Charte informatique apprenants

La présente charte a pour objet de formaliser les règles applicables à l’usage des systèmes d’information et des nouvelles technologies au sein des établissements d’enseignement ou de formation du membre de l’alliance HEP.
Elle contient les principes de base d’accès et d’utilisation des outils informatiques (postes de travail, environnements numériques de travail, fichiers, systèmes, réseau interne, Internet et messagerie) et concerne l’ensemble des étudiants, alternants, stagiaires de la formation continue et apprentis.
L’utilisation des ressources informatiques ainsi que des réseaux pour y accéder doit être limitée à des activités d’enseignement et de recherche, ainsi que toute activité administrative et de gestion découlant ou accompagnant des activités.
Cette charte a pour finalité de sensibiliser et d’assurer la collaboration de tous les apprenants à la préservation :

• de la sécurité des systèmes d’information et des outils informatiques et de communication ;
• de l’intégrité et de la confidentialité des informations traitées ;
• des intérêts légitimes des établissements d’enseignement ou de formation (ci-après « l’Etablissement »).

La présente charte vise la loi n°78-17 du 6 janvier 1978 modifiée en 2004 relative à l’informatique, aux fichiers et aux libertés et le règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), et abrogeant la directive 95/46/CE, par le terme « réglementation RGPD ».

1. Protection des données à caractère personnel

La réglementation RGPD définit les conditions dans lesquelles des traitements de données à caractère personnel peuvent être effectués. Elle ouvre aux personnes concernées par les traitements un droit d’accès et de rectification des données enregistrées sur leur compte.
Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôle prévus dans la présente charte.

L’Etablissement a désigné un Délégué à la protection des données, ci-après « DPO » (Data Protection Officer) : Monsieur Brad SPITZ. Ce dernier a pour mission de veiller au respect de la réglementation RGPD :
o Il est consulté par le responsable des traitements préalablement à la création d’un traitement de données à caractère personnel.
o Il recense dans un registre la liste de l’ensemble des traitements de données à caractère personnel au fur et à mesure de leur mise en oeuvre.
o Il veille au respect des droits des personnes (droit d’accès, de rectification et d’opposition). En cas de difficultés rencontrées lors de l’exercice de ces droits, les personnes concernées peuvent le saisir.
Conformément à la réglementation RGPD, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant au DPO :

Pour le Groupe IGS :
Adresse numérique : dpo@groupe-igs.fr
Adresse postale : Groupe IGS / DPO / Service juridique, 1 rue Jacques Bingen, 75017 PARIS
Pour le réseau C&D :
Adresse numérique : dpo@reseau-cd.fr
Adresse postale : Réseau C&D / DPO / Service juridique, 1-3 rue Lulli, 75002 PARIS

2. Champ d’application

Pour l’application de la présente charte :

• Est considéré comme « Utilisateur », toute personne, quel que soit son statut (étudiant, alternant, stagiaire de la formation continue et apprenti, visiteur,…) qui est amenée à créer, modifier, consulter et utiliser les systèmes d’information ou ressources informatiques ;
• Par « systèmes d’information » ou « ressources informatiques », on entend, notamment, tous les ordinateurs, services et moyens de télécommunication de l’ Etablissement ou de l’utilisateur, y compris les serveurs, stations de travail, les ordinateurs portables, tablettes, les réseaux téléphoniques, les logiciels, les réseaux internes et externes (qu’il s’agisse de l’Internet, intranet, services on line), les téléphones et téléphones portables, les systèmes de stockage externe, les systèmes de messagerie, photocopieurs, logiciels, fichiers, données et bases de données, abonnements à des services interactifs, etc., ceci quel que soit le lieu à partir duquel ils sont utilisés dès lors que les systèmes de l’ Etablissement sont directement ou indirectement utilisés.

Il incombe à tout utilisateur de contribuer de manière appropriée à la protection :

• des équipements, des systèmes et des données contre la perte ou la destruction, les atteintes à l’intégrité, la falsification des sources, la perturbation du fonctionnement, l’augmentation indue des coûts de fonctionnement, … ;
• des accès aux systèmes et aux données notamment les atteintes à la confidentialité des données et des traitements, l’utilisation à des fins répréhensibles ou illégales, la violation des droits des tiers, les détournements à des fins personnelles, l’usurpation ou le masquage d’identité, …

Chaque Utilisateur doit être conscient que l’usage de ces ressources obéit à des règles qui s’inscrivent dans le respect de la loi, de la sécurité et de l’intérêt de l’ Etablissement, et que l’imprudence, la négligence ou la malveillance d’un utilisateur peuvent avoir des conséquences graves de nature à engager sa responsabilité civile et/ou pénale ainsi que celle de l’ Etablissement.

3. Accès aux systèmes d’information de l’Etablissement

L’utilisation des ressources informatiques doit être rationnelle et loyale afin d’en éviter la saturation ou le détournement à des fins personnelles.

3.1. Sécurité des systèmes d’information
Les règles ci-après exposées visent à garantir la disponibilité, l’intégrité et la confidentialité des systèmes et des informations qui y sont traitées et conservées.
La sécurité est l’affaire de tous.
L’observation des règles ci-après et des consignes diffusées par l’Etablissement concernant la sécurité en la matière est obligatoire.

3.2. Eléments identifiants
Le droit d’accès aux ressources informatiques est personnel et incessible.
Les identifiant(s) et mot de passe dont dispose l’Utilisateur pour accéder notamment au réseau et à son compte de messagerie (tels que : adresse de connexion, login, mot de passe et profils d’utilisation) doivent impérativement rester confidentiels et ne doivent, à ce titre, être dévoilés à quiconque, y compris au sein de l’Etablissement.
Les mots de passe ne doivent, en aucun cas, être notés ou stockés sous quelque forme que ce soit.
Ils doivent, dans la mesure du possible, être mémorisés par l’Utilisateur.
En cas d’oubli ou de perte de ses mots de passe, l’Utilisateur devra en informer dans les meilleurs délais l’Etablissement par l’intermédiaire du guichet informatique.
Il est précisé que l’usage de ses identifiants est fait sous l’entière responsabilité de l’utilisateur.
Leur divulgation à d’autres Utilisateurs ou à des tiers pourra entraîner des sanctions disciplinaires.

Ainsi, toute connexion au système informatique, toute transmission ou utilisation de données effectuée aux moyens des éléments identifiants et des droits transmis à l’Utilisateur sera notamment réputée avoir été faite par l’utilisateur lui-même.
Enfin, il est rappelé que l’abandon du poste de travail sans «fermer la session» constitue une négligence de la part de son auteur et peut entraîner sa responsabilité en cas d’usage frauduleux; dès qu’il cesse de travailler, l’utilisateur doit fermer la session qu’il avait ouverte.

3.3. Confidentialité
L’accès par l’Utilisateur aux informations et documents conservés sur les systèmes informatiques doit être limité à ceux qui lui sont propres, et ceux qui sont publics ou partagés. En particulier, il est interdit de prendre connaissance d’informations transitant sur le réseau ou détenues par d’autres utilisateurs, quand bien même ceux-ci ne seraient pas explicitement protégés.

4. Principes et règles d’utilisation des ressources

4.1. Règles générales
4.1.1. Protection contre une utilisation des ressources informatiques à des fins illégales
L’usage des systèmes d’information mis à la disposition des utilisateurs doit se faire dans le respect de la sécurité de l’Etablissement, compte tenu des risques que ferait courir une mauvaise utilisation desdites ressources, notamment à l’Etablissement et aux autres Utilisateurs.
L’utilisateur ne doit, en aucune circonstance, charger, stocker, publier, diffuser ou distribuer, au moyen des ressources de l’Etablissement, des documents, informations, images, vidéos :

• Qui ne respecteraient pas les principes de neutralité religieuse, politique et commerciale,
• Incitant, sous quelle que forme que ce soit la forme, à tout acte illicite (consommation de drogues, alcool, discriminations liées à la différence des sexes, racisme, antisémitisme, homophobie, négationnisme, apologie de la violence, … etc… )
• Permettant d’usurper la propriété d’autrui ou d’intercepter des communications qui ne lui sont pas destinées,
  Constitutif d’une usurpation d’identité ou du profil numérique d’autrui,ou d’intercepter des communications qui ne lui sont pas destinées,
• Constitutif d’une usurpation d’identité ou du profil numérique d’autrui,
• A caractère violent, pornographique ou contraire aux bonnes moeurs,
• susceptibles de porter atteinte au respect de la personne humaine et à sa dignité, ainsi qu’à la protection des mineurs,
• A caractère diffamatoire, ou injurieux, ou à caractère calomnieux,
• A caractère sexiste ou discriminatoire,
• Susceptibles de porter atteinte à la vie privée des personnes,
• Ou de manière générale prohibés par la loi et / ou sanctionnés pénalement.

4.1.2. Règles d’utilisation des ressources informatiques
Sans que cette liste soit limitative, sont notamment interdits :

• Toute action susceptible de mettre en cause la sécurité matérielle ou juridique de l’Etablissement, de porter atteinte à sa réputation ou de constituer pour elle une gêne quelconque,
• Les tentatives de violation d’accès et l’accès non autorisé aux systèmes informatiques de l’Etablissement ou de toutes autres organisations,
• La dissimulation de l’identité par l’utilisation de pseudonymes ou par tout autre moyen,
• Les jeux et / ou agissements visant à obtenir des profits et gains personnels,
• Les téléchargement de logiciels, tout téléchargement de nouveau logiciel devant être effectué après accord préalable du service informatique,
• La copie, la modification, la destruction des logiciels de l’Etablissement,
• L’accès, la tentative d’accès, la suppression ou la modification des informations qui n’appartiennent pas à l’utilisateur.
• Toute copie de données sur un support externe est soumise à l’accord du service informatique de l’Etablissement et doit respecter les règles définies par celui-ci.

L’Utilisateur s’interdit :

• D’exploiter ou d’informer des tiers des éventuelles failles de sécurité des ressources et applications informatiques de l’Etablissement qu’il pourrait découvrir ou dont il pourrait avoir connaissance, et s’engage à en informer immédiatement le service informatique de telles failles,
• De porter atteinte, et plus particulièrement de faire obstacle et / ou contourner le dispositif permettant d’assurer la sécurité du système informatique de l’Etablissement au regard des tiers et tentatives de piratage et transmission de virus,
• D’utiliser les ressources de l’Etablissement à des fins de harcèlement, menaces ou injures, et de manière générale, violer des lois en vigueur.

4.1.3. Protection de la propriété industrielle et intellectuelle des tiers

L’Utilisateur s’interdit :

• De charger, stocker ou transmettre des fichiers (programmes, logiciels, progiciels, oeuvres multimédia ou bases de données) protégés par le Code de la Propriété Intellectuelle, sauf à posséder les licences ou autorisations nécessaires.
• D’utiliser les matériels, programmes, logiciels, progiciels, mis à sa disposition par l’Etablissement, en violation du Code de la Propriété Intellectuelle, des règles techniques applicables et des prescriptions définies par l’Etablissement,
• D’utiliser, de reproduire, de détruire ou modifier les codes sources ou le code exécutable de tout programme, logiciel ou progiciel en violation du Code de la Propriété Intellectuelle, des règles techniques applicables et des prescriptions définies par l’Etablissement.

4.1.4. Protection des droits industriels et intellectuels de l’ Etablissement

L’Utilisateur s’interdit de porter atteinte d’une quelconque manière, aux droits de propriété industrielle et intellectuelle de l’Etablissement, et notamment aux droits d’auteur relatif aux oeuvres multimédia, bases de données et sites Internet de l’Etablissement.

4.1.5. Protection de l’image de marque, des ressources et des biens de l’Etablissement

L’Utilisateur ne doit jamais :

• Charger, stocker, publier, diffuser ou distribuer des documents, informations, images, vidéos portant atteinte à l’image de marque interne et externe de l’Etablissement,
• Charger, stocker ou transmettre, sciemment, des fichiers contenant des virus ou des données altérées.

Si l’Utilisateur est amené à recevoir, à son insu, de tels éléments, il est tenu de le signaler immédiatement au service informatique de l’Etablissement.

4.1.6. Protection des conditions d’utilisation des ressources

L’Utilisateur s’interdit d’utiliser sciemment et indûment les ressources de l’Etablissement de manière :

• à gêner l’accès ou l’utilisation des ressources par les autres utilisateurs,
• à perturber le fonctionnement des systèmes informatiques,
• à augmenter indûment les coûts de fonctionnement de ces ressources.

Pour rappel, certaines des activités énoncées dans la présente charte peuvent constituer des actes de contrefaçon et des infractions de nature pénale. Dès qu’il a connaissance de telles activités, l’utilisateur s’engage à les porter à la connaissance du service informatique de l’Etablissement.

5. Accès à Internet

La navigation sur certains sites Internet peut se révéler dangereuse pour le matériel (virus…) ou pour l’image de l’Etablissement (sites pornographiques, pédophiles, racistes et autres). Or, l’usage de l’Internet ne doit en aucun cas porter atteinte à l’image de l’Etablissement.
La contribution des utilisateurs à des forums de discussion, systèmes de discussion instantanée, blogs, sites, étant susceptible d’engager la responsabilité des Utilisateurs et de l’Etablissement, une vigilance renforcée des utilisateurs est indispensable.
Il est rappelé que les Utilisateurs ne doivent en aucun cas se livrer à une activité illicite ou portant atteinte aux intérêts de l’Etablissement, y compris sur internet. Dans tous les cas, sont interdits - notamment et sans s’y limiter- les sites à caractère pornographique ou érotique, les sites de jeux en ligne, de rencontre, de téléchargement et d’échange, de logiciels, de jeux, de musique.
Contrôle et limitation :

Pour des raisons de sécurité du système et de réseaux, l’accès à certains sites peut être limité ou prohibé par le service informatique.
Pour les mêmes raisons de sécurité, et dans le but de limiter les risques d’abus liés à l’utilisation d’internet, ou non conforme aux règles présentées ci-avant, l’ Etablissement procède à la conservation de l’adresse des sites auxquels l’Utilisateur s’est connecté ou a tenté de se connecter.
Il est précisé que les logs de connexion et les logs permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne sont conservées par l’Etablissement conformément à la réglementation applicable.

6. Virus informatiques - Vigilance

L’utilisation des applications communicantes (accès à Internet, transfert de fichiers, …) et des supports de stockage (clé USB, …) peut, malgré les précautions prises, provoquer la transmission, à l’insu de l’utilisateur, de programmes ou fichiers, qui altèrent ou pillent les données logiciel qu’il contient.
L’Utilisateur s’interdit de faire obstacle ou de contourner les moyens mis en oeuvre par l’Etablissement pour prévenir l’implantation et la diffusion de virus.
En cas d’anomalie, l’Utilisateur doit stopper toute activité et prévenir immédiatement le service informatique.
Il est demandé à chaque utilisateur de signaler toute tentative de violation de son poste de travail ou de ses fichiers ou données, dès qu’il en a connaissance, auprès du service informatique.

7. Sanctions

Le non-respect des règles et mesures de sécurité figurant dans la présente charte engage la responsabilité personnelle de l’Utilisateur, dès lors qu’il est prouvé que les faits fautifs lui sont personnellement imputables et l’expose, éventuellement et de manière appropriée et proportionnée au manquement commis, aux sanctions disciplinaires définies par le règlement intérieur et la législation en vigueur.

8. Contrôle

Afin de surveiller le fonctionnement et de garantir la sécurité du système d’information, différents dispositifs sont mis en place.

8.1. Les systèmes automatiques de filtrage

À titre préventif, des systèmes automatiques de filtrage permettant de diminuer les flux d’information pour l’Etablissement et d’assurer la sécurité et la confidentialité des données sont mis en oeuvre. Il s’agit notamment du filtrage des sites Internet, de l’élimination des courriels non sollicités, du blocage de certains protocoles (peer to peer, messagerie instantanée....).
8.2. Les systèmes automatiques de traçabilité – Contrôle des activités
Le système d’information et de communication s’appuie sur des fichiers journaux (« logs »), créés en grande partie automatiquement par les équipements informatiques et de télécommunication. Ces fichiers sont stockés sur les postes informatiques et sur le réseau. Ils permettent d’assurer le bon fonctionnement du système, en protégeant la sécurité des informations de l’Etablissement, en détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l’activité des Utilisateurs et des tiers accédant au système d’information.
Les Utilisateurs sont informés que de multiples traitements sont réalisés afin de surveiller l’activité du système d’information et de communication. Sont notamment surveillées et conservées les données relatives :

• A l’utilisation des logiciels applicatifs, pour contrôler l’accès, les modifications et suppressions de fichiers ;
• Aux connexions entrantes et sortantes au réseau interne, à la messagerie et à internet, pour détecter les anomalies liées à l’utilisation de la messagerie et surveiller les tentatives d’intrusion et les activités, telles que la consultation de sites web ou le téléchargement de fichiers.

L’attention des Utilisateurs est attirée sur le fait qu’il est ainsi possible de contrôler leur activité et leurs échanges. Des contrôles automatiques et généralisés sont susceptibles d’être effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.

En cas de dysfonctionnement constaté par le service informatique, il peut être procédé à un contrôle manuel et à une vérification de toute opération effectuée par un ou plusieurs Utilisateurs.

8.3. Gestion du poste de travail – Maintenance

A des fins de maintenance informatique, le service informatique de l’Etablissement peut accéder à distance à l’ensemble des postes de travail. Cette intervention s’effectue avec l’autorisation expresse de l’Utilisateur.
Dans le cadre de mises à jour et évolutions du système d’information, le service informatique peut être amené à intervenir sur l’environnement technique des postes de travail. Il s’interdit d’accéder aux contenus.