité – Fiches de réactivité pour les employés – La connaissance des procédures d’alerte et de secours en cas de problème. Chaque utilisateur doit devenir une source d’information et de détection d’incident .

6-7 : Le stockage/archivage des informations par l’organisme (sauvegardes de production (au minimum quotidiennes) et sauvegardes de recours (stockage en un endroit différent)) – Le respect de ces règles au quotidien.

6-8 : Les plans de gestion de crise (plan de secours informatique – plan de reprise d’activité – plan de continuité d’activité …) – La bonne connaissance indispensable de ces plans.

6-9 : La mise au rebut des supports d’information et/ou sortie définitive de matériels informatiques/supports d’informations électroniques de l’entreprise. Les règles à respecter.

6-10 : La première information de tous les employés sur ces règles – Les modalités d’utilisation des S.I.C. de l’organisme (charte d’utilisation, diverses FAQ disponibles en annexes …).

6-11 : La formation/sensibilisation régulière des employés.

 7 – LE VOLET TECHNIQUE :

 Le chef d’entreprise se doit de donner des précisions sur les moyens techniques mis en œuvre pour parvenir aux objectifs évoqués de la cybersurveillance. Il est indispensable que l’utilisateur connaisse l’existence de ces moyens et les personnes habilitées à consulter les « traces informatiques ».

 Quels sont les types d’outils/mesures mis en œuvre par l’administrateur réseau/RSSI et permettant d’atteindre les objectifs fixés au paragraphe 2 ?  

 7-1 : Les traces générées automatiquement et pouvant permettre de tracer l’activité : logs/fichiers journalisation, journal firewall, journal ISS, journal anti-virus, journal des connexions d’accès de filtrage de courriels, journal des flux, journal de suivi des installation de logiciels, journal de l’autocommutateur, l’accès au site et aux différents secteur (accès réglementé)…(traçabilité).

7-2 : La régularité d’examen de ces fichiers.

7-3 : Les mots de passe personnels, authentification forte, habilitations, droits d’accès …(Imputabilité).

7-4 : Les vérifications réalisées sur ces identificateurs (doublons, complexité, changement régulier, utilisation anormale …)

7-5 : Le filtrage des courriels (sur des chaînes de caractère, sur certaines actions).

7-6 : L’accès aux différentes catégories d’information et la circulation de celles-ci.

7-7 : La conservation de ces traces – les différents types d’informations stockées – moyens et durée du stockage- protocole d’examen de ces traces (opposabilité).

 Les utilisateurs du SI doivent savoir comment vont être lues (sous quelles conditions et par qui) ces « traces informations » … 

 7-8 : Liste et rôle des personnes habilitées à consulter ces informations. Spécificités des salariés dits « sensibles » (RSSI, administrateurs réseau, )- Protection de l’administrateur réseau.

 8 – LE VOLET JURIDIQUE :

 Le chef d’entreprise s’attache à démontrer qu’il a pris toutes les précautions lors de la mise en place du système de cybersurveillance. Ce principe s’applique aux déclarations légales obligatoires, qu’il s’agisse d’officialiser un traitement de données à caractère personnel ou de déléguer, à un cadre de l’entreprise, un pouvoir (délégation de pouvoir = transfert de responsabilité pénale). Dans ce dernier cas, les personnes titulaires d’une délégation de pouvoir doivent être citées et l’étendue de cette délégation précisée.

Attention, en cas de litige, la délégation de pouvoir sera considérée valable par la justice seulement si certaines conditions sont remplies.

 Quelle est la prescription de la loi qui doit être respectée par le chef d’entreprise, dans la plupart des cas et sauf exceptions, pour donner une valeur légale aux traitements de données réalisées par le système de cybersurveillance (traitement de données à caractère personnel de l’autocom, traitement des données d’un lecteur de badge d’accès …)?

 8-1 : Déclarations à la CNIL (Normes CNIL utilisées, demandes réalisées, cas particuliers …).

8-2 : Existence d’un « correspondant informatique et libertés » dans l’entreprise – Désignation – Rôle (Indépendance – sécurité des informations « nominatives » sur les lieux de travail, respect des droits des salariés – Tenue d’un registre consultable) – Disponibilité prévue pour les employés.

 Les conditions indispensables appliquées aux délégations de pouvoir données dans l’entreprise :

8-3 : Désignation des personnes ayant délégation.

8-4 : Nécessité de ces délégations.

8-5 : Précision de ces délégations

8-6 : Permanence de ces délégations

8-7 : La personne qui reçoit délégation a des compétences reconnues (surtout si la délégation concerne un domaine technique).

8-8 : Les personnes qui reçoivent délégation disposent de l’autorité hiérarchique nécessaire (commandement de salariés – exclusion des personnes qui ne peuvent émettre que des avis).

8-9 : Les personnes qui reçoivent délégation disposent des moyens nécessaires pour assumer sa responsabilité (budget, matériel …)

 9 – LE VOLET JURIDIQUE ET SOCIAL :

 Dans la charte, le chef d’entreprise indique les mesures qu’il associe à la création de la charte pour lui donner toute sa valeur légale et probante.

En effet, sans ces mesures, cette charte pourrait être rejetée par la justice en cas de litige opposant le chef d’entreprise à l’un ou plusieurs de ses salariés.

 Citez les mesures/prescriptions qui sont appliquées à la charte par le chef d’entreprise pour lui donner toute sa valeur légale, être bien comprise et respectée, et agir en toute transparence ?

 9-1 : Information et consultation des instances représentatives du personnel.

9-2 : La charte est annexée au règlement intérieur.

9-3 : Un exemplaire de la charte a été déposé à l’inspection du travail et au greffe du conseil des Prud’hommes du lieu du siège de la société.

9-4 : La mise en oeuvre de la charte dans l’entreprise a été associée à une opération de diffusion (formation/sensibilisation personnels)

9-5 : La charte a été affichée (sous format papier. Elle est accessible par l’utilisateur lors de sa connexion avant le lancement de la session.

9-6 : Toutes les traces générées par les éléments du SIC pouvant permettre de tracer l’activité de l’utilisateur ont été décrites à l’utilisateur en toute transparence.

9-7 : Les sanctions disciplinaires encourues ont été clairement exposées (règlement intérieur).

9-8 : Les procédures pour traiter les suites d’un incident sécurité ont été clairement exposées.

 J. Triquell – AroundRisk.fr  – ORCAE.fr

3 réflexions au sujet de « L’entreprise : lieu de travail « fliqué » ou ambassade virtuelle du salarié ? Quels repères ? »

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s