|
Manuel des procédures UTILISATION DU SYSTEME D’INFORMATION DU CABINET Ces procédures sont données à titre indicatif et non exhaustif : Elles doivent être adaptées à chaque cabinet et respecter les règles légales en la matière.[1]
« Dans un pays où l’information est systématiquement assimilée au pouvoir qu’on détient sur autrui, le management de l’information n’aboutit pas au partage mais à la transmission des directives. L’entrée dans la société de l’information et la disparition de notre modèle d’économie de subsistance rendait impératif un changement de posture théorique et pratique à l’égard de l’information. » Préambule Notre cabinet a toujours privilégié la transparence de son système d’information. Quelques dérives ont été constatées, sans doute par ignorance des règles et de leurs conséquences. Le rappel de ces règles est important parce que le contexte des nouvelles technologies ne rend pas toujours évidente l’interprétation ou la connaissance des règles. Il est également nécessaire d’assurer la confiance de chaque intervenant du cabinet face aux craintes d’immixtion dans la vie privée que peuvent constituer les nouvelles technologies. Préserver le système d’information, éviter les abus préjudiciables[2], dans le respect des droits et libertés de chacun, telle est l’ambition de l’énumération des règles d’utilisation du système d’information de notre cabinet. Généralités Objet de ces règles L’objet de ces règles est de rappeler les règles et de réglementer le fonctionnement et l’utilisation du système d’information du cabinet. On entend par Système d’Information du cabinet : - l’ensemble des ordinateurs, fixes ou portables, et tout autre matériel informatique, connectique ou bureautique y compris les serveurs, hubs, câbles du réseau, fax, photocopieurs, téléphones, fixes ou portables ; - l’ensemble des logiciels contenus dans ou faisant fonctionner, inter opérer ou protégeant lesdits ordinateurs et matériels informatiques, en ce compris les protocoles de communication TCP/IP permettant : - la constitution et la création - l’échange, la circulation, la diffusion, - la duplication, reproduction et stockage, (" Opérations ") de : - données, fichiers, base de données, - intranet, extranet - images, sons, textes, - flux quelconques d’information, (" Informations ") entre : - les " Utilisateurs " entre eux, - les " Utilisateurs " et l’extérieur, et ce quelque soit la finalité du flux d’information. Les présentes règles s’appliquent à tous les utilisateurs autorisés du système d’information du cabinet. L’intrusion non autorisée dans le système d’information du cabinet peut être considérée comme une infraction (le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est répréhensible et peut engendrer l’application de l’article 323-1 alinéa 1 du Code pénal). Administrateur du Système d’Information Le responsable du système d’information du cabinet est désigné " Administrateur " du Système d’Information. Il veille à la protection, la maintenance, au bon fonctionnement du Système d’information, respecte la présente Charte et s’assure du respect par tous les intervenants du cabinet de cette dernière. Il veille à se mettre en conformité avec les dispositions légales, effectuer toutes formalités ou déclarations, en particulier celles issues de la Loi Informatique et Libertés du 6 janvier 1978 et de la loi du 10 juillet 1991 sur le secret des correspondances. La protection du système d’information Accès sécurisé au réseau L’accès au réseau est protégé par des mots de passe. Ces mots de passe sont gérés de manière individuelle. En aucune manière ils ne peuvent être donnés à un collègue, ni notés sur l’ordinateur de l’utilisateur. L’Utilisateur doit le mémoriser. En cas d’oubli, seul l’Administrateur du réseau pourra autoriser la création d’un nouveau mot de passe à l’Utilisateur. Les sauvegardes Il est indispensable que les données soient sauvegardées sur le serveur par chaque Utilisateur dans le cadre de sauvegardes régulières. L’Administrateur du Système d’Information ou les personnes qui sont sous sa responsabilité fixeront de temps à autre l’intervalle entre chaque sauvegarde par utilisateur. Les pare-feux Le cabinet dispose de pare feux face à l’intrusion de virus. Il est impératif que chaque Utilisateur procède selon les instructions de l’Administrateur à une mise à jour régulière de ou des anti-virus, afin que le Système d’Information soit protégé de manière efficace. Contrôle et maintenance par l’Administrateur Les Utilisateurs sont avertis que l’Administrateur peut avoir accès à l’ensemble des composants du Système d’Information à n’importe quel moment et ce afin d’effectuer tout acte de protection du Système d’Information. La protection du Système d’Information s’entend de la : - conservation, et sauvegarde, l’absence de diffusion non autorisée des informations commerciales, techniques, administratives, artistiques, industrielles, marketing, et autres informations appartenant au cabinet, - la preuve de la date de création ou de la diffusion des dites informations, - protection de l’intégrité des données et du fonctionnement du Système d’Information, - l’absence d’intrusion dans le Système d’Information d’informations ou de matériels violant les règles relatives au droit d’auteur, copyright, par exemple pour défaut de licence d’utilisation ; - la mise à jour, maintenance, correction, réparation des Matériels et Logiciels. L’Administrateur pourra mettre en place des outils de contrôle et de surveillance répondant strictement à la finalité de la protection du Système d’Information. Il est rappelé que les délégués du personnel pourront saisir immédiatement les responsables du cabinet, s’ils constatent qu’il existe une atteinte aux droits des personnes ou aux libertés individuelles dans le cabinet qui ne serait pas justifiée par la nature de la tâche à accomplir ni proportionnée au but recherché. Introduction de Matériels et Logiciels Seul l’Administrateur est autorisé à introduire dans le Système d’Information de nouveaux Matériels ou Logiciels. En cas de besoins exprimés par un Utilisateur pour un nouveau matériel ou logiciel, il devra demander l’autorisation préalable à l’Administrateur avant son admission dans le Système d’Information. Non-respect de ces dispositions Le non-respect de ces dispositions peut exposer l’Utilisateur à des sanctions disciplinaires et à la mise en jeu de sa responsabilité en cas d’intrusion du fait de l’Utilisateur de virus ou d’un tiers non autorisé dans le Système d’Information ou de perte de données. Les règles suivantes précisent les règles relatives à certaines utilisations du Système d’Information. La messagerie externe Adresse électronique Il a été attribué une seule adresse électronique pour l’ensemble du cabinet : tous les mels envoyés sont soumis avant envoi à un expert-comptable et/ou commissaire aux comptes signataire du cabinet. Message électronique et pouvoirs internes Malgré son extrême facilité d’utilisation, une attention toute particulière doit être portée à sa rédaction et à sa diffusion. Le message électronique (email ou mel) est un écrit pouvant engager le cabinet. Le message électronique peut être reconnu comme preuve valable pour établir un fait ou un acte juridique. Les règles hiérarchiques et d’organisation des pouvoirs internes de signatures devront être respectées. Aucun message électronique ne devra être envoyé par un Utilisateur à un destinataire extérieur à l’entreprise, si l’Utilisateur n’en a pas l’autorité. Contenu du message électronique Le message électronique sous réserve de la mention dans le message lui-même ou compte tenu des circonstances s’induisant de son envoi, est considéré comme un acte public. Aucun message électronique y compris relevant de l’utilisation privée, ne devra comprendre des éléments de nature offensante, diffamatoire, injurieuse, ou contraires aux dispositions de la Loi du 29 juillet 1881 sur la liberté de la presse et ce, tant à l’égard des autres Utilisateurs que de tout tiers extérieur à l’entreprise, lorsque dans ce dernier cas le message électronique est adressé à l’extérieur de l’entreprise. Protection des Informations Les risques d’interception des messages électroniques exigent de limiter l’utilisation de la messagerie électronique à destination de l’extérieur du Système d’Information aux Informations à caractère non confidentiel, non stratégique et non sensible. Format et taille des messages électroniques L’Administrateur peut limiter le format, le type et la taille des messages électroniques en ce compris les pièces jointes envoyés par note de service. Il est interdit d’envoyer des messages ne respectant pas le format, le type et la taille prescrits par l’Administrateur. Règles de conservation de la messagerie La messagerie électronique ne sera conservée sur le serveur concerné du cabinet que pour une durée déterminée par l’Administrateur qu’il a l’obligation d’indiquer aux personnes autorisées. Au delà de cette date, les messages seront effacés sauf avis contraire donné par l’Utilisateur qui demanderait une prolongation expresse à l’Administrateur. Utilisation privée de la messagerie Les personnes autorisées peuvent utiliser la messagerie électronique du cabinet à des fins privées. Elles auront soin dans la mesure du possible de classer leurs messages privés (reçus ou envoyés) dans un fichier à part portant la mention " privé XXXX" de manière à prévenir l’Administrateur de la nature particulière s’attachant à cette messagerie. L’usage privé de la messagerie (envoi et réception de messages) devra gêner le moins possible le trafic normal des messages professionnels, et ce en termes de volume des messages échangés, de taille des messages échangés et de format des pièces jointes.
La navigation sur le web Navigateur L’Administrateur peut imposer des configurations de sécurité du navigateur, imposer des limites de taille au téléchargement de contenu par note de service : La navigation doit s’effectuer à partir d’internet explorer du bureau du poste du collaborateur plutôt que de son bureau du serveur. Accès au serveur cncc.fr et à la documentation Les intervenants de l’équipe d’audit ont accès au serveur cncc.fr : Chacun est doté d’un identifiant et d’un mot de passe ou d’une clé d’accès d’authentification nominative (token). Pour accéder à la liste (non exhaustive) des documentations disponibles : http://www.crcclyon.fr rubrique documentation Participation à des forums La participation à des forums peut engager la responsabilité du cabinet. L’Utilisateur doit disposer des autorisations internes afin de s’exprimer au nom du cabinet et devra préalablement prendre contact avec la Direction du cabinet. Téléchargement de logiciels, ou d’œuvres protégées Le téléchargement de logiciels ou d’œuvres protégées, sans autorisation des ayants-droits, est de nature à engager la responsabilité du cabinet et comme tels sont strictement interdits. L’Administrateur se réserve la possibilité d’effacer du Système d’Information toute trace de ces logiciels et œuvres introduites dans le Système, en violation des droits de propriété intellectuelle d’autrui. Consultation de sites illicites La consultation et le téléchargement du contenu de sites à caractère pornographique, pédophiles sont contraires aux bonnes mœurs et peuvent revêtir le caractère d’une infraction pénale. Cette activité est strictement interdite. L’Administrateur se réserve le droit de dénoncer tout acte délictueux aux autorités, et ce sans préjudice de l’application des sanctions prévues par la présente Charte. Consultation de la convention collective sur internet. Conformément aux dispositions de l'article L. 135-7 du Code du travail et à la circulaire du 22 septembre 2004 relative au titre II de la loi du 4 mai 2004 relative à la formation professionnelle tout au long de la vie et au dialogue social (JO du 31 octobre 2004 p. 18472, fiche n°9, art. 2.2), tous les collaborateurs disposent de l’accès à la convention collective à jour sur le site du syndicat ecf à l’adresse http://experts-comptables-fr.org .
Consultation d’internet à des fins privées La consultation de sites web à titre privé est autorisée dans la mesure où cette navigation n'entrave pas l’accès professionnel et qu’elle ne gêne pas de façon significative le bonne marche du travail de l’Utilisateur. Il est précisé que le téléchargement de fichiers musicaux au format mp3 ou tout autre format de compression ne rentrant pas dans l’accès professionnel et gênant la bonne marche du Système d’Information en raison de l’encombrement qu’il génère est strictement prohibé. Contrôles de l'usage Il est précisé que l’Administrateur exerce un contrôle sur les durées des connexions, les sites les plus visités, dans le cadre de la mission de protection du Système d’Information.
Intranet Mise en place et fonctionnement de l’Intranet L’Intranet fonctionne sous la responsabilité informatique de l’Administrateur et sous la responsabilité éditoriale du Directeur de la Communication. Aucun Utilisateur ne peut introduire ou tenter d’introduire un élément de contenu sur l’Intranet sans l’autorisation de l’Administrateur et du Directeur de la Communication. Les Utilisateurs pourront formuler toute suggestion à ces derniers quant au contenu ou fonctionnement de l’Intranet. Données nominatives et personnelles L’Utilisateur sera averti avant diffusion sur l’Intranet de données nominatives et personnelles le concernant et en particulier de son image figurant au Trombinoscope. L’Utilisateur pourra demander auprès de l’Administrateur à avoir accès à ses données nominatives et personnelles et pourra demander à l’Administrateur de les rectifier. La messagerie interne Adresse électronique interne Chaque Utilisateur dispose d’une messagerie électronique composé du prénom et du nom. En cas d’homonymie, l’Administrateur fixera la règle d’attribution. Ex : En cas de changement de nom, l’Utilisateur pourra demander à l’Administrateur une nouvelle messagerie électronique. L’utilisation d’un pseudonyme ou l’usage d’un faux nom est expressément prohibée, sauf autorisation de l’Administrateur qui s’assurera du bien-fondé de cette utilisation. Message électronique et pouvoirs internes Malgré son extrême facilité d’utilisation, une attention toute particulière doit être portée à sa rédaction et à sa diffusion. Le message électronique (email ou mel) est un écrit pouvant engager le cabinet. Le message électronique peut être reconnu comme preuve valable pour établir un fait ou un acte juridique. Contenu du message électronique Le message électronique sous réserve de la mention dans le message lui-même ou compte tenu des circonstances s’induisant de son envoi, est considéré comme un acte public. Aucun message électronique y compris relevant de l’utilisation privée, ne devra comprendre des éléments de nature offensante, diffamatoire, injurieuse, ou contraires aux dispositions de la Loi du 29 juillet 1881 sur la liberté de la presse et ce, tant à l’égard des autres Utilisateurs que de tout tiers extérieur à l’entreprise. Format et taille des messages électroniques L’Administrateur peut limiter le format, le type et la taille des messages électroniques en ce compris les pièces jointes envoyés par note de service. Il est interdit d’envoyer des messages ne respectant pas le format, le type et la taille prescrits par l’Administrateur. Règles de conservation de la messagerie La messagerie électronique ne sera conservée sur le serveur concerné du cabinet que pour une durée déterminée par l’Administrateur qu’il a l’obligation d’indiquer à tous les utilisateurs. Au delà de cette date, les messages seront effacés sauf avis contraire donné par l’Utilisateur qui demanderait une prolongation expresse à l’Administrateur.
[1] Voir particulièrement http://www.cnil.fr/index.php?id=21 [2] Voir jurisprudence http://www.legalis.net/jurisprudence-imprimer.php3?id_article=1785
|