Charte de la Sécurité des Systèmes d'Information de l'INSA Rouen Normandie, validée par le CA du 26 juin 2015 charte informatique en PDF

Article 1 : Domaine d’application

La charte s'applique à l'ensemble des utilisateurs qui ont accès aux ressources informatiques de l'INSA Rouen.

Article 2 : Objet

La présente charte a pour objet d’informer les utilisateurs de leurs droits et de leurs responsabilités à l’occasion de l’usage des ressources informatiques et des services internet de l’Institut National des Sciences Appliquées (INSA) Rouen, en application de sa politique générale de sécurité des systèmes d’information et de la legislation.

Elle définit les règles d’usage et de sécurité que l’INSA Rouen et les utilisateurs doivent respecter : elle précise les droits et les devoirs de chacun.

Elle répond à la préoccupation de l’INSA Rouen de protéger les informations qui constituent son patrimoine immatériel contre toute altération, volontaire ou accidentelle, de leur confidentialité, intégrité ou disponibilité. Tout manquement aux règles qui régissent la sécurité des systèmes d’information est en effet susceptible d’avoir des impacts importants (humains, financiers, juridiques, environnementaux, atteinte au fonctionnement de l’organisme ou au potentiel scientifique et technique). En cas de litige, la loi est applicable.

L'utilisateur contribue à son niveau à la sécurité des systèmes d'information. À ce titre, il applique les règles de sécurité en vigueur et signale tout dysfonctionnement ou événement lui apparaissant anormal.

L’INSA Rouen met à la disposition de l’utilisateur les moyens nécessaires à l’application de sa politique de sécurité des systèmes d’information.

À son niveau, le personnel d’encadrement favorise l’instauration d’une « culture sécurité » par son exemplarité dans le respect de cette charte et par un soutien actif des équipes en charge de la mise en œuvre de ces règles.

Article 3 : Définitions

Art 3.1 : Système d’Information

Le terme « Système d’Information » (SI) désigne un ensemble organisé des ressources (matériels, logiciels, personnel, données et procédures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l’information sur un environnement donné.

Art 3.2 : Utilisateur

Le terme « utilisateur » recouvre toute personne, quel que soit son statut, ayant accès aux ressources des systèmes d’information de l’INSA Rouen. Il s’agit notamment de :

Art. 3.3 : Les responsables informatiques

Pour gérer ses systèmes d’information, l’INSA Rouen s'appuie sur une Direction des Systèmes d’Information (DSI) et de correspondants informatiques.

La DSI gère l’infrastructure technique (réseau et serveurs, bases de données) sur laquelle sont installés les différents services mis à la disposition des utilisateurs notamment les services d’accès à l’Internet, les applications métiers, les applications numériques pour la pédagogie, la recherche et la documentation. La DSI est également en charge de la sécurité physique et logique de l’infrastructure (sécurité des accès, des données et des échanges).

Les correspondants informatiques travaillent en relation étroite avec la DSI. Ils administrent les comptes, les réseaux et serveurs locaux ainsi que les postes des utilisateurs. Ils assurent un service de proximité aux utilisateurs.

Article 4 : Conditions d’utilisation des Systèmes d’Information

Art. 4.1 : Autorisation d’accès

Toute utilisation d’un SI est soumise à une autorisation d’usage personnelle, temporaire et incessible, accordée par le Directeur de l’INSA Rouen.

Cette autorisation est matérialisée par des identifiants (typiquement un couple formé d’un “login” et d’un mot de passe).

Les utilisateurs sont responsables de toute utilisation faite à partir de leurs identifiants. Il leur appartient de veiller au choix, à la qualité et à la confidentialité de leur mot de passe.

Art. 4.2 Finalité d’utilisation

L'utilisation des ressources informatiques est limitée aux missions de l'établissement et aux besoins de l'activité qui en découle.

Art. 4.3 : Utilisation résiduelle à titre privé

Toutefois, une utilisation résiduelle à titre privé est tolérée. Elle doit rester non lucrative et raisonnable, tant dans sa fréquence que dans sa durée, afin de ne pas nuire à la qualité du travail ou au bon fonctionnement du service.

Les données privées, et leurs traitements associés ne doivent pas occasionner de surcoût notable pour l’INSA Rouen. A ce titre, leur volume doit rester raisonnable et les sauvegardes restent à la charge de l’utilisateur.

Art. 4.4 : Caractère des données

Toute information stockée ou tout message échangé est réputé professionnel.

L’utilisateur peut stocker des données privées dans un dossier intitulé « Privé » situé dans son espace personnel de stockage.

L’utilisateur peut recevoir et envoyer des messages à titre privé. Pour être considérés comme tels, les messages doivent comporter la mention « [Privé] » dans le sujet du message.

Art. 4.5 : Utilisations prohibées

L’utilisateur respecte les règles d’éthique professionnelle et de déontologie.

Sont strictement prohibées, les utilisations contraires aux lois et règlements en vigueur et notamment celles qui ont pour objet ou pour effet la diffusion d'idéologies politiques ou religieuses, ou qui sont de nature à porter atteinte aux bonnes mœurs, à la dignité, à l'honneur, ou à la vie privée des personnes physiques.

En outre, les utilisateurs doivent veiller à ne pas porter atteinte à la réputation ou à l’image de l’INSA Rouen dans leur utilisation des ressources informatiques.

Art. 4.6 : Continuité de service

L’utilisateur informe sa hiérarchie des modalités permettant l’accès aux ressources auxquelles il avait accès dans le cadre de ses missions.

Article 5 : Obligations des utilisateurs

Les utilisateurs doivent notamment :

Article 6 : Obligations des responsables informatiques

Les responsables informatiques doivent :

Les responsables informatiques peuvent, en cas d'urgence, prendre toutes mesures nécessaires pour assurer ou préserver le bon fonctionnement et la disponibilité normale des ressources informatiques dont ils ont la charge.

Article 7 : Respect de la législation concernant les données nominatives

Toute constitution de données nominatives, à l'aide des moyens informatiques, doit faire l'objet, préalablement à leur mise en œuvre, d'une déclaration ou d'une demande d'avis auprès de la Commission nationale informatique et libertés (CNIL). Les données à caractère personnel ne sont conservées que dans la limite des délais prévus par les textes applicables.

L’INSA Rouen est garant du respect de la loi "Informatique et Liberté" et à ce titre prépare les documents de déclaration ou de demande d'avis pour tous les traitements automatisés d'informations nominatives mis en œuvre. Les déclarations et demandes d'avis sont signées et adressées à la CNIL par la direction.

Si dans l'accomplissement de son travail, l'utilisateur est amené à constituer des fichiers tombant sous le coup de la loi "Informatique et Liberté", il doit auparavant en avoir demandé l'autorisation à la DSI et doit lui fournir tous les éléments nécessaires pour l'élaboration des documents de demande d'avis à la CNIL.

Par ailleurs, conformément aux dispositions de cette loi, chaque utilisateur dispose d’un droit d’accès et de rectification relatif à l’ensemble des données le concernant, y compris les données portant sur l’utilisation du SI.

Ce droit s’exerce auprès du Directeur de l’INSA.

Article 8 : Fin du statut d’utilisateur

En référence à l’article 4.1, les autorisations d’accès aux systèmes d’information de l’INSA de Rouen seront révoquées dès la notification de départ de l’institut.

Lors de son départ, l’utilisateur sera notifié des changements sur le fonctionnement de sa boîte de courriers électroniques. La nature du changement pourra conduire jusqu’à la fermeture complète du compte de messagerie.

Article 9 : Sanctions

En cas de non respect de leurs obligations, les utilisateurs peuvent se voir appliquer les sanctions suivantes :

Art. 9.1 : Mesures d'urgence

Les responsables informatiques peuvent, en cas d'urgence :

Art 9.2 : Mesures donnant lieu à information

Sous réserve que soit informé le directeur ou le responsable hiérarchique ou pédagogique, les responsables informatiques peuvent :

Art. 9.3 : Mesures disciplinaires

L’utilisateur qui enfreint une des règles énoncées dans la présente charte encourt d’éventuelles sanctions disciplinaires.

Art. 9.4 : Mesures pénales

Par ailleurs, il est rappelé que l’utilisateur reste redevable envers la loi et qu’à ce titre, il peut faire l’objet de poursuites pénales.