Sécurité de l'information / Protection des données - charte utilisateur

Introduction

Ce document contient les règles de base à appliquer lorsque de l'information est produite, collectée, stockée, imprimée, échangée, archivée, détruite - ou toute autre action qui concerne l'information.

Il s’adresse aux utilisateurs finaux. Des règles détaillées pour des domaines spécifiques peuvent être trouvées dans la politique de sécurité des systèmes d’information .

L’application de ces quelques règles permettra d’améliorer la protection de l’information traitée par l’administration communale.

Ces règles s'appliquent pour tous les supports d'information: papier, informatique ou même dans les communications orales.

Assurer la sécurité des informations en possession de l'administration communale est le devoir de toute personne qui est en contact avec cette information.  Chaque personne doit donc recevoir ce document lors de son entrée en fonction. Un rappel sera envoyé chaque année ou lorsqu'une modification significative a lieu.

Règles de sécurité

Les règles de sécurité sont regroupées par thème. 

  • Accès aux informations
  • Vie privée
  • Gestion des documents papier
  • Guichets et bureaux ouverts au public
  • Utilisation des mots de passe, clés logicielles, badges
  • Utilisation du réseau informatique
  • Utilisation des ordinateurs
  • Gestion des documents électroniques
  • Messagerie électronique
  • Accès internet
  • Médias sociaux
  • Équipements portables
  • Sécurité physique
  • Incidents de sécurité

 

1. Accès aux informations

1.1. N'accédez qu'aux informations, documents et systèmes pour lesquels vous avez reçu une autorisation.

1.2. Si vous accédez par accident à une information pour laquelle vous n'avez pas de droit d'accès ou de consultation, avertissez le propriétaire de l'information, ou à défaut le responsable de la sécurité. Si l'information est sur un support physique, mettez ce support en lieu sûr.

1.3. N'essayez pas de contourner les restrictions d'accès.

 

2.  Vie privée

2.1. Ne traitez les données à caractère personnel que sur instruction

2.2. Ne demandez pas d’information qui n’est pas strictement nécessaire à votre mission

2.3. Vérifiez l’identité de la personne si elle demande des informations

2.4. En cas de doute, contactez la référente données personnelles ou le DPO

 

3. Gestion des documents papier

3.1. Lorsque vous produisez un document, indiquez la classification « public/interne/confidentiel/secret » des informations qu'il porte.

3.2. Toutes les imprimantes sont utilisées en « secure print » (utilisation d'un badge ou d'un code pour lancer l'impression lorsque vous êtes devant l'imprimante). Il est cependant impératif de rester près de l’imprimante quand on imprime (sauf si ce sont des documents destinés au public) et de ne pas abandonner ses documents près de l’imprimante.

3.3. Si malgré tout, vous trouvez des documents abandonnés à l’imprimante et qui ne sont pas d’ordre publics, il faut retrouver le propriétaire et s’il n’est pas identifiable, remettez document en question au secrétaire communal ou à la référente protection des données.   

3.4. En fin de journée ou lorsque vous quittez votre poste de travail pour une durée prolongée, rangez votre bureau afin de ne pas laisser accessible des documents non publics. Rangez en sécurité tous les documents non publics.

3.5. N'emportez des documents non publics hors de l'administration communale que si vous en avez l'autorisation.

3.6. Si vous emportez un document non public contenant des données à caractère personnel hors de l'administration communale, consignez l'emprunt dans un registre. 

3.7. Gardez les documents emportés hors de l'administration en lieu sûr, que ce soit dans les transports en commun, dans votre voiture, à la maison ou ailleurs.

3.8. Détruisez les documents papiers en utilisant une méthode adaptée à leur sensibilité. En cas de doute, utilisez les broyeurs ou poubelles avec un label "document confidentiels".

3.9. Ne détruisez pas les documents originaux.

3.10. Livrez les documents confidentiels en main propre, ne les déposez pas dans un bac à courrier.

 

4. Guichets et bureaux ouverts au public

4.1. Dans les zones utilisées pour recevoir du public, ne laissez visible aucun document portant des informations non publiques.

4.2. Dans les zones utilisées pour recevoir du public, tournez les écrans pour qu'ils ne soient pas visibles du public.

4.3. N'autorisez pas les personnes à prendre des photos des écrans et des documents.

4.4. Si vous montrez une information sur votre écran à un usager, ne laissez pas visible d'autres informations (fermez ou cachez les autres fenêtres, filtrez les lignes dans les tableurs, etc...)

 

5. Utilisation des mots de passe, clés logicielles, badges

5.1. Quand vous recevez un mot de passe ou un code, modifiez-le lors de la première utilisation. 

5.2. Ne sauvegardez jamais les mots de passe sur les sites internet où sur votre ordinateur.

5.3. Conservez les mots de passe et codes d'accès en sécurité (pas de post-it sur le clavier ou l’écran, code PIN jamais attaché à la carte eID).

5.4. Ne donnez pas vos identifiants, mots de passe et codes à une autre personne, ils sont strictement personnels.

5.5. Évitez l'utilisation de comptes et mots de passe partagés. Si vous utilisez de tels identifiants, contactez le service informatique pour obtenir une autre solution.

5.6. Utilisez un mot de passe différent pour vos comptes privés (facebook, google, etc...) et les comptes utilisé dans votre travail.

5.7. Ne basez pas vos mots de passe sur une formule, une séquence ou une liste. Utilisez plutôt une phrase.

5.8. Si vous perdez vos clés ou badges, ou un document sur lequel vos codes ou mots de passe sont inscrits, ou qu'ils sont volés, contactez immédiatement le service qui les délivre. Pour les mots de passe et code, modifiez-les sans attendre si vous vous en souvenez. Sinon, contactez le service informatique pour que votre compte soit verrouillé ou que le mot de passe soit changé.

5.9. Sur les systèmes qui n'imposent pas de complexité et de longueur minimale pour les mots de passe, utilisez un mot de passe de minimum 10 caractères contenant un mélange de lettres majuscules et minuscules, chiffres et caractères spéciaux.

5.10. Modifiez ce mot de passe tous les six mois.

 

6. Utilisation du réseau informatique 

6.1. Ne connectez au réseau informatique que les équipements approuvés par le service informatique.

6.2. Ne déplacez pas les câbles réseau, ne les déconnectez pas et ne les modifiez pas sans autorisation du service informatique.

6.3. Ne faites pas de "scan" de réseau, d'écoute passive, ou de tentatives de contournement des pare feu et passerelles de sécurité.

6.4. N'utilisez pas le réseau pour télécharger ou partager des films, musiques, livres et autres médias soumis au droit d'auteur.

 

7. Utilisation des ordinateurs

7.1. Ne désactivez pas le système de contrôle par mot de passe.

7.2. Lorsque vous quittez votre poste de travail, verrouillez votre ordinateur (windows: touche "windows" + L).

7.3. Activez le verrouillage automatique des écrans.

7.4. Ne désactivez pas les systèmes de protection installés sur les ordinateurs (antivirus, endpoint control).

7.5. N'enlevez pas et ne déplacez pas les code-barres et numéros d'inventaire des ordinateurs.

7.6. Si vous trouvez un ordinateur laissé sans surveillance qui n'est pas verrouillé, même si ce n'est pas le vôtre, verrouillez-le.

7.7. Ne déplacez pas les ordinateurs fixes sans l'accord du service informatique.

7.8. Ne détachez pas les ordinateurs qui sont attachés par un câble de sécurité.

7.9. N'installez que des logiciels approuvés par le service informatique.

 

8. Gestion des documents électroniques

8.1. Stockez sur le réseau tous les documents relatifs au fonctionnement du service, de préférence dans un répertoire accessible par votre équipe.

8.2. Utilisez les logiciels fournis par le service informatique pour créer les documents électroniques afin qu'ils soient lisibles par vos collègues.

8.3. Ne faites pas de copies de sauvegarde sur disque dur externes personnels ou sur clés USB, sauf si ces supports sont encryptés.

 

9. Messagerie électronique 

9.1. Ne relayez pas les messages provenant d'internet hormis de sources fiables (ex : juridat etc.) 

9.2. Si vous envoyez par mail des documents classifiés "confidentiels ou secret", ils doivent être chiffrés (utilisez un ZIP avec mot de passe, envoyé séparément par SMS, ou contactez le service informatique).

9.3. Ne transférez pas de courriers professionnels vers des boîtes mail privées.

9.4. Si les destinataires d'un courrier électronique ne doivent pas connaître l'adresse email des autres destinataires, utilisez la fonction "copie cachée" (CCI).

9.5. Pour les communications vers l'extérieur, utilisez de préférence une boîte mail de service plutôt que votre boîte mail individuelle. Si vous utilisez votre boîte mail individuelle, déplacez les courriers dans la boîte de service pour que vos collègues puissent accéder à l'information.

 

10. Accès internet

10.1. Vous pouvez utiliser l'accès internet à des fins personnelles en dehors des plages horaires fixes définies dans le « Règlement de Travail »  de l’administration communale.

10.2. L'accès à internet est filtré par le service informatique pour bloquer les catégories de site présentant un danger ou que l'administration communale a décidé de bloquer.

10.3. Vous ne pouvez pas utiliser l'accès internet pour télécharger ou partager des films, musiques, livres et autres médias soumis au droit d'auteur.

10.4. Vos accès à internet sont enregistrés, les traces ne peuvent être utilisées de manière individualisées que pour une série de finalités bien définies.

10.5. L'administration communale peut effectuer à tout moment des statistiques (sans individualisation) sur l'utilisation d'internet.

 

11. Médias sociaux

11.1. Vous ne pouvez utiliser les médias sociaux à travers les accès données par la commune qu'à des fins professionnelles.

11.2. Vous pouvez utiliser occasionnellement les médias sociaux à des fins privées pendant vos temps libres si cela n’entrave pas les prestations de travail et si cela ne compromet pas les intérêts de l’administration communale.

11.3. Ne diffusez pas de données confidentielles ou internes de l'administration communale, des utilisateurs ou concernant des tiers via les réseaux sociaux. Ne diffusez pas non plus de données à caractère personnel sans le consentement de la personne ou une autre base légale.

11.4. Respectez la vie privée et les droits sur la propriété intellectuelle de tiers, dont les droits d'auteurs.

11.5. Ne (re)diffusez pas de messages scandaleux, injurieux ou racistes.

11.6. N'utilisez pas les média sociaux pour l’exercice d’activités concurrentes ou commerciales contraires à l’intérêt de l’administration communale.

11.7. Un contrôle par sondage de l’utilisation d’internet peut être réalisé par l’administration sans préjudice des articles 63 à 68 du Règlement de travail. 

 

12. Équipements portables 

12.1. Protégez en tout temps les équipements portables contre le vol: ne les laissez pas sans surveillance dans des lieux publics, parkings, transports en commun.

12.2. Utilisez un mot de passe, un code, une clé, un glyphe pour protéger l'accès de tous les équipements. Les tablettes et smartphones sont particulièrement visés.

 

13. Sécurité physique

13.1. Lorsque vous entrez dans une zone protégée par un badge ou une clé, n'autorisez personne à vous suivre.

13.2. N'ouvrez pas la porte à une personne qui dit avoir oublié son badge ou son code, accompagnez la vers l’accueil ou vers le service qui délivre les badges et les codes.

 

14. Incidents de sécurité

14.1. Rapportez immédiatement à l'équipe en charge de la sécurité tout évènement qui met ou pourrait mettre en danger la confidentialité, l'intégrité ou la disponibilité d'une information ou d'un support.

14.2. Si vous soupçonnez la présence d'un virus ou d'un logiciel espion sur votre ordinateur :

  • avertissez immédiatement le service informatique;
  • arrêtez d'utiliser l'appareil;
  • déconnectez-le du réseau;
  • ne l'éteignez pas.