Sécurité : Sensibiliser les utilisateurs


Faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée.

Les précautions élémentaires

Sensibiliser les utilisateurs travaillant avec des données à caractère personnel aux risques liés aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.

Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

Rédiger une charte informatique et lui donner une force contraignante (ex. annexion au règlement intérieur). 

Cette charte devrait au moins comporter les éléments suivants :

  1. Le rappel des règles de protection des données et les sanctions encourues en cas de non respect de celles-ci.

  2. Le champ d’application de la charte, qui inclut notamment :

  • les modalités d’intervention des équipes chargées de la gestion des ressources informatiques de l’organisme ;
  • les moyens d’authentification utilisés par l’organisme ;
  • les règles de sécurité auxquelles les utilisateurs doivent se conformer, ce qui doit inclure notamment de :
  • signaler au service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;
  • ne jamais confier son identifiant/mot de passe à un tiers ;
  • ne pas installer, copier, modifier, détruire des logiciels sans autorisation ;
    • verrouiller son ordinateur dès que l’on quitte son poste de travail ;
    • ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches incombant à l’utilisateur ;
    • respecter  les  procédures  préalablement  définies  par  l’organisme  afin  d’encadrer  les  opérations  de copie de données sur des supports amovibles, notamment en obtenant l’accord préalable du supé- rieur hiérarchique et en respectant les règles de sécurité.
  1. Les modalités d’utilisation des moyens informatiques et de télécommunications mis à disposition comme :

  • le poste de travail ;
  • les équipements nomades (notamment dans le cadre du télétravail) ;
  • les espaces de stockage individuel ;
  • les réseaux locaux ;
  • les conditions d’utilisation des dispositifs personnels ;
  • l’Internet ;
  • la messagerie électronique ;
  • la téléphonie.
  1. Les conditions d’administration du système d’information, et l’existence, le cas échéant, de :

  • systèmes automatiques de filtrage ;
  • systèmes automatiques de traçabilité ;
  • gestion du poste de travail.
  1. Les responsabilités et sanctions encourues en cas de non respect de la charte.

Pour aller plus loin

  • Mettre  en  place  une  politique  de  classification  de  l’information   définissant   plusieurs   niveaux et imposant un marquage des documents et des e-mails contenant des données confidentielles.
  • Porter une mention visible et explicite sur chaque page  des documents  papiers  ou électroniques  qui contiennent des données sensibles.
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être effectués par le biais de la messagerie électronique.
  • Prévoir la signature d’un engagement de confidentialité (voir modèle de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à carac- tère personnel.

Exemple d’engagement de confidentialité pour les personnes ayant vocation à manipuler des données à caractère personnel :

Je soussigné/e Monsieur/Madame __________, exerçant les fonctions de _______ au sein de la société ________ (ci-après dénommée « la Société »), étant à ce titre amené/e à accéder à des données à caractère personnel, déclare reconnaître la confidentialité desdites données.

Je m’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

Je m’engage en particulier à :

  • ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;
  • ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
  • ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;
  • prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
  • prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données ;
  • m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
  • en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.

J’ai été informé que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.                                                                                                                                  

Fait à _____, le jj/mm/aaaa, en X exemplaires

Nom :                                                                                  

Signature :                                          

Les mots clés associés à cet article