Dossier d'actualité

Surf et usage des NTIC au travail : entre droits, devoirs et obligations

Révisé le 24/02/2015, par Carole Girard-Oppici, dans Technologies.

Vos réactions...

   

Introduction

Le monde de l'entreprise fait face aux nouveaux usages des outils de communication et s'adapte aux besoins de la nouvelle génération, dont les qualificatifs ne manquent pas d'originalité (Web.1, Web 2.0, génération XY, etc).

Banalisé, l'usage des smartphone, avec l'envoi de SMS et MMS, est quotidien et indispensable pour de nombreux jeunes y compris lorsqu'ils entrent dans la vie active. La tablette, l'ordinateur portable, les réseaux sociaux, les courriels, le chat (messagerie instantanée) et les conversations vidéos en directes font partie de leur quotidien et ont tendance à s'imposer sur le lieu de travail.

Ces outils de communication parfaitement maîtrisés par la nouvelle génération, dite aussi "génération connectée", doivent cohabiter avec le monde de l'entreprise. Et ce n'est pas toujours évident !

Quoi de plus normal pour l'employeur de s'adapter à ces nouveaux standards de vie, et pour les salariés d'en limiter l'usage sur leur lieu de travail.

Pour les y aider, voici un état de la situation, les règles de droit posées par la jurisprudence et quelques conseils pour ménager les intérêts et besoins de chacun, sachant qu'un arrêt du 10 février 2015 de la Cour de cassation fixe le principe selon lequel les messages écrits envoyés ou reçus par le salarié au moyen d'un outil de communication mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel. L'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant "personnel".

Quels usage et utilisation personnelle des NTIC au travail ?

D'abord utilisé ponctuellement pour effectuer des recherches en rapport avec les loisirs et les vacances, le surf personnel au bureau a pris de l'ampleur au fil des années.

Alors que le manque de productivité des travailleurs français est avancé par certains potentiels investisseurs étrangers, on remarque que tous secteurs confondus, en 2012, les salariés ayant accès à internet au travail passent en moyenne 97 minutes par jour à surfer à titre professionnel et personnel (soit 8 minutes de plus qu'en 2011), dont plus de la moitié à titre personnel.
Dans le même temps, le nombre de salariés en partie en télétravail a nettement progressé pour atteindre pratiquement 17%.

Deux tendances qui engendrent des changements dans les comportements des salariés et des employeurs.

Surf perso au travail = 13,6% de baisse de la productivité

Les connexions extra-professionnelles représentent 28,5 jours par an, soit un coût moyen pour l'employeur d'environ 13.000 euros pour un cadre, soit 2,4 mois de salaire.

Soulignons qu'en 2011, la baisse de la productivité était estimée à 14%. Il semblerait donc que le taux se stabilise autour de cette moyenne.

Sur une journée type, un employé passe 40 minutes sur internet pour son usage professionnel, mais 57 minutes à titre privé. Cette dernière durée augmente d'ailleurs lorsque l'actualité du moment suscite d'avantage d'intérêt (élections présidentielles, catastrophe naturelle, querelles politiques, actu people, etc.).
Les réseaux sociaux continuent de susciter beaucoup d'intérêts, Facebook en tête.

Un usage équivalent à 5,7 semaines de congés en plus dans l'année

En un an, les salariés ayant accès au web ont augmenté leur utilisation de l'internet au travail de :

  • +5 minutes à usage personnel ;
  • +3 minutes à usage professionnel.

Conséquence immédiate, avec Internet la productivité chute par rapport à 2011, d'environ 4h45 par semaine.
"Internet au bureau à des fins personnelles, c'est 5,7 semaines de congés en plus par an", évalue l'étude. Un chiffre particulièrement élevé.

Des pics d'audience à l'arrivée et avant le départ du travail

La répartition horaire du surf perso au travail est la suivante :

  • de 8h à 10h, avec une moyenne de surf de 59% ;
  • de 12h à 15h et à partir de 17h, ces plages horaires sont les plus importantes pour le surf perso ;
  • de 10h à 12h et de 15h à 17h et après 19h, à ces plages horaires, les salariés ont un usage plus professionnel d'internet.

La plage horaire du matin est davantage destinée à la consultation de sites d'actualité et de réseaux sociaux. La plage du midi est celle qui concentre le plus de consultation de sites de divertissement (visionnage d'émissions de télé, radio en ligne, jeux). Enfin, la plage de fin de journée est généralement celle qui permet la consultation de sites de services (météo, trafic, etc.) et les divertissements.

Une place prédominante pour les blogs, sites d'actualité, sites de partage et les réseaux sociaux

Le top 10 des catégories de sites les plus visités au travail fait apparaître que majoritairement, le surf personnel est destiné à :

  • 19% à la consultation de blogs et forums ;
  • 18% pour des sites de partages ;
  • 17% à la consultation d'actualités ;
  • 11% à l'usage des réseaux sociaux ;
  • 11% au commerce en ligne ;
  • les 24% restants étant répartis, sans jamais excéder 6% de l'usage, entre le webmail, les jeux en ligne, le sexe en ligne, les loisirs et le téléchargement de logiciels, musiques, films et jeux.

On remarquera que 4 sites du top 20 sont des sites qui diffusent des vidéos, sans compter les sites d'actualités qui proposent de plus en plus de vidéos. Ce support est donc particulièrement prisé.

Des risques à maîtriser

Mais le surf perso au bureau n'est pas sans risques pour l'entreprise. En effet, cette dernière doit maîtriser plusieurs risques liés :

  • à la fuite d'informations ;
  • au ternissement de sa réputation sur internet ;
  • à la sécurité de son réseau ;
  • aux problèmes juridiques, notamment en droit du travail ;
  • aux besoins de sa bande passante ;
  • à la baisse de la productivité de son personnel.

Surf perso en entreprise : oui avec modération

L'usage personnel des outils informatiques est toléré

Depuis le début des années 2000, la jurisprudence tente de fixer des limites à l'usage personnel des outils informatiques de l'entreprise par le salarié. Tout a débuté avec le fameux arrêt Nikon du 2 octobre 2001. Pour la première fois, la Cour de cassation admet que : "le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur".

Toutefois, la jurisprudence viendra par la suite préciser que les courriels et messages instantanés adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels (Cass / Soc. 16 mai 2013).

De même, une clé USB ou un SD card, dès lors qu'elle est connectée à un outil informatique mis à la disposition du salarié par l'employeur pour l'exécution du contrat de travail, est présumée utilisée à des fins professionnelles. L'employeur peut avoir accès aux fichiers non identifiés comme personnels qu'elle contient, hors la présence du salarié (Cass / Soc. 12 février 2013).

Les arrêts consacrés à l'usage des NTIC au travail ont ensuite apporté leurs lots de précisions.

Sanction en cas d'utilisation abusive du matériel informatique professionnel

  • l'usage personnel (par hypothèse, pendant l'accomplissement du travail, et à des fins étrangères à l'exécution de la tâche), peut donner lieu à sanction de la part de l'employeur (Cass / Soc. 19 mai 2004).
    La sanction en ce domaine et sa nécessaire proportionnalité sont contingentes de nombreux facteurs, en ce qu'elles dépendent des stipulations du contrat de travail, de la nature du poste occupé et du règlement intérieur (lequel sera avisé de proscrire notamment l'accès à des sites contraires aux bonnes moeurs ou à l'ordre public, et d'encadrer plus généralement l'usage de l'Internet).

  • une connexion à Internet, fût-elle de longue durée, sur le lieu de travail constitue une faute s'il est établi que le salarié a consacré son temps de travail à des activités personnelles. Le salarié qui a usé de la connexion Internet de l'entreprise, à des fins non professionnelles, pour une durée totale d'environ 41 heures durant le mois et a effacé l'historique, commet une faute grave (Cass / Soc. 18 mars 2009).

  • les fichiers créés par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme étant personnels (Cass / Soc. 10 mai 2012).

  • l'utilisation du matériel informatique professionnel en infraction au règlement intérieur à l'origine de la dégradation involontaire du système informatique de l'entreprise, suite à l'introduction d'un virus, n'était pas constitutive d'une faute grave, mais d'une faute simple (Cass / Soc. 10 mai 2012).

  • les courriels adressés ou reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf s'ils sont identifiés comme personnels. Le règlement intérieur peut toutefois contenir des dispositions restreignant le pouvoir de consultation de l'employeur, en le soumettant à d'autres conditions, comme par exemple la présence obligatoire du salarié (Cass / Soc. 26 juin 2012).

Par contre, si l'employeur peut toujours consulter les fichiers qui n'ont pas été identifiés comme personnels par le salarié (par exemple, s'il s'agit de photos érotiques), il ne peut les utiliser pour le sanctionner s'ils s'avèrent relever de sa vie privée (Cass / Soc. 5 juillet 2011).

La Cour de cassation a confirmé (Cass. Com. 10 février 2015) que, comme le matériel (fauteuil, machine, fournitures, etc.) les outils informatiques mis à disposition du salarié par l'entreprise pour les besoins de son activité professionnelle, sont présumés avoir un caractère professionnel. Dès lors, l'employeur peut prendre connaissance de tous les échanges électroniques qui transitent sur ses serveurs, sauf ceux identifiés comme "personnel". Au travail, l'usage d'internet et des outils de communication tels que les e-mails et sms envoyés et reçus depuis le matériel professionnel, peut être surveillé et contrôlé par l'employeur sans l'accord du salarié.

La production en justice des messages n'ayant pas été identifiés comme étant personnels par le salarié ne constitue pas un procédé déloyal" : la preuve est recevable. L'utilisation de tels messages par l'employeur n'est pas "assimilée à l'enregistrement d'une communication téléphonique privée effectué à l'insu de l'auteur des propos invoqués".

En conséquence, les usages suivants des NTIC au travail avec le matériel de l'entreprise, revêtent par principe un caractère professionnel :

  • ordinateur professionnel (documents, photos, etc.)
  • surf sur internet, discussions sur les forums de discussion, participation sur les réseaux sociaux (facebook, twitter, blog..)
  • messagerie électronique, de sorte que les courriels émis ou reçus du salarié sont présumés professionnels
  • messagerie instantanée, dite également "chat" pour cyber-bavardage (ICQ, Jabber, MSN message, Yahoo messenger, Google talk, Pidgin, etc.) :
  • imprimante, photocopieuse, scanner, etc.
  • clé USB, disque dur externe, SD card, etc.
  • téléphone professionnel mis à disposition du salarié (SMS, textos, photos, e-mail etc.).

Tableau récapitulatif : usage admis ou constitutif d'une faute

Types d'usage du salarié à titre privé

Admis

Non Admis
Sanction disciplinaire possible après constat d'huissier

Surfer sur internet & téléchargement

Si usage privé modéré, respect du Droit* et en dehors du temps de travail

Sanction : licenciement pour faute grave (1)

L'entreprise peut interdire cet usage, mais aussi prévoir l'installation de logiciels espions (keylogger)
Sanction : licenciement pour faute grave (1)

Courriel & messagerie instantanée (chat)

Si usage privé modéré, respect du Droit* et en dehors du temps de travail

Non consultation par l'employeur, si indication "PERSONNEL" avant chaque début de message

Sanction : licenciement pour faute grave (2)

L'entreprise peut interdire cet usage

Sanction : licenciement pour faute grave (2)

SMS ou messages écrits sur téléphone professionnel

Usage privé autorisé par l'entreprise

Non consultation par l'employeur si indication "PERSONNEL" avant chaque début de message

Preuve admise, après constat d'huissier (3)


Imprimante, scanner et photocopieuse

Si usage privé autorisé par l'entreprise, avec modération et non abusive *

Si abus, sanction disciplinaire possible

L'entreprise peut interdire cet usage, y compris en dehors des heures de travail.

Si non respect, sanction disciplinaire possible

Utilisation d'une clé USB, SD card, disque dur externe

Présumé à usage professionnel, ce type de support peut être consulté à tout moment par l'employeur, hors la présence du salarié

Sanction : licenciement pour faute grave (4)

L'entrée ou l'extraction de données appartenant à l'entreprise peut être totalement interdite pour des raisons de sécurité (prévention piratage, logiciel espion, virus informatique, vol de données confidentielles, etc.).

Sanction : licenciement pour faute grave (4)

* => Le "Droit" sur les bonnes pratiques des usages des NTIC au travail peut être issu du Code du travail, du Code pénal, du Règlement intérieur, de la Charte informatique ou encore des notes de services (ex : Interdiction de divulgation d'informations confidentielles de l'entreprise, ne pas nuire à l'image de l'entreprise sur les réseaux sociaux, interdiction de télécharger des images pédophiles, interdiction de visiter des sites sur l'apologie du terrorisme, etc.).

(1) Cass. Soc. 26 février 2013, n°11-27372, Cass. Soc. 18 mars 2009, n°07-44247, Cass. Soc 9 juillet 2008, n°06-45800
(2) Cass. Soc. 16 mai 2013, n°12-11866, Cass, Soc, 8 octobre 2014, n°13-14991
(3) Cass. Soc. 23 mai 2007, n°06-43209
(4) Cass. Soc 12 février 2013, n°11-28649

Des recommandations à suivre...

La lecture des e-mails identifiés comme personnels depuis le poste de travail du salarié, est strictement interdite à l'employeur, hors motif grave et légitime (ex : espionnage, cyberterrorisme, etc.) ou présence du salarié et avec l'accord de celui-ci. Par contre, l'employeur peut se servir du volume et du pourcentage d'envoi de messages déclarés comme "personnel" par rapport à ceux par défaut "professionnel", pour prouver un abus de l'utilisation à usage privé. Par exemple, 20% des messages envoyés et reçus par le salarié à son poste de travail sont identifiés comme "personnel".

La Cour de cassation admet que l'employeur puisse surveiller l'usage qui est fait des outils professionnels et notamment des sites web visités par le salarié durant son travail. En effet, les connexions établies par un salarié sur des sites Internet pendant son temps de travail grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumées avoir un caractère professionnel de sorte que l'employeur peut les rechercher aux fins de les identifier, hors de sa présence (Cass / Soc. 9 juillet 2008).

L'employeur doit veiller à ce que les salariés ne fassent pas un usage illicite d'internet, ni un usage abusif. A défaut il est compétent pour sanctionner les abus, voire licencier l'employé fautif.

Si l'entreprise met en place un système de filtration des connexions, afin d'évaluer et surveiller les usages de l'internet pendant les heures de travail, elle doit de le faire pour tous les salariés, sans distinction ni discrimination.

Si l'employeur ne peut interdire à ses salariés tout usage d'internet à des fins personnelles, l'employé doit veiller à en avoir un usage raisonnable et en dehors de son temps de travail.

La charte informatique permet à l'entreprise d'interdire aux salariés de parler de la société sur les réseaux sociaux et forums de discussions. Elle peut aussi leur interdire d'utiliser leur adresse professionnelle pour se connecter à certains comptes en ligne ou pour échanger avec des tiers à titre personnel.

L'employeur a la possibilité de consulter les archives de la navigation internet de tous les ordinateurs de l'entreprise, y compris en l'absence des intéressés.

Les principes fondamentaux

  • l'interdiction d'utiliser la messagerie électronique professionnelle à des fins personnelles n'autorise pas l'employeur à prendre connaissance régulièrement des contenus relevant de la vie privée ;

  • s'agissant des instances représentatives du personnel, la messagerie de l'entreprise doit pouvoir être utilisée par les instances représentatives du personnel ou pour l'exercice d'un mandat syndical. Ceci doit faire l'objet d'une négociation au sein de l'entreprise. La confidentialité des informations échangées doit être assurée.
    Un accord d'entreprise relatif à l'exercice du droit syndical mettant à la disposition des organisations syndicales la messagerie électronique de l'entreprise pour la publication d'informations syndicales en subordonnant cette faculté à l'existence d'un lien entre le contenu de l'information et la situation sociale existante dans l'entreprise, ne permet pas à un salarié qui se prévaut d'une fonction syndicale, de diffuser un message qui n'a aucun lien avec la situation sociale de l'entreprise, ni avec son activité syndicale (Cass / Soc. 22 janvier 2008, pourvoi n°06-40514) ;

  • le rôle des administrateurs de réseaux :
    Aucune exploitation à des fins autres que celles liées au bon fonctionnement et à la sécurité des systèmes d'information ne doit être admise. L'idée forte est le respect du secret professionnel pour les administrateurs réseau. Ces derniers ne doivent pas révéler des données relevant du secret des correspondances ou relevant de la vie privée des utilisateurs, si tant est qu'ils ne mettent pas en cause le bon fonctionnement des systèmes, ni l'intérêt de l'entreprise.

La sécurisation des données de l'entreprise

Adopter une politique de mot de passe rigoureuse

Tout d'abord, la CNIL rappelle que l'accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est une nécessité. Concernant le mot de passe, il doit être : individuel, difficile à deviner, et rester secret.
Il ne doit pas, par exemple, être écrit sur un support proche du poste de travail ou facile d'accès (ex : post-it comportant ces informations collé à l'écran).

La DSI ou le responsable informatique doit impérativement :

  1. mettre en place une politique de gestion des mots de passe rigoureuse :
    Un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois).
  2. s'assurer que le système doit contraindre l'utilisateur à choisir un mot de passe différent des 3 qu'il a utilisés précédemment :
    Généralement attribué par l'administrateur du système, le mot de passe doit être modifié obligatoirement par l'utilisateur dès la première connexion.
  3. vérifier que les administrateurs des systèmes et du réseau modifient les mots de passe qu'ils utilisent eux-mêmes, et ce à fréquence régulière.

Concevoir une procédure de création et de suppression des comptes utilisateurs

L'accès aux postes de travail et aux applications doit s'effectuer à l'aide de comptes utilisateurs nominatifs, et non "génériques" (compta1, compta2…), afin de pouvoir éventuellement être capable de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l'ensemble des intervenants.

Les comptes "génériques" ne permettent pas d'identifier précisément une personne, et en cas de faille de sécurité il est impératif d'identifier cet utilisateur.

Cette règle doit également s'appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l'exploitation du système d'information.

Sécuriser les postes de travail

  1. Les postes des agents doivent être paramétrés afin qu'ils se verrouillent automatiquement au-delà d'une période d'inactivité (10 minutes maximum).
  2. Les utilisateurs doivent être incités à verrouiller systématiquement leur poste dès qu'ils s'absentent de leur bureau (ex : pour aller aux commodités ou prendre le café).
  3. Le contrôle de l'usage des ports USB sur les postes "sensibles", interdisant par exemple la copie de l'ensemble des données contenues dans un fichier, est fortement recommandé (ex : bloquer par un support rigide fixe, l'accès aux ports USB).

Identifier précisément qui peut avoir accès aux fichiers

L'accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l'exécution des missions qui leurs sont confiées. Aussi, la CNIL invite les organismes à élaborer "le profil d'habilitation" de l'agent ou du salarié concerné.

Pour chaque mouvement ou nouvelle affectation d'un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d'accéder et faire procéder à la mise à jour de ses droits d'accès.

Une vérification périodique des profils des applications et des droits d'accès aux répertoires sur les serveurs est donc nécessaire afin de s'assurer de l'adéquation des droits offerts et de la réalité des fonctions occupées par chacun.

Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d'information d'un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l'égard des données auxquelles ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu'une clause de confidentialité soit prévue dans les contrats de sous-traitance.

Les éventuelles interventions d'un prestataire sur des bases de données doivent se dérouler en présence d'un salarié du service informatique et être consignées dans un registre.

Les données qui peuvent être considérées "sensibles" au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l'objet d'un chiffrement.

Notons que l'administrateur systèmes et réseau n'est pas forcément habilité à accéder à l'ensemble des données de l'organisme. Pourtant, il a besoin d'accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n'a pas connaissance, et qui est détenue par une personne qui n'a pas accès à ces données (le responsable de la sécurité par exemple), l'administrateur peut mener à bien ses missions et la confidentialité est respectée.

Sécuriser le réseau local

Afin de sécuriser un système d'information vis-à-vis des attaques extérieures, il faut :

  1. Un premier niveau de protection est indispensable, et mis en oeuvre grâce à des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti-intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents.
  2. La messagerie électronique doit faire l'objet d'une vigilance particulière.
  3. Les connexions entre les sites parfois distants d'une entreprise ou d'une collectivité locale doivent s'effectuer de manière sécurisée, par l'intermédiaire des liaisons privées ou des canaux sécurisés par technique de "tunneling" ou VPN (réseau privé virtuel).
  4. Les réseaux sans fil doivent être sécurisés compte tenu de la possibilité d'intercepter à distance les informations qui y circulent :
    - utilisation de clés de chiffrement,
    - contrôle des adresses physiques des postes clients autorisés,
    - etc.
  5. Les accès distants au système d'information par les postes nomades doivent faire préalablement l'objet d'une authentification de l'utilisateur et du poste.
  6. Les accès par internet aux outils d'administration électronique nécessitent des mesures de sécurité fortes, notamment par l'utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

Notons qu'un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives, sera prochainement en vigueur, et imposera à chacun des acteurs des mesures de sécurité spécifiques.

Sécuriser l'accès physique aux locaux

L'accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l'objet d'une sécurisation particulière :
- vérification des habilitations,
- gardiennage,
- portes fermées à clé,
- digicode,
- contrôle d'accès par badge nominatifs,
- etc.
La DSI ou le responsable informatique doit veiller à ce que les documentations sensibles (techniques, plans d'adressages réseau, contrats, etc.) soient elles aussi protégées.

Anticiper le risque de perte ou de divulgation des données

Afin de prévenir toute perte ou divulgation de données, il convient d'identifier les éventuelles causes, à savoir :

  • l'erreur ou la malveillance d'un salarié ou d'un agent ;
  • le vol d'un ordinateur portable ;
  • une panne matérielle ;
  • les conséquences d'un dégât des eaux ou d'un incendie.

Une fois ce diagnostic effectué, il faut veiller à :

  1. Stocker les données sur des espaces serveurs prévus à cet effet et faisant l'objet de sauvegardes régulières.
  2. Stocker les supports de sauvegarde dans un local distinct de celui qui héberge les serveurs (idéalement dans un coffre ignifugé).
  3. Sauvegarder les données sensibles ou capitales pour l'activité de l'organisme hébergées par les serveurs.
  4. Doter ces serveurs d'hébergement d'un dispositif de tolérance de panne.
  5. Rédiger une notice relative à la procédure "urgence - secours" qui décrit comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur.
  6. Mettre en oeuvre un dispositif de sécurisation adapté pour les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.), par chiffrement, au regard de la sensibilité des dossiers ou documents qu'ils peuvent stocker.
  7. Détruire avant de les jeter, les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs (ou expurger les disques durs avant de les donner à des associations).
  8. Formatage de bas niveau destiné à effacer les données qui peuvent être stockées sur les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés.

Anticiper et formaliser une politique de sécurité du système d'information

L'ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l'ensemble des agents ou des salariés. Sa rédaction requiert l'inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d'information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l'organisme concerné.
Enfin, le paramètre "sécurité" doit être pris en compte en amont de tout projet lié au système d'information.

Sensibiliser les utilisateurs aux "risques informatiques" et à la loi "informatique et libertés"

Le principal risque en matière de sécurité informatique est l'erreur humaine. Les utilisateurs du système d'information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l'utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l'envoi périodique de fiches pratiques.

Elle doit également formaliser dans un document, de type "charte informatique", qui peut préciser :

  1. Les règles à respecter en matière de sécurité informatique. A cela s'ajoute l'obligation de veiller à ce que les utilisateurs :
    - nettoient régulièrement leurs vieux documents et messages électroniques sur leurs postes ;
    - nettoient régulièrement le répertoire d'échange partagé entre les différents services afin qu'il ne se transforme pas en espace "fourre-tout" (fichiers personnels des agents mélangés avec des dossiers sensibles).
  2. Les règles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d'internet.
  3. Les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles (par exemple après avoir obtenu l'accord de son responsable, du service juridique ou du CIL de l'entreprise ou de l'organisme dans lequel il travaille).
  4. Et s'accompagner d'un engagement de responsabilité à signer par chaque utilisateur.

© 2015 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

 48 publications associées à ce dossier :


Consultez l'intégralité des 48 publications du dossier :
Surf et usage des NTIC au travail : entre droits, devoirs et obligations
.

Commentaires et réactions :



-