Charte du Centre Hospitalier Régional METZ-THIONVILLE pour le bon usage de l’informatique et des réseaux

La présente charte a pour objet de définir les règles d’utilisation des moyens informatiques (1) au Centre Hospitalier Régional de Metz – Thionville et de rappeler les risques encourus en cas de non-respect de ces règles.

oOo

1 Domaine d’application

Les règles et obligations définies dans cette charte s’appliquent à tout utilisateur (2) des moyens  informatiques  de l’établissement ainsi que des moyens informatiques extérieurs accessibles via les réseaux informatiques du Centre Hospitalier Régional de Metz-Thionville (C.H.R.).

oOo

2 Conditions d’accès

Le droit d’accès d’un utilisateur à un système informatique est soumis à autorisation. Il est personnel et incessible, et prend fin lorsque les raisons de cet accès disparaissent. Ce droit est limité à des activités conformes aux missions de  l’établissement (administration, soins, actes médicaux, recherche, statistiques, gestion..)  (3)

La connexion d’un équipement informatique au réseau est soumise à accord du responsable informatique du C.H.R., dûment habilité par la Direction Générale de l’établissement. (4)

oOo

3 Respect de la Confidentialité 

Les fichiers possédés par des utilisateurs doivent être considérés comme relevant de leur responsabilité personnelle qu’ils soient ou non accessibles à d’autres utilisateurs. Le droit de lecture ou de  modification d’un fichier ne peut être réalisé qu’après accord explicite de son  propriétaire. (5)

Les postes de travail individuels ne doivent pas être utilisés sans la permission des personnes à qui ils sont attribués.

oOo

4 Respect des droits de propriétés

Il est interdit à tout utilisateur de faire des copies de logiciels commerciaux pour quelque usage que ce soit. Les copies de sauvegardes sont la seule exception et sont effectuées sous la responsabilité du Service Informatique du C.H.R.  (6)

oOo

5 Informatique et liberté

La création et l’utilisation de tout fichier contenant des informations nominatives doivent faire l’objet d’une demande préalable auprès de la Commission Nationale de l’Informatique et des Libertés (C.N.I.L.). L’instruction de cette demande et sa transmission à l’Organisme de référence est faite en commun avec le Service Informatique du C.H.R. (7)

oOo

6 Les principes à respecter

Tout utilisateur est responsable de l’utilisation qu’il fait des ressources informatiques et  s’engage à ne pas effectuer des opérations qui pourraient avoir des  conséquences néfastes sur le fonctionnement  normal du réseau, sur l’intégrité de l’outil informatique, et sur les relations internes et externes de l’établissement. (8)

La sécurité est l’affaire de tous,  chaque utilisateur de l’informatique et du réseau d’établissement doit y contribuer à son niveau, et mettre en application un certain nombre de règles et de recommandations fournies par les administrateurs et les responsables de l’outil informatique. (9)

oOo

7 Sanctions applicables

Des lois et textes réglementaires définissent les droits et obligations des personnes utilisant les moyens informatiques. 

Tout utilisateur n’ayant pas respecté les lois peut être poursuivi pénalement. De plus, les utilisateurs ne suivant pas les règles et obligations définies dans cette charte, sont passibles de sanctions (10) internes à l’établissement, dans le cadre de l’application des textes du règlement intérieur.

oOo

8 – Responsabilité et devoir de l’établissement

L’établissement, est lui-même soumis aux règles de bonne utilisation des moyens informatiques, et se doit de faire respecter les règles définies dans ce document.

L’établissement ne pourra être tenu pour responsable de détérioration d’informations du fait d’un utilisateur ne s’étant pas conformé à l’engagement prescrit par cette charte et charte d’utilisation de la messagerie qui font partie du règlement intérieur de l’établissement. L’établissement ne fournit aucune garantie, implicite ou explicite, quant à l’exactitude des résultats obtenus par l’utilisation de ses moyens informatiques.

=====================================================================================

Notes

  • Ce document utilise indifféremment les termes «moyens informatiques», «systèmes informatiques» ou «ressources informatiques».

Les moyens informatiques du C.H.R. Metz-Thionville comprennent notamment les serveurs, stations de travail et micro-ordinateurs des services administratifs et techniques, des laboratoires, des salles de soins, et autres lieux du C.H.R.. Ces termes englobent  également tout logiciel ou matériel affecté au fonctionnement du réseau d’établissement.

  • On appelle «Utilisateur» toute personne, quel que soit son statut : médecin, soignant, ingénieur, technicien, administratif, personnel temporaire, stagiaire, sous-traitant … appelée à utiliser les ressources informatiques et réseau    de l’établissement.
  • Chaque utilisateur est tenu pour responsable de toute utilisation des ressources informatiques faite à partir de son poste de travail.

Lorsque l’utilisation d’un système informatique implique l’ouverture d’un compte nominatif, l’utilisateur ne doit pas se servir, pour y accéder, d’un autre compte que celui qui lui a été attribué par l’administrateur habilité.

Sauf autorisation écrite du chef d’établissement ou du responsable de service les moyens informatiques ne peuvent être utilisés pour d’autres activités, notamment commerciales.

  • Tout utilisateur devra respecter les modalités de raccordement des matériels au réseau de l’établissement. Ces modalités sont établies par les responsables informatiques.

Tout ordinateur propre à un département, laboratoire ou service, devant être connecté au réseau devra être déclaré au service responsable de la gestion du réseau (l’Ingénieur Système et Réseau, …), et devra être géré par un  administrateur qui est responsable de son bon fonctionnement.  Ce dernier doit en particulier s’assurer que les règles de sécurité et de confidentialité sont bien respectées.

  • En particulier, il est interdit de prendre connaissance d’informations détenues par d’autres utilisateurs, quand bien même ceux-ci ne les auraient  pas explicitement protégées. Cette règle s’applique également aux conversations privées de type e-mail dont l’utilisateur n’est destinataire ni directement, ni en copie.

Les utilisateurs sont tenus à la réserve d’usage sur toute information relative au fonctionnement interne de l’établissement qu’ils auraient pu obtenir en utilisant les ressources informatiques.

Les administrateurs des systèmes peuvent être amenés (après information du responsable de service, de laboratoire, ou de secteur) à examiner le contenu de fichiers, boîte aux lettres, de façon à obtenir suffisamment d’informations pour corriger des problèmes logiciels ou s’il y a lieu, de pouvoir déterminer si un utilisateur ne respecte pas la politique d’utilisation des ressources informatiques de l’établissement décrite dans ce document. Les administrateurs de systèmes ont l’obligation de préserver la confidentialité des informations privées qu’ils sont amenés à connaître dans ce cadre.

Si, dans l’accomplissement de son travail, l’utilisateur est amené à constituer des fichiers tombant sous le coup de la loi Informatique et Libertés, il devra auparavant en avoir fait la demande à la C.N.I.L. et en avoir reçu l’autorisation. On rappelle que cette autorisation n’est valable que pour le traitement défini dans la demande et pas pour le fichier lui-même.

  • Tout utilisateur doit de plus se conformer aux prescriptions d’utilisation définies par l’auteur et/ou le fournisseur d’un logiciel, ainsi que par l’Ingénieur Système et Réseau.  Il est strictement interdit d’installer un logiciel sur un système sans s’être assuré préalablement que les droits de licence le permettent
  • Selon la loi une information nominative est une information qui permet l’identification, sous quelque forme que ce soit d’une personne physique (exemple : adresse électronique).

Toute personne enregistrée dans une base doit être informée de la forme des données et de l’utilisation qui en est faite. De plus, elle doit avoir la possibilité d’y avoir accès et de faire rectifier toute information erronée la concernant.

  • Tout utilisateur devra  se garder strictement :
  • d’interrompre le fonctionnement normal du réseau ou des systèmes connectés au réseau (manipulations anormales, introduction de VIRUS, …);
  • de se connecter ou d’essayer de se connecter sur un site extérieur à l’établissement sans y être autorisé;
  • d’accéder au  compte d’un autre utilisateur sans l’autorisation de celui-ci;
  • d’accéder à des informations appartenant à d’autres utilisateurs du réseau,  sans leur autorisation;
  • de modifier ou détruire des informations appartenant à d’autres utilisateurs et ceci sans leur autorisation,  en particulier des informations médicales, d’identification, ou de gestion;
  • de porter atteinte à l’intégrité d’un autre utilisateur ou à sa sensibilité, notamment par l’intermédiaire de messages, textes ou images provocants;
  • de masquer sa véritable identité, en particulier en se connectant sous le nom d’un autre utilisateur,
  • de développer des outils mettant sciemment en cause l’intégrité des systèmes;
  • de nuire à l’image de marque de l’établissement par une mauvaise utilisation des outils réseaux.
  • Parmi les règles de bon usage :
  • user raisonnablement de toutes les ressources partagées (puissance de calcul, espace disque, logiciels à jetons, bande passante sur le réseau, …);
  • ne jamais quitter son poste de travail en laissant une session ouverte;
  • ne pas laisser un document affiché sur l’écran de visualisation après exploitation;
  • protéger ses fichiers, avec l’aide éventuelle des administrateurs; l’utilisateur est responsable des droits qu’il accorde à des tiers;
  • choisir des mots de passe sûrs respectant les recommandations des administrateurs. Ces mots de passe doivent être tenus secrets (ne pas les écrire sur un document papier, ne jamais les communiquer à un tiers), les changer régulièrement.
  • sauvegarder régulièrement ses fichiers;
  • contrôler l’accès des locaux où sont situés des équipements informatiques;
  • signaler aux administrateurs toute violation, tentative de violation ou toute violation suspectée d’un système informatique; de même leur signaler tout problème (mauvaise gestion des protections, faille système, logiciel suspect,…) pouvant nuire au bon niveau de sécurité;
  • respecter les consignes des administrateurs systèmes et des responsables informatiques.

(10)  Le non-respect des règles et recommandations peut se traduire par des sanctions graduées liées à la gravité du délit par rapport aux règles de l’établissement. Ces sanctions peuvent être administratives et pénales; les unes n’étant pas exclusives des autres.

Seul, le Directeur Général du C.H.R. de Metz-Thionville, avec l’accord de son conseil d’administration, est à même de juger de la gravité des infractions et de prendre les mesures disciplinaires adéquates.

=====================================================================================

Rappel de quelques textes de loi

Protection des personnes :

  • La loi du 6 janvier 1978 sur l’informatique et les libertés.

Cette loi a pour objet de protéger les libertés individuelles susceptibles d’être menacées par l’utilisation de l’informatique. Elle définit les droits des personnes et les obligations des responsables de fichiers.

  • Loi  92-684 du 22 juillet 1992.

(déclaration préalable à la création de tout fichier contenant des informations nominatives)

Article 226-24 du Nouveau Code Pénal (NCP) responsabilité des personnes morales des infractions aux dispositions de la loi sur les atteintes à la personnalité.

  • Convention Européenne du 28/01/1981

Protection des logiciels:

  • Les lois du 3 juillet 1985 et du 1er juillet 1992 sur la protection des logiciels

Ces lois protègent les droits d’auteur, elles interdisent en particulier à l’utilisateur d’un logiciel toute reproduction autre que l’établissement d’une copie de sauvegarde;

  • Loi du 10 mai 1994 modifiant la loi du 1er juillet 1992 relative au code de Propriété intellectuelle.
  • Directive Européenne du 21/12/1988 (harmonisation de la protection juridique des  logiciels)

Protection des secrets par nature:

  • Art 410-1 et 411-6 secrets économiques et industriels
  • Art 432-9 al et 226-15 al1 secrets des correspondances (écrites, transmises par voie de télécommunications)
  • Articles de loi concernant les « secrets » professionnels

Accès ou maintien frauduleux dans un système informatique

  • La loi du 5 janvier 1988 relative à la fraude informatique

C’est la loi la plus importante et la plus astreignante puisqu’elle définit les peines encourues par les personnes portant atteinte aux systèmes de données.

  • Art 323-1 et suivant du NCP : 1 à 2 ans d’emprisonnement et 100 000 à 200 000 F. d’amende (max dans le cas de modification du système
  • Art 323-5 peines complémentaires