Accompagner et responsabiliser les utilisateurs
Placer l’utilisateur au centre du SI
Les utilisateurs sont au centre du SI. Mieux, ils en sont l’essence. Nous proposons dans ce chapitre quelques éléments d’analyse et de définition de la place qu’occupent, ou devraient occuper, les utilisateurs. Ces éléments ne sont pas conceptualisés. Il s’agit d’un pur retour d’expérience. En l’occurrence, nous reprenons ici la trame de la charte TIC que nous avons rédigée à l’attention des utilisateurs de la Société nationale des transports urbains (SNDTU).
Cette démarche vise à définir les droits et devoirs réciproques de la SNDTU et des utilisateurs des technologies de l’information et de la communication qui composent son système d’information, et notamment :
-
Les conditions de mise à disposition et d’utilisation des équipements informatiques.
-
Les règles à respecter par les utilisateurs pour garantir l’intégrité et la sécurité du système d’information.
-
Les obligations qui découlent de la manipulation de données protégées, et plus particulièrement de données sur les personnes.
-
Les limites entre utilisation professionnelle et utilisation personnelle.
-
Le périmètre des contrôles pouvant être réalisés...
L’identité numérique et la responsabilité personnelle
Identifiants et identité numérique
L’accès aux ressources informatiques nécessite des autorisations préalables qui se traduisent par l’attribution d’identifiants, de mots de passe, de cartes, de clefs physiques ou numériques, ou de tout autre média d’identification. Ces droits constituent l’identité numérique de l’utilisateur et fondent sa responsabilité. Dans tous les cas, ces attributions sont nominatives et engagent la responsabilité personnelle de l’utilisateur.
Les droits sont définis par la direction générale, mis en application technique par le service informatique et gérés par la direction des ressources humaines. Ils sont créés lors de l’installation d’un nouvel utilisateur et cessent automatiquement lors de son départ, ou à l’occasion d’un changement d’affectation ou de mission. Il appartient à chaque utilisateur de veiller à ce que ses changements de statut dans l’organisation soient effectivement traduits en changement de droits.
Chaque utilisateur doit choisir son ou ses mots de passe en conformité avec les normes de construction en vigueur et en assurer le renouvellement selon les fréquences établies. L’identifiant...
La sécurité et les bonnes pratiques
Les matériels informatiques (unités centrales d’ordinateurs, claviers, souris, imprimantes, copieurs…) contiennent des éléments mécaniques (ventilateurs, boîtiers…), électromécaniques (disque dur, lecteurs optiques…), électroniques (processeurs, mémoires…) aussi bien qu’électrochimiques (batteries, encres). C’est pourquoi certaines précautions d’utilisation s’imposent (température, humidité, chocs, risques électriques, protection contre le vol…).
Cette vigilance vaut tant pour les matériels fixes que nomades, avec une attention plus soutenue à ces derniers, qui sont particulièrement exposés aux risques de dégradation ou de vol.
En cas de vol d’un équipement nomade, l’utilisateur doit immédiatement informer la DSI (avant même de déposer une plainte ou d’informer la hiérarchie) de sorte que des mesures de sécurité soient immédiatement prises. Il s’agit en effet de bloquer le plus rapidement possible les droits d’accès que cet équipement nomade peut avoir sur le SI de l’entreprise.
Utilisation des codes et protection des droits d’accès
Les codes (couple identifiant/mot de passe) et les facteurs d’authentification sont le fondement de la sécurité des SI. Ils sont détenus à titre personnel et ne doivent en aucun cas être communiqués. Les mots de passe sont de préférence mémorisés par l’utilisateur, ils peuvent être stockés dans des coffres forts dédiés à cet effet. Dans tous les cas, ils ne sauraient être écrits en clair ni conservés à proximité de la ressource informatique à laquelle ils donnent accès.
Après avoir ouvert une session de travail sous son identification, l’utilisateur doit veiller à ce que la ressource ainsi accessible demeure sous sa vigilance. Dans le cas contraire, il doit prendre soin de clôturer ou de verrouiller la session ouverte à son nom.
Cette pratique est d’autant plus essentielle lors de l’ouverture d’un accès...
L’action et la responsabilité professionnelle en environnement dématérialisé
Principes d’action dans l’environnement dématérialisé
Les règles et principes afférents à la responsabilité professionnelle générale sont transposés à l’identique dans l’environnement dématérialisé. Ainsi, et sauf spécifications contraires et procédures particulières, les utilisateurs doivent respecter dans l’environnement du SI les règles de l’action professionnelle telles qu’elles résultent :
-
des compétences de l’entreprise ;
-
des missions et responsabilités afférentes à leurs fonctions ;
-
du statut qui est le leur ;
-
de leur positionnement fonctionnel et hiérarchique dans l’organisation ;
-
des délégations de signature qui leur sont attribuées ;
-
des consignes et procédures en vigueur.
Dans le contexte de la dématérialisation de leur activité professionnelle, les utilisateurs doivent être attentifs à traiter à l’identique les demandes des clients et interlocuteurs de l’entreprise, quel que soit le canal qu’ils ont utilisé pour formuler leur demande : courrier, fax, e-mail, téléphone, etc. Pour cela, ils doivent respecter dans l’environnement TIC les protocoles de traitement et suivi des demandes des clients en vigueur par ailleurs.
Organisation administrative dans l’environnement dématérialisé
Les utilisateurs doivent veiller à ce que l’organisation de leur action dans l’environnement dématérialisé respecte les règles génériques applicables à leur activité. Il en est ainsi, dans les domaines suivants :
-
L’organisation et la gestion partagée et transparente des répertoires, des dossiers et des messages.
-
La continuité d’accès...
Les utilisations professionnelle et personnelle
Utilisation professionnelle/personnelle des ressources du SI
Les ressources du système d’information (informatiques, téléphoniques, éditiques, etc.) sont mises à la disposition des utilisateurs, selon le profil qui leur a été attribué et l’organisation interne qui leur est applicable.
Ces ressources sont réservées à un usage professionnel. Toutefois, leur utilisation à des fins personnelles est admise dès lors qu’elle demeure limitée, nécessaire à une harmonieuse cohabitation entre vie professionnelle et vie personnelle, et ne vient pas amputer le temps dédié à l’activité professionnelle.
Sont strictement interdites :
-
Toute utilisation des ressources informatiques à des fins lucratives.
-
Toute utilisation des ressources éditiques à des fins personnelles ou sortant du périmètre des activités professionnelles, fonctions et missions qui ont motivé l’ouverture du droit d’accès aux ressources.
-
Toute utilisation contraire à la déontologie, aux bonnes mœurs et à la loi.
Documents et répertoires professionnels/personnels
Tous les documents et répertoires de classement sont par défaut réputés professionnels et donc accessibles dans le respect...
La citoyenneté numérique, la déontologie
Éthique des TIC
Les utilisateurs du SI de l’entreprise sont tenus de respecter scrupuleusement les règles légales, réglementaires et jurisprudentielles afférentes à l’utilisation des TIC.
Il est particulièrement rappelé que la loi interdit le stockage et la diffusion de messages ou documents de nature diffamatoire, discriminatoire, pornographique ou incitant à la violence ou à la haine raciale. Par conséquent, il est formellement interdit d’introduire, de stocker ou de laisser sur les ordinateurs des documents de cette nature.
Gestion des données personnelles. CNIL. Délégué à la protection des données (DPO)
Les utilisateurs sont informés de la nécessité de respecter les dispositions légales en matière de traitement automatisé, ou manuel, de données à caractère personnel.
Aucun traitement de données à caractère personnel ne peut être mis en œuvre par un utilisateur sans accord préalable de son cadre, consultation du DPO de l’entreprise et réalisation des formalités préalables nécessaires auprès du DPO.
Secret professionnel. Discrétion professionnelle
Les utilisateurs doivent, dans l’environnement numérique et dématérialisé...
Le droit à la déconnexion
La loi Travail du 8 août 2016
La loi du 8 août 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels - dite « loi Travail » - en vigueur depuis le 1er janvier 2017, a consacré le principe du droit à la déconnexion.
Pour rappel, l’article 2242-17 du code du travail stipule que « Les modalités du plein exercice par le salarié de son droit à la déconnexion et la mise en place par l’entreprise de dispositifs de régulation de l’utilisation des outils numériques, en vue d’assurer le respect des temps de repos et de congé ainsi que de la vie personnelle et familiale. À défaut d’accord, l’employeur élabore une charte, après avis du comité social et économique. Cette charte définit les modalités de l’exercice du droit à la déconnexion et prévoit en outre la mise en œuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de formation et de sensibilisation à un usage raisonnable des outils numériques ».
Les charte du droit à la déconnexion
Aucun salarié n’est tenu de répondre à des courriels, messages...