Charte informatique du Groupe VIPP

Applicable à toutes les sociétés du Groupe Vipp

 

1. Introduction

Les entreprises du Groupe VIPP mettent en œuvre un système d’information et de communication nécessaire à l’exercice de son activité. Chaque entreprise du Groupe VIPP met ainsi à disposition de ses collaborateurs des outils informatiques, et de communication.

La présente charte définit les conditions d’accès et les règles d’utilisation des moyens informatiques et des ressources extérieures via les outils de communication du Groupe VIPP. Elle a également pour objet de  sensibiliser les utilisateurs aux risques liés à l’utilisation de ces ressources en termes d’intégrité et de confidentialité des informations traitées. Ces risques imposent le respect de certaines règles de sécurité et de bonne conduite. L’imprudence, la négligence ou la malveillance d’un utilisateur peuvent en effet avoir des conséquences graves de nature  à  engager  sa  responsabilité  civile   et  /  ou  pénale  ainsi  que  celle  du Groupe VIPP ou de l’une des sociétés du Groupe, ou de l’un de ses clients.

La présente charte s’appuie notamment sur la législation française et européenne qui régit la grande majorité des contrats commerciaux du Groupe. Elle s’applique à tous les salariés du Groupe VIPP quel que soit le pays où s’exerce leur mission.

 

2. Protection des données à caractère personnel

 La loi n°78-17 du 6 janvier 1978 modifiée en 2004 relative à l’informatique, aux fichiers et aux libertés, et le règlement général sur la protection des données (RGPD), du 25 mai 2018, définissent les conditions dans lesquelles des traitements de données à caractère personnel peuvent être effectués. Elle ouvre aux personnes concernées par les traitements un droit d’accès et de rectification des données enregistrées sur leur compte.

Les sociétés du Groupe Vipp ont désigné un Délégué à la Protection des Données à caractère personnel. Ce dernier a pour mission de veiller au respect des dispositions de la loi n°78-17 du 6 janvier 1978 modifiée et au règlement général sur la protection des données (RGPD), du 25 mai 2018.

Le DPD est obligatoirement consulté par le responsable des traitements préalablement à leur création.

Il recense dans un registre propre à chaque société la liste de l’ensemble des traitements de données à caractère personnel au fur et à mesure de leur mise en œuvre. Cette liste est tenue à disposition de toute personne de l’entreprise concernée en faisant la demande.

Il centralise un registre client pour les filiales liées à un traitement de données client.

Le correspondant veille au respect des droits des personnes (droit d’accès, de rectification et d’opposition). En cas de difficultés rencontrées lors de l’exercice de ces droits, les personnes concernées peuvent saisir le Délégué à la Protection des Données (Françoise Robert – frobert@vippinterstis.com).

 

3. Le champ d’application de la charte

La présente charte s’applique à tout utilisateur du Système d’Information et de communication du Groupe VIPP pour l’exercice de ses activités professionnelles.

En dehors des plateaux de production, l’utilisation à titre privé de ces outils est tolérée, mais doit être raisonnable et ne pas perturber le bon fonctionnement du service.

La charte est diffusée à l’ensemble des utilisateurs par voix d’affichage. Elle est systématiquement communiquée à tout nouvel arrivant.

Quelques définitions :

On désignera sous le terme « utilisateur » toute personne autorisée à accéder aux outils informatiques et aux moyens de communication du Groupe VIPP et à les utiliser : employés, stagiaires, intérimaires, personnels de sociétés prestataires, visiteurs occasionnels….

Les termes « outils informatiques et de communication » recouvrent tous les équipements informatiques, de télécommunications et de reprographie du Groupe VIPP.

 

Dans le cadre de l’exercice de leur mission, les collaborateurs du Groupe VIPP peuvent être amenés à signer des engagements de confidentialité et / ou des chartes informatiques des clients du groupe. Ces documents n’annulent en rien les engagements et la charte Groupe VIPP mais s’y ajoutent.

 

4. Les règles d’utilisation du Système d’Information du Groupe VIPP

 Chaque utilisateur accède aux outils informatiques nécessaires à l’exercice de son activité professionnelle dans les conditions définies par le Groupe VIPP.

4.1.   Les modalités d’intervention du service de l’informatique interne

Les services de l’informatique interne du Groupe VIPP assurent le bon fonctionnement et la sécurité des réseaux, des moyens informatiques et de communication du Groupe VIPP. Les agents/personnels de ce service disposent d’outils techniques afin de procéder aux investigations et au contrôle de l’utilisation des systèmes informatiques mis en place.

Ils ont accès à l’ensemble des données techniques mais s’engagent à respecter les règles de confidentialité applicables aux contenus des documents, notamment à ne pas consulter de données qui ne leur sont pas destinées sans demande expresse de la Direction du Groupe Vipp.

Ils sont assujettis au devoir de réserve et sont tenus de préserver la confidentialité des données qu’ils sont amenés à connaître dans le cadre de leurs fonctions.

4.2.  L’authentification

L’accès aux ressources informatiques repose sur l’utilisation d’un nom de compte (« login » ou identifiant) fourni à l’utilisateur lors de son arrivée dans le Groupe VIPP. Un mot de passe est associé à cet identifiant de connexion.

Les moyens d’authentification sont personnels et confidentiels.

Actuellement, le mot de passe doit être composé de 8 caractères minimum.

4.3.  Les règles de sécurité

Tout utilisateur s’engage à respecter les règles de sécurité suivantes :

      • Signaler au service informatique interne du Groupe VIPP toute violation ou tentative de violation suspectée de son compte réseau et de manière générale tout
      • Ne jamais confier son identifiant/mot de passe (personnels ou partagés).
      • Ne jamais demander son identifiant/mot de passe à un collègue ou à un
      • Ne pas masquer sa véritable identité.
      • Ne pas usurper l’identité d’autrui.
      • Ne pas modifier les paramétrages du poste de
      • Ne pas installer de logiciels sans a
      • Ne pas copier, modifier, détruire les logiciels propriétés du Groupe VIPP.
      • Verrouiller son ordinateur dès qu’il quitte son poste de
      • Ne pas accéder, tenter d’accéder, supprimer ou modifier des informations qui ne lui appartiennent
      • Toute copie de données sur un support externe est soumise à l’accord du supérieur hiérarchique et doit respecter les règles définies par le Groupe

En outre, il convient de rappeler que les visiteurs ne peuvent avoir accès au Système d’Information du Groupe VIPP sans l’accord préalable du service informatique interne.

Les intervenants extérieurs doivent s’engager à faire respecter la présente charte par leurs propres salariés et éventuelles entreprises sous-traitantes. Dès lors, les contrats signés entre le Groupe VIPP et tout tiers ayant accès aux données, aux programmes informatiques ou autres moyens, doivent comporter une clause rappelant cette obligation.

 

5.   Les moyens informatiques

5.1.  Configuration du poste de travail

Le Groupe VIPP met à disposition de chaque utilisateur un poste de travail doté des outils informatiques nécessaires à l’accomplissement de ses fonctions. L’’utilisateur ne doit pas :

      • Modifier ces équipements et leur fonctionnement, leur paramétrage, ainsi que leur configuration physique ou
      • Connecter ou déconnecter du réseau les outils informatiques et de communications sans y avoir été autorisé par l’équipe informatique
      • Déplacer l’équipement informatique (sauf s’il s’agit d’un « équipement nomade »)
      • Nuire au fonctionnement des outils informatiques et de communication

Toute installation de logiciels supplémentaires (logiciels de consultation de fichiers multimédia) est subordonnée à l’accord du service informatique interne.

5.2.  Les outils « métier »

Tous les applicatifs métiers dédiés au traitement des opérations pour nos clients (CTI, mail, chat…), qu’ils soient internes (développés par le Groupe VIPP) ou externes (développés par nos clients ou l’un de leurs prestataires), doivent être utilisés exclusivement pour le traitement des missions du client et de manière strictement conforme aux consignes délivrées. Aucun écart ne peut être toléré.

5.3. Équipements nomades et procédures spécifiques aux matériels de prêt

Équipements nomades

Quand cela est techniquement possible, ils doivent faire l’objet d’une sécurisation particulière, au regard de la sensibilité des documents qu’ils peuvent stocker, notamment par chiffrement.

L’utilisation de smartphones ou Blackberry pour relever automatiquement la messagerie électronique comporte des risques particuliers pour la confidentialité des messages, notamment en cas de perte ou de vol de ces équipements. Quand ces appareils ne sont pas utilisés pendant quelques minutes, ils doivent donc être verrouillés par un moyen adapté de manière à prévenir tout accès non autorisé aux données qu’ils contiennent.

Procédures spécifiques aux matériels de prêt

L’utilisateur doit renseigner et signer un registre, tenu par :

      • A Paris : la DAF,
      • A Yaoundé et Cotonou : le service informatique interne,

actant la remise de l’équipement nomade. Il en assure la garde et la responsabilité et doit informer :

      • A Paris : Louisa Ikhlef de la Direction Administrative et Financière,
      • A Yaoundé et Cotonou : Jaurès Kamga, Responsable des Systèmes d’information,

En cas d’incident (perte, vol, dégradation) afin qu’il soit procédé aux démarches telles que la déclaration de vol ou de plainte. Il est garant de la sécurité des équipements qui lui sont remis et ne doit pas contourner la politique de sécurité mise en place sur ces mêmes équipements. Le retour du matériel est consigné dans le registre.

5.4. Internet

Les utilisateurs peuvent consulter les sites internet présentant un lien direct et nécessaire avec l’activité professionnelle, de quelque nature qu’ils soient, lorsque l’accès leur en est ouvert.

Toutefois, une utilisation ponctuelle et raisonnable, pour un motif personnel, des sites internet dont le contenu n’est pas contraire à la loi, l’ordre public, et ne met pas en cause l’intérêt et la réputation de l’institution, et est ouvert, est admise.

5.5. Messagerie électronique

Conditions d’utilisation

La messagerie mise à disposition des utilisateurs est destinée à un usage professionnel. L’utilisation de la messagerie à des fins personnelles est tolérée si elle n’affecte pas le travail de l’utilisateur ni la sécurité du réseau informatique du Groupe VIPP.

Tout message qui comportera la mention expresse ou manifeste de son caractère personnel bénéficiera du droit au respect de la vie privée et du secret des correspondances. A défaut, le message est présumé professionnel.

Le Groupe VIPP s’interdit d’accéder aux dossiers et aux messages identifiés comme « personnel » dans l’objet de la messagerie de l’agent.

L’utilisation de la messagerie électronique répond aux règles d’usage définies par le service informatique interne, et validées par la Direction des Services Informatiques :

      • volumétrie de la messagerie,
      • taille maximale de l’envoi et de la réception d’un message,
      • nombre limité de destinataires simultanés lors de l’envoi d’un message,
      • gestion de l’archivage de la

Le transfert de messages, ainsi que leurs pièces jointes, à caractère professionnel sur des messageries personnelles est soumis aux mêmes règles que les copies de données sur supports externes.

Les agents peuvent consulter leur messagerie à distance, à l’aide d’un navigateur (webmail). Les fichiers qui seraient copiés sur l’ordinateur utilisé par l’agent dans ce cadre doivent être effacés dès que possible de l’ordinateur utilisé.

Consultation de la messagerie

En cas d’absence d’un agent et afin de ne pas interrompre le fonctionnement du service, le service informatique interne du Groupe VIPP peut, ponctuellement transmettre au supérieur hiérarchique un message électronique à caractère exclusivement professionnel et identifié comme tel par son objet et/ou son expéditeur (cf conditions d’utilisation).

Le supérieur hiérarchique n’a pas accès aux autres messages de l’agent. L’agent concerné est informé dès que possible de la liste des messages qui ont été transférés.

En cas d’absence prolongée d’un agent (longue maladie), le chef de service peut demander au service informatique, après accord de son directeur, le transfert des messages reçus.

Courriel non sollicité

Le Groupe VIPP dispose d’un outil permettant de lutter contre la propagation des messages non désirés (spam). Aussi, afin de ne pas accentuer davantage l’encombrement du réseau lié à ce phénomène, les utilisateurs sont invités à limiter leur consentement explicite préalable à recevoir un message de type commercial, newsletter, abonnements ou autres, et de ne s’abonner qu’à un nombre limité de listes de diffusion et relevant du cadre strictement professionnel.

5.6. Téléphone de bureau

Le Groupe met à disposition des utilisateurs qui en en besoin pour l’exercice de leur activité professionnelle, des téléphones fixes et mobiles.

Des restrictions d’utilisation par les agents des téléphones fixes sont mises en place en tenant compte de leurs missions. A titre d’exemple, certains postes sont limités aux appels nationaux, d’autres peuvent passer des appels internationaux.

Le Groupe VIPP, gère un suivi individuel pour des raisons de conformité à la législation internationale, en matière d’utilisation des services de télécommunications. Des statistiques globales sont réalisées sur l’ensemble des appels entrants et sortants.

Le Groupe VIPP  s’interdit d’accéder à l’intégralité des numéros appelés via l’autocommutateur mis en place et via les téléphones mobiles. Toutefois, en cas d’utilisation manifestement anormale, le service informatique, sur demande de la Direction, se réserve le droit d’accéder aux numéros complets des relevés individuels.

5.7.  L’utilisation des outils informatiques par les représentants du personnel

Les représentants du personnel utilisent, dans le cadre de leur mandat, les outils informatiques  qui leur sont attribués pour l’exercice de leur activité professionnelle. Ils disposent d’une adresse électronique dédiée.

 

6. L’administration du Système d’Information

Afin de surveiller le fonctionnement et de garantir la sécurité du système d’information du Groupe VIPP, différents dispositifs sont mis en place.

6.1.  Les systèmes automatiques de filtrage

A titre préventif, des systèmes automatiques de filtrage permettant de diminuer les flux d’information pour le Groupe VIPP et d’assurer la sécurité et  la confidentialité des données sont mis en œuvre. Il s’agit notamment du filtrage des sites Internet, de l’élimination des courriels non sollicités, du blocage de certains protocoles (peer to peer, messagerie instantanée….).

6.2. Les systèmes automatiques de traçabilité

Le service informatique du Groupe VIPP opère sans avertissement les investigations nécessaires à la résolution de dysfonctionnements du système d’information ou de l’une de ses composantes, qui mettent en péril son fonctionnement ou son intégrité.

Il s’appuie pour ce faire, sur des fichiers de journalisation (fichiers « logs ») qui recensent toutes les connexions et tentatives de connexions  au système d’information. Ces fichiers comportent les données suivantes : dates, postes de travail et objet de l’évènement.

Le service informatique est le seul utilisateur de ces informations, outre la Direction qui peut y demander l’accès. Elles sont effacées à l’expiration d’un délai de un an.

6.3. Gestion du poste de travail

A des fins de maintenance informatique, le service informatique interne du Groupe VIPP peut accéder à distance à l’ensemble des postes de travail. Cette intervention s’effectue avec l’autorisation expresse de l’utilisateur.

Dans le cadre de mises à jour et évolutions du système d’information, et lorsqu’aucun utilisateur n’est connecté sur son poste de travail, le service informatique peut être amené à intervenir sur l’environnement technique des postes de travail. Il s’interdit d’accéder aux contenus.

7. Procédure applicable lors du départ de l’utilisateur

 Lors de son départ, l’utilisateur doit restituer au service de l’informatique interne les matériels mis à sa disposition.

Il doit préalablement effacer ses fichiers et données privées. Toute copie de documents professionnels doit être autorisée par le chef de service.

 

8. Responsabilités – Sanctions

Le manquement aux règles et mesures de sécurité et de confidentialité définies par la présente charte est susceptible d’engager la responsabilité de l’utilisateur et d’entraîner des sanctions à son encontre.

Des sanctions en interne peuvent être prononcées, elles consistent :

      • dans un premier temps, en un rappel à l’ordre émanant du service informatique interne, via la Direction des Ressources Humaines en cas de non-respect des règles énoncées par la charte ;
      • dans un second temps, et en cas de renouvellement, après avis de la Direction des Ressources Humaines et du supérieur hiérarchique de l’agent, en des sanctions disciplinaires pouvant aller jusqu’au licenciement.

Le non-respect des lois et textes applicables en matière de sécurité des systèmes d’information (cf. liste des textes en annexe) est susceptible de sanctions pénales prévues par la loi.

 

9. Entrée en vigueur de la Charte

 La présente charte est  applicable à compter du 22 février 2018