Table des matières
1. Introduction
Cette charte concerne « Mobivia », (l’ « Entreprise ») dans ce document, Mobivia est le leader européen de l’entretien automobile et acteur des nouvelles mobilités.
Aux côtés des usagers depuis 1970 dans leurs déplacements, Mobivia accompagne chacun dans sa mobilité, quels que soient ses besoins, ses moyens et ses choix, en lui proposant des solutions de mobilité :
- plus sûres,
- plus accessibles,
- plus propres et durables.
NOTRE RAISON D’ÊTRE ENSEMBLE
“Parce que la mobilité est essentielle à chacun, nous entreprenons pour que nous soyons tous durablement mobiles”.
NOS VALEURS FONDATRICES
- Esprit Entrepreneurial
- Partage
- Performance durable
- Empathie
Pour développer ces valeurs, l’écosystème de Mobivia s’appuie sur des éléments essentiels :
- un capital humain, un savoir faire
- un patrimoine matériel, des locaux, des équipements de travail,
- un patrimoine immatériel : des données et des outils numériques
Concernant le patrimoine immatériel, il est nécessaire de prendre en compte :
- le rôle essentiel de l’Information (des données) et des outils numériques dans les missions de nos
Entreprises au service de nos clients et du bon fonctionnement de nos Entreprises. - le renforcement des obligations réglementaires liées à la protection des données.
De ce fait, il est indispensable d’assurer la protection des données et des systèmes d’information, encore appelés outils numériques. Cette charte d’utilisation des outils numérique de l’Entreprise, fait partie des référentiels qui y contribuent, ses champs d’application sont définis dans le paragraphe suivant.
2. Champs d'application
2.1 Système d'information
Cette charte concerne l’ensemble des outils matériels, logiciels et services (Cloud Computing) constituant le système d’information de l’entreprise (le « Système d’Information”) :
- réseaux informatiques,
- serveurs,
- bases de données,
- applications,
- composants applicatifs de tous types,
- messagerie, outils collaboratifs,
- appareils professionnels fournis par l’entreprise aux utilisateurs pour accéder aux ressources
numériques, tels que postes de travail (Windows, Linux, MacOS, Chromebooks, etc.), tablettes,
smartphones, imprimantes, scanners.
Le système d’information comprend également :
- les ressources informatiques hébergées dans l’entreprise (internes);
- les ressources informatiques externalisées chez un sous-traitant (hébergement et/ou infogérance
externalisé(s)), - l’ensemble des services de Cloud Computing utilisés (quel qu’en soit le type : IaaS, PaaS, SaaS1 , et
toutes ses futures déclinaisons.).
1 –IaaS: Infrastructure as a Service, PaaS: Platform as a Service, SaaS: Software as a Service
2.2 Données
Cette charte concerne l’ensemble des données professionnelles appartenant à l’entreprise (les “Données”).
Elle concerne en particulier :
- Les données stratégiques de l’entreprise (plans de développement, stratégies commerciales, etc.)
- Les données importantes pour le fonctionnement de nos entreprises (clients, produits, stocks, données financières, RH, etc.)
- Les données à caractère personnel dont le traitement et la protection sont soumis à des contraintes
réglementaires fortes (données clients, données relatives aux ressources humaines de l’Entreprise, …)
Toute donnée ou information stockée sur le Système d’Information de l’Entreprise est présumée professionnelle, à l’exclusion des données explicitement désignées par l’Utilisateur comme relevant de sa vie privée. L’Utilisateur est donc tenu de stocker ses données à caractère privé dans des répertoires explicitement prévus à cet effet et intitulés « Privé » ou « Personnel » .
Tout message reçu ou envoyé depuis le poste de travail mis à disposition par l’employeur a par principe un caractère professionnel et peut être consulté par l’employeur. Pour assurer une continuité dans l’activité professionnelle, l’employeur peut être amené à accéder à la messagerie d’un salarié absent pour prendre connaissance et traiter les messages professionnels utiles pour l’Entreprise. Les messages privés personnels doivent comporter la mention « Privé » ou « Personnel » dans l’objet du message.
La protection et la sauvegarde régulière des données à caractère privé incombent à l’Utilisateur, la responsabilité de l’Entreprise ne pouvant être engagée quant à la conservation de cet espace.
L’Utilisateur est tenu de limiter à une taille raisonnable les données à caractère privé stockées sur le Système d’Information et de Communication de l’Entreprise.
2.3 Utilisateurs
Les personnes concernées par cette charte (les “Utilisateurs”) sont toutes les personnes ayant un accès autorisé à tout ou partie du Système d’Information de l’Entreprise et aux données de l’Entreprise. Il s’agit :
- des personnes salariées de l’Entreprise,
- des stagiaires,
- des prestataires ayant un accès aux ressources numériques de l’Entreprise,
- de toute autre personne pouvant disposer d’un accès à tout ou partie au Système d’Information.
3. Principes généraux
3.1 Règles d'usages
L’utilisation des ressources informatiques, l’usage des services Internet et des réseaux de l’Entreprise pour y accéder sont destinés avant tout à l’activité professionnelle des Utilisateurs. L’activité professionnelle doit être entendue comme celle définie dans le cadre des missions de l’Entreprise.
Un usage personnel résiduel dans le cadre des nécessités de la vie courante et familiale est toléré dans la limite du raisonnable conformément à la législation en vigueur.
Les accès aux ressources numériques et aux données de l’Entreprise sont soumises à des habilitations adaptées aux besoins métiers légitimes de l’Utilisateur.
Les accès des Utilisateurs s’effectuent généralement à l’aide de la combinaison d’un identifiant personnel nominatif et d’un mot de passe.
3.2 Protection des informations et des droits d’accès
Devoirs de l’Utilisateur :
- Veiller à la confidentialité des informations professionnelles auxquelles il peut avoir accès dans le cadre de sa mission, qu’elles soient numériques ou sous forme de documents « papier »;
- Contribuer à la sécurité de l’information et du Système d’Information de l’entreprise en utilisant les
ressources numériques :- de façon responsable,
- avec la prudence nécessaire issue du bon sens,
- dans le respect des règles de cette charte.
- Contribuer à la protection des données de l’Entreprise en respectant les règles de sécurité en vigueur dans l’entreprise concernant :
- l’accès au système d’Information et aux données,
- le stockage des données
- les envois de données (Les données confidentielles et/ou à caractère personnel doivent être
chiffrées avant expédition, en particulier si envoyées par email).
- Signaler très rapidement au Service Informatique ou au Référent Sécurité Opérationnel de son
entreprise (voire au RSSI de Mobivia) toute anomalie ou incident qu’il pourrait constater (accès
inapproprié, perte ou vol de son PC, de son smartphone, mails indésirables ou dangereux, etc.).
Responsabilité de l’Entreprise :
- Édicter des règles visant à protéger son patrimoine immatériel (les ressources numériques et les
données de l’Entreprise); - Mettre en oeuvre des moyens technologiques et organisationnels pour protéger le Système
d’Information et les données professionnelles; - Respecter les droits fondamentaux des Utilisateurs dans le cadre des lois en vigueur, notamment dans le respect de la vie privée et dans le respect du principe de proportionnalité des mesures et des
contrôles mis en œuvre pour assurer la sécurité et le maintien en conditions opérationnelles des
ressources informatiques et de communications électroniques;
Pour des besoins de gestion, d’évolution des outils numériques et en assurer la sécurité, des Utilisateurs appelés Administrateurs Informatiques ou Numériques peuvent disposer de privilèges étendus:
- Ils utilisent ces privilèges uniquement dans le cadre et pour les besoins de leur mission;
- Ils s’engagent à garder secrète toute information confidentielle dont ils pourraient avoir connaissance dans leurs activités d’Administration du Système d’Information ;
- Idéalement les usages d’administration sont cadrés dans un document complémentaire spécifique qui doit engager les administrateurs mais aussi les protéger (Charte ou Guide d’usage pour l’Administration des ressources informatiques ou numériques)
4. Règles d’application Utilisateurs par type d’usages
4.1 Bonnes pratiques Utilisateurs
Mots de passe
L’Utilisateur choisit ses mot de passe et il en est responsable (le mot de passe est personnel et confidentiel).
L’utilisation d’un même mot de passe pour tous les accès n’est pas une bonne pratique et doit être proscrite.
L’utilisateur se conforme aux règles de mots de passe imposées techniquement, lorsqu’elles existent, pour la connexion au poste de travail ou à une application, (Longueur, complexité, fréquence de renouvellement, historique). En l’absence de contrainte technique imposée l’Entreprise demande à l’Utilisateur de respecter un niveau minimum de sécurité :
- Longueur minimale : 8 caractères
- Complexité : mixer lettres majuscules, minuscules, chiffres (et éventuellement caractères spéciaux pour l’accès aux ressources les plus sensibles)
- Changement à une fréquence raisonnable
L’utilisation d’un coffre fort de mots de passe est recommandé et permet à l’Utilisateur de respecter plus facilement ces mesures. (Exemple : l’outil Keepass)
Usage des ressources numériques
L’utilisateur s’engage par ailleurs à :
- ne pas utiliser de services en ligne de type « grand public », pour traiter de l’information professionnelle appartenant à l’Entreprise (services pour lesquels l’Entreprise n’a pas acquis de licences et/ou signé de contrat), e.g Dropbox personnel, Google drive personnel, Evernote, etc.,
- observer un usage responsable des ressources numériques de l’Entreprise de façon à ne pas nuire à leur fonctionnement ni à la sécurité des données,
- utiliser Internet, de façon prudente et responsable,
- utiliser les messageries et les outils collaboratifs en respectant des règles essentielles de prudence, en raison de l’importance des menaces ciblant ces médias (phishing, pièces jointes infectées par des virus, etc.),
- ne pas utiliser les ressources informatiques mises à sa disposition par l’Entreprise pour effectuer des
activités illicites, contraires aux bonnes mœurs ou pouvant porter atteinte à la sécurité ou au fonctionnement d’autres systèmes informatiques ou réseaux de télécommunications.
En particulier, il veillera à (liste non exhaustive)
- ne pas divulguer d’informations confidentielles de l’Entreprise ni même d’informations à caractère strictement interne,
- limiter au strict minimum, voire à bannir, en raison des risques que cela représente pour le Système d’Information et les données de l’Entreprise :
- le téléchargement et l’installation sur son poste de travail de logiciels non fournis par l’Entreprise, (solliciter le service informatique en cas de besoins non couverts par les solutions existantes dansl’Entreprise),
- la connexion sur le poste de travail (PC) de périphérique USB non fournis par l’Entreprise (clés USB,
disques amovibles,etc.).
L’Utilisateur veillera également à ne pas :
- télécharger ni utiliser sur les Systèmes d’information de l’Entreprise
- des logiciels soumis à licences qui n’ont pas été acquises par l’Entreprise
- des œuvres protégées par des droits d’auteur qui en interdisent la copie et le partage (films,vidéos, musique, etc…)
- publier, stocker de données délictueuses ou offensantes, se rendre coupable de diffamation, de
dénigrement. - tenter d’effectuer de piratage informatique (Vol, destruction d’informations, tentatives d’accès non autorisées, ou atteinte au fonctionnement d’un système, …)
L’Entreprise a l’obligation de dénoncer les activités illicites constatées en son sein.
4.2 Règles d’usage en fonction du lieu
Depuis les locaux de l’entreprise
L’Utilisateur :
- se sert du matériel professionnel fourni et sécurisé par l’Entreprise pour se connecter sur le réseau
informatique de l’Entreprise, les connexions d’appareils non fournis par l’entreprise sont limitées à un réseau invité particulier (Guest) et distinct du réseau interne. - respecte les mesures de sécurité mises en œuvre par l’Entreprise et contribue à leur application.
- s’identifie à l’aide de ses identifiants et mots de passe professionnels pour accéder aux ressources
numériques de l’Entreprise. - verrouille sa session lorsqu’il s’absente même pour un bref instant (Touches « Windows + L » sur un poste de travail Microsoft Windows).
- reste constamment vigilant concernant la sécurité physique de l’appareil (PC, Smartphone, ou tablette),
- PC attaché avec un câble antivol et/ou rangé dans une armoire fermée à clé le soir
- surveillance constante et rigoureuse des appareils mobiles non attachés
En mobilité/déplacement ou à la maison
En plus des règles applicables dans les locaux de l’Entreprise, l’Utilisateur :
- reste constamment vigilant concernant la sécurité physique de l’appareil (PC, Smartphone, ou tablette), et évite par exemple de laisser le matériel dans le coffre d’une voiture.
- est vigilant également avec des documents papier.
- n’utilise pas les réseaux Wifi publics (Aéroports, Halls de gare, TGV, Hôtel, etc.) pour se connecter
sauf s’il a l’assurance par son service informatique d’une protection adaptée de son poste de
travail ou par l’emploi d’une connexion VPN fournie par son Entreprise. - utilise un filtre de confidentialité sur son écran.
- fait preuve de discrétion dans ses échanges oraux (discussion professionnelle qu’elle soit en face à
face, en visioconférence ou par téléphone dans des lieux publics tels que Aéroports, Halls de gare,
TGV, Hôtel, etc.). à la maison, (Télétravail) - Les appareils numériques professionnels restent limités à l’usage professionnel de l’Utilisateur de
l’entreprise (Ce n’est pas une ressource familiale).
L’Utilisateur respecte et applique les mesures imposées par l’Entreprise pour assurer la sécurité des appareils professionnels.
4.3 Règles d’usage en fonction des appareils utilisés
Appareils professionnels (fournis par l’entreprise)
Smartphone Professionnel
- Limiter le téléchargement d’applications au strict nécessaire;
- Télécharger des applications uniquement depuis les Stores officiels (Stores internes de
l’entreprise, à défaut Apple Store / Google Play Store); - Désinstaller ce qui n’est plus utilisé;
- Mettre à jour régulièrement les applications installées.
Ordinateur Professionnel / tablettes professionnelles :
- Respecter les bonnes pratiques énoncées ci-dessus;
- Respecter les règles liées au lieu de travail (voir-dessus).
Appareil personnel
- l’Utilisateur se sert avant tout des outils professionnels fournis par l’entreprise pour accéder aux
ressources numériques et aux données de l’entreprise; - s’il est amené à utiliser un appareil personnel non fourni par l’Entreprise, Il est nécessaire que
l’Entreprise valide explicitement cette utilisation en tenant compte du niveau de sécurité de l’appareil.
L’Utilisateur est responsable du maintien en conditions de sécurité de son appareil et de l’usage qu’il en fait :- il limite le stockage de données de l’Entreprise sur son appareil au strict minimum;
- en particulier il ne mémorise pas de mots de passe professionnels sur son appareil, sauf s’il
utilise des solutions de type coffre fort de mots de passe et dont le niveau de sécurité est
suffisant (Exemple : Keepass certifié par l’Agence Nationale pour la Sécurité des SI).
- L’Entreprise se réserve le droit de vérifier la sécurité des appareils personnels et des outils utilisés.
- idéalement l’usage d’appareil personnels (BYOD : Bring Your Own Device) est encadré par une charte
spécifique dans l’Entreprise.
5. Règles d’application par l’Entreprise et mesures de contrôle
L’Entreprise fournit les outils nécessaires et adaptés à la mission de l’Utilisateur comme par exemple :
- Réseaux informatiques et accès Internet depuis les locaux de l’Entreprise;
- Ordinateur portable ou ordinateur fixe de bureau;
- Tablette ou smartphone;
- Applications métiers;
- Logiciels bureautiques et outils collaboratifs (Messagerie professionnelle, Chat, Outils de
visio-conférences, réseaux sociaux d’entreprise, etc.) - Imprimantes, scanners.
L’Entreprise gère les accès des Utilisateurs aux Systèmes d’Information :
- Création, suppression, modifications des droits d’accès aux outils numériques relatifs aux besoins métiers de l’Utilisateur;
- Fourniture des identifiants et des mots de passe initiaux pour la première connexion. (Ces mots de passe doivent être changés ensuite et tenus secrets par l’Utilisateur);
- nécessaires à la continuité de l’activité de celle-ci, ce que l’Utilisateur accepte expressément.
- En cas de cessation de l’Activité professionnelle de l’Utilisateur dans le cadre de sa mission, L’Entreprise devra suspendre puis supprimer (en respectant un délai permettant la récupération des informations nécessaires à l’Entreprise) tous les comptes de l’Utilisateur servant à accéder au système d’information de l’Entreprise ainsi qu’aux différents services fournis par l’Entreprise. L’Utilisateur doit veiller à récupérer (selon son besoin) les potentiels documents et emails personnels pouvant se trouver sur le système d’information de l’Entreprise.
L’ Entreprise contrôle les accès de la manière suivante
Pour des besoins de sécurité des systèmes d’information et des données de l’entreprise (Disponibilité, intégrité et confidentialité) nécessaires aux métiers et au fonctionnement de l’Entreprise et de respect des obligations légales et réglementaires de sécurité et de traçabilité,
- L’Entreprise met en œuvre des outils de protection tels que :
- logiciels de lutte contre les logiciels malveillants (antivirus),
- inventaires automatisés des machines, et de logiciels installés sur son SI2,
- télédistribution de logiciels,
- outil prise de main à distance sur les machines,
- protection, filtrage et traçabilité relatifs l’accès à Internet
- etc.
- Ces outils peuvent générer des traces dans des journaux d’événements, l’accès à ces traces est protégé et strictement limité aux personnes concernées dans le cadre de leur mission, et à fins d’assurer le bon fonctionnement et la sécurité des SI ou pour établir des statistiques.
- Toutefois, des recherches détaillées sont possibles en cas : d’activité illicite ou malveillante pouvant porter atteinte à la Sécurité des Systèmes d’Information ou à l’Entreprise, de non respect des obligations de cette présente charte, et en cas d’enquête ou de demande d’information de l’autorité judiciaire.
- Analyse de sécurité des flux d’accès à internet
- le chiffrement des canaux de communication à l’aide du protocole https est de plus en plus
préconisé et mis en œuvre (par exemple sur les sites de banque en ligne, sur les messageries
électroniques, pour les téléservices, etc.) mais la protection apportée peut également poser un
problème de sécurité au sein des organismes et constituer une vulnérabilité pour la sécurité
des systèmes d’information d’un organisme, puisqu’elle rend impossible la surveillance des
données entrantes et sortantes. - De ce fait, l’Entreprise se réserve le droit de procéder au déchiffrement des flux de données
lors de l’accès à internet de façon à permettre la détection et la suppression de logiciels
malveillants, la protection du patrimoine informationnel, et la détection de flux sortants
anormaux. - Les personnes concernées sont toutes celles qui utilisent les ressources informatiques de
l’Entreprise - l’Entreprise s’engage à protéger les informations pouvant être interceptées entre le
déchiffrement et le re-chiffrement des données en encadrant strictement les pratiques liées à
cette mesure (limitation du nombre d’administrateurs, protection, minimisation et limitation de la
durée des données conservées dans le respect des obligations légales).
- le chiffrement des canaux de communication à l’aide du protocole https est de plus en plus
- L’Entreprise s’engage à respecter les droits fondamentaux des salariés et de l’ensemble des personnes concernées par cette charte
- dans le cadre de la législation en vigueur,
- en particulier dans le respect de la vie privée des Utilisateurs,
- en appliquant le principe de proportionnalité des mesures et des contrôles mis en œuvre pour
assurer la sécurité et le maintien en conditions opérationnelles des ressources informatiques et
de communication.
2 SI : Système d’Information
6. Respect des obligations légales
Il est rappelé que l’Entreprise et l’ensemble des Utilisateurs doivent respecter la législation française en vigueur et notamment :
- La loi du 29 juillet 1881 modifiée sur la liberté de la presse.
- La loi n° 7817 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et le règlement général sur la protection des données (RGPD).
- La législation relative aux atteintes aux systèmes de traitement automatisé de données (art. L 3231 et suivants du code pénal).
- La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
- Les dispositions du code de propriété intellectuelle relative à la propriété littéraire et artistique.
- La loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet (Hadopi 2).
- L’article 226-15 du Code pénal.
- L’article 1242 du Code civil.
Cette liste n’est pas exhaustive et le droit en la matière évolue rapidement. Chacun dans sa fonction doit s’informer des lois et règles en vigueur liées à ses activités au sein de l’Entreprise.
7. Sanctions
L’Entreprise s’engage à respecter les droits fondamentaux des Utilisateurs, mais elle doit également
- protéger son Système d’Information et ses données;
- se protéger en cas d’actes délictueux pouvant être effectués par un salarié lorsque les outils
informatiques ayant servi pour cela été mis à disposition par l’employeur (article 1242 du Code Civil).
De ce fait, en cas de non-respect des règles et des mesures de sécurité figurant dans cette charte, la responsabilité de l’Utilisateur peut être engagée et ce dernier s’expose, le cas échéant, à des avertissements, des limitations ou suspensions d’utiliser tout ou partie du système d’information et de communication, voire des sanctions disciplinaires, proportionnées à la gravité des faits concernés.définies par le règlement intérieur de l’Entreprise et par les dispositions légales et réglementaires en vigueur au moment considéré.
L’Entreprise se réserve également le droit d’engager ou de faire engager des poursuites pénales indépendamment des sanctions disciplinaires mises en œuvre, notamment en cas de fraude informatique, de non-respect des droits d’auteur ou de violation du secret des correspondances.
8. Information et contacts service informatique ou numérique de l’Entreprise
Pour toute demande, complément d’information au sujet des bonnes pratiques d’utilisation, signalement d’une anomalie ou un incident de sécurité des Systèmes d’Information, il est possible de contacter :
Le support utilisateur (Helpdesk)
- N° de téléphone : 03.20.60.75.59
- Mail : [email protected]
- Page sur le portail intranet de l’Entreprise : https://intranet.mobivia.com/mobivia/?from=google
Le RSSI de Mobivia : [email protected]
L’Intranet Mobivia « ALFRED » comporte également des liens vers les divers documents de sécurité
dont la présente Charte, la Politique de Sécurité des Systèmes d’Information du Groupe et divers
guide ou recommandations pratiques.
9. Positionnement de la charte
La présente charte :
- est publiée sur l’Intranet de l’Entreprise, lorsqu’il existe,
- fait partie de la liste des documents annexés au contrat de travail des salariés de l’Entreprise,
- est présentée à chaque Utilisateur afin d’en prendre connaissance et en accuser réception avant toute autorisation d’accès au Système d’Information de l’Entreprise.