Charte des utilisateurs des systèmes d'information du CPAS de Namur

La page est créée Michel Pasquier
 
CONTINUER À LIRE
Charte des utilisateurs des
         systèmes d’information
           du CPAS de Namur

Version 18/08/2021                Page 1 sur 34
Table des matières

1.     PORTÉE DE LA CHARTE ........................................................................................................ 4
2.     TERMINOLOGIE................................................................................................................... 5
3.     BASES LÉGALES ET DOCUMENTS DE RÉFÉRENCE ................................................................... 6
       3.1. PRINCIPALES LÉGISLATIONS CONCERNÉES ....................................................................................... 6
       3.2. RECOMMANDATIONS.................................................................................................................. 7
4.     RESPONSABILITÉS ............................................................................................................... 8
       4.1. EN GÉNÉRAL .............................................................................................................................. 8
       4.2. RESPONSABLE DU TRAITEMENT..................................................................................................... 8
5.     CONFIDENTIALITÉ ............................................................................................................... 8
6.     DÉONTOLOGIE .................................................................................................................... 8
7.     DROITS DE L’UTILISATEUR ................................................................................................... 9
8.     UTILISATION DES SYSTÈMES D’INFORMATION ................................................................... 10
       8.1. UTILISATION DES COMPTES UTILISATEURS, DES E-MAILS PROFESSIONNELS ET D’INTERNET ..................... 10
            8.1.1. Gestion des accès par login et mots de passe ........................................................ 10
            8.1.2. Localisation des données professionnelles ............................................................. 12
            8.1.3. Fermeture régulière des outils connectés ............................................................... 13
            8.1.4. Pratiques non autorisées ........................................................................................ 13
            8.1.5. Utilisation d’internet............................................................................................... 14
            8.1.6. Utilisation de l’e-mail professionnel ....................................................................... 14
       8.2. UTILISATION DE LA TÉLÉPHONIE FIXE, DE LA TÉLÉPHONIE MOBILE ET DES CARTES SIM .......................... 19
            8.2.1. Utilisation de la téléphonie fixe .............................................................................. 19
            8.2.2. Utilisation de la téléphonie mobile et de la carte SIM ............................................ 20
            8.2.3. La protection du matériel de téléphonie mobile..................................................... 21
       8.3. UTILISATION DES MÉDIAS SOCIAUX .............................................................................................. 23
            8.3.1. Préambule............................................................................................................... 23
            8.3.2. Champ d’application ............................................................................................... 23
            8.3.3. Définition et règles de bonne conduite applicables ................................................ 24
       8.4. LE TÉLÉTRAVAIL........................................................................................................................ 26
       8.5. INVENTAIRE DU MATÉRIEL.......................................................................................................... 26
       8.6. EN CAS DE DÉTÉRIORATION, DE VOL OU DE PERTE DE MATÉRIEL ........................................................ 27

Version 18/08/2021                                                                                                                      Page 2 sur 34
9.     CONTRÔLE DES SYSTÈMES D’INFORMATION ET EXAMEN DE L’UTILISATION FAITE PAR LES
       UTILISATEURS ................................................................................................................... 28
       9.1. GÉNÉRALITÉS........................................................................................................................... 28
       9.2. PRINCIPE DE FINALITÉ................................................................................................................ 28
       9.3. PRINCIPE DE PROPORTIONNALITÉ ................................................................................................ 29
       9.4. PRINCIPE DE TRANSPARENCE ...................................................................................................... 29
       9.5. HABILITATION DES PERSONNES POUVANT PROCÉDER À DES CONTRÔLES DES SYSTÈMES D’INFORMATION (ET
            STATISTIQUES) ET À DES EXAMENS ............................................................................................... 29
       9.6. CONTRÔLE DE L’UTILISATION DES COMPTES UTILISATEURS, DES E-MAILS PROFESSIONNELS ET D’INTERNET 30
            9.6.1. Contrôle des comptes utilisateurs .......................................................................... 30
            9.6.2. Contrôle de l’utilisation d’internet .......................................................................... 31
            9.6.3. Contrôle de l’e-mail professionnel .......................................................................... 31
       9.7. CONTRÔLE DE L’UTILISATION DE LA TÉLÉPHONIE FIXE, DE LA TÉLÉPHONIE MOBILE ET DES CARTES SIM .... 32
            9.7.1. Contrôle de l’utilisation de la téléphonie fixe ......................................................... 32
            9.7.2. Contrôle de l’utilisation de la téléphonie mobile et des cartes SIM........................ 33
       9.8. CONTRÔLE DE L’UTILISATION DES MÉDIAS SOCIAUX ........................................................................ 34
            9.8.1. Contrôle des communications ................................................................................ 34
            9.8.2. Sanctions................................................................................................................. 34

Version 18/08/2021                                                                                                                    Page 3 sur 34
1.         Portée de la charte

La présente charte est applicable à l’ensemble des agents du CPAS, aux Conseillers, aux
agents amenés à exécuter des missions de contrôle dans le cadre de celle-ci et à toute
personne ayant accès, même ponctuellement, aux systèmes d’information du CPAS (les
sous-traitants informatiques, les stagiaires, etc.).

En octroyant l’accès au téléphone, à l’e-mail, à internet et à des outils permettant le télétravail aux
agents, le Conseil de l’Action Sociale poursuit les buts suivants :
     ✓ Faciliter la communication interne et externe sans pour autant faire l’économie des
       correspondances officielles qui restent nécessaires lorsque le CPAS est juridiquement
       engagé ;
     ✓ Mettre à disposition des agents un outil de travail performant à la pointe des nouvelles
       technologies ;
     ✓ Permettre le recours au télétravail dans des conditions optimales en matière de confort de
       connexion et de sécurité ;
     ✓ Encourager l’apprentissage et l’utilisation de ces nouvelles technologies, notamment par la
       formation.
La présente charte, qu’il appartient à toute personne ayant accès aux systèmes d’information du
CPAS de respecter, est adoptée dans le but :
     ✓ D’informer les utilisateurs des systèmes d’information du CPAS sur l’usage qu’ils peuvent
       faire des moyens informatiques et téléphoniques mis à leur disposition par le CPAS ;
     ✓ De garantir l’intégrité des systèmes d’information du CPAS ;
     ✓ De maintenir un environnement de travail professionnel ;
     ✓ De protéger les informations qui sont la propriété du CPAS ;
tout en garantissant l’équilibre des intérêts de chacun.
Elle est applicable à tout matériel ou tout support connecté aux systèmes d’information du CPAS
dont les PC, les photocopieurs, téléphones portables, PC portables, supports amovibles (clés USB,
disques durs externes, etc.), PC/tablettes, tablettes, télécopieurs, … (liste non exhaustive) qui permet
la production, la collecte, le traitement, la diffusion, l’enregistrement et le stockage de messages, de
données, d’images et de sons.

Version 18/08/2021                                                                            Page 4 sur 34
2.         Terminologie
Agent                         Tout travailleur, quelle que soit la nature de la relation contractuelle
                              ou statutaire qui le lie au CPAS.

Carte SIM (Subscriber         Carte d’accès au réseau de téléphonie mobile.
Identity Module)

Conseil de l’Action Sociale   Organe de décision du CPAS de Namur

Contrôle des systèmes         Action de procéder à une vérification des systèmes d’information et
d’information                 de leur utilisation.

Délégué à la protection       Personne chargée de la mission de délégué à la protection des
des données (DPD ou DPO       données (ou son suppléant).
en anglais

Dispositif mobile             Equipement capable de se connecter au réseau de téléphonie mobile,
                              notamment les GSM, smartphones, tablettes et ordinateurs.

Données personnelles          Toutes les données qui concernent une personne physique identifiée
                              ou identifiable.

IMEI » (International         Identifiant unique d’un terminal de téléphonie mobile. L’IMEI s’obtient
Mobile Equipment              en composant « *#06# » sur l’appareil de téléphonie mobile.
IdentityI)

Protection de la vie          Emanation du droit au respect de la vie privée. Droit pour chacun de
privée                        contrôler ses propres données, qu’elles soient privées, publiques ou
                              professionnelles.

Système d’information         Tout média permettant la production, la collecte, le traitement, la
                              diffusion, l’enregistrement et le stockage de messages, de données,
                              d’images et de sons.

Téléphonie et internet        Désigne les GSM, smartphones, tablettes, PC/tablettes, PC portables,
mobile                        ou tout autre appareil facilitant le déplacement et l’accessibilité de
                              l’agent.

Utilisateur                   Toute personne ayant officiellement accès, même ponctuellement,
                              aux systèmes d’information du CPAS (agents, conseillers, sous-
                              traitants, stagiaires, etc.).

Vie privée                    En la matière, il s’agit du droit pour l’individu de « savoir ce qui se sait
                              sur lui », de connaître les données le concernant qui sont détenues,
                              d’en maîtriser les circuits de communication, d’en contrecarrer les
                              utilisations abusives. La vie privée ne se réduit donc pas à une quête
                              de confidentialité, c’est la maîtrise par chacun de son image
                              informationnelle.

Version 18/08/2021                                                                              Page 5 sur 34
3.         Bases légales et documents de référence

3.1.       Principales législations concernées
           •     La Convention Européenne de sauvegarde des Droits de l’Homme et des Libertés
                 fondamentales.
           •     Les articles 19 et 22, notamment, de la Constitution.
           •     L’article 1384 du Code Civil portant sur la notion de responsabilité du fait d’autrui.
           •     Les articles 443 et suivants du Code Pénal relatifs à la calomnie et la diffamation.
           •     La Loi organique du 8 juillet 1976 des centres publics d’action sociale.
           •     La Loi du 3 juillet 1978 relative aux contrats de travail (mise à jour : MB du 19 avril
                 2019).
           •     La Loi du 30 juillet 1981 tendant à réprimer certains actes inspirés par le racisme ou la
                 xénophobie (MB 08/08/1981).
           •     La Loi du 8 août 1983 organisant un Registre national des personnes physiques (mise à
                 jour : MB du 31 décembre 2018).
           •     La Loi du 15 janvier 1990 organique de la BCSS (mise à jour : MB du 10 septembre
                 2018).
           •     La Loi du 21 mars 1991 portant réforme de certaines entreprises publiques
                 économiques (mise à jour : MB du 7 mai 2019).
           •     L’AR du 12 août 1993 relatif à l’organisation de la sécurité de l’information dans les
                 institutions de sécurité sociale (mises à jour : AR du 17 mars 2013 et du 21 décembre
                 2018).
           •     La Loi du 30 juin 1994 relative à la protection de la vie privée contre les écoutes, la
                 prise de connaissance et l’enregistrement de communications et de
                 télécommunications privées (mise à jour : MB du 10 mai 1995).
           •     La Loi du 30 juin 1994 transposant la directive européenne du 14 mai 1991 sur la
                 protection juridique des programmes d’ordinateur.
           •     La Loi du 23 mars 1995 contre le négationnisme (MB 30/03/1995) ;
           •     L’AR du 4 février 1997 organisant la communication des données entre institutions de
                 sécurité sociale (mise à jour : MB du 27 décembre 2004).
           •     La Loi du 28 novembre 2000 en matière de criminalité informatique.
           •     La Loi du 11 juin 2002 relative à la protection contre la violence et le harcèlement
                 moral et sexuel au travail (mise à jour : MB du 6 juin 2007).
           •     La Loi du 13 juin 2005 relative aux communications électroniques (mise à jour : MB du
                 30 mars 2018).
           •     La Loi du 10 mai 2007 tendant à lutter contre certaines formes de discrimination (MB
                 30/05/2007).
           •     La Charte des droits fondamentaux de l’Union Européenne du 26 octobre 2012.

Version 18/08/2021                                                                                Page 6 sur 34
•     La Loi du 19 avril 2014 portant entre autres sur le droit d’auteur et les droits voisins
                 (mise à jour : MB du 30 octobre 2015) ;
           •     Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
                 relatif à la protection des personnes physiques à l’égard du traitement des données à
                 caractère personnel et à la libre circulation de ces données (RGPD).
           •     La Loi du 21 juillet 2016 mettant en œuvre et complétant le règlement (UE) n°
                 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l'identification
                 électronique et les services de confiance pour les transactions électroniques au sein du
                 marché intérieur.
           •     La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des
                 traitements de données à caractère personnel (MB du 05/09/2018).
           •     La Loi du 5 septembre 2018 instituant le comité de sécurité de l’information et
                 modifiant diverses lois concernant la mise en œuvre du RGPD.

3.2.       Recommandations
           •     La recommandation N°8/2012 du 2 mai 2012 de la Commission de la protection de la
                 vie privée relative au contrôle de l’employeur quant à l’utilisation des outils de
                 communication électronique sur le lieu de travail.
           •     Politique de sécurité de l’information & vie privée : télétravail sécurisé
                 (securitesociale.be – version du 7 mars 2017).

Version 18/08/2021                                                                             Page 7 sur 34
4.         Responsabilités

4.1.       En général
Le téléphone d’entreprise et le matériel informatique (matériel et logiciel) sont des outils de travail
qui appartiennent au CPAS et qui sont mis à la disposition des utilisateurs.
Tout équipement mis à disposition doit être géré en bon père de famille.
Chaque utilisateur
     ✓ Est responsable de l’usage professionnel des moyens informatiques et téléphoniques mis à sa
       disposition ;
     ✓ Veille à l’intégrité de ses outils de travail ;
     ✓ Veille à ne pas gêner les autres utilisateurs, de même que la bonne conduite des activités du
       CPAS, par une utilisation excessive des ressources, notamment lors du transfert
       d’information avec l’extérieur, sur le réseau interne ou sur les espaces de stockage.
Chaque utilisateur est détenteur d’un code d’accès personnel et unique qu’il ne peut communiquer.
Sauf exceptions prévue par la loi ou la présente charte, il est interdit d’accéder à des données d’un
utilisateur sans son autorisation.

4.2.       Responsable du traitement
Le responsable du traitement des données de télécommunication en réseau visées par la présente
charte est le Conseil de l’Action Sociale, dont les représentants légaux sont le Président et le
Directeur général.

5.         Confidentialité
Pour rappel, conformément aux articles 36 al. 2 et 50 de la Loi Organique, les conseillers et les
membres du personnel du CPAS sont tenus au secret. Cette obligation de secret s’applique bien
évidemment lorsque ceux-ci sont utilisateurs des systèmes d’information du CPAS.
Sauf dans le cas d’exceptions prévues par la loi, l’utilisateur s'engage à ne divulguer aucune
information concernant les activités du CPAS, ni aucune donnée relative aux bénéficiaires dont il
pourrait avoir connaissance dans l'accomplissement de ses fonctions et qui serait de nature à porter
préjudice au CPAS.
Cette obligation de confidentialité s'applique tant à l'égard des tiers que des agents.
Elle gardera tous ses effets pendant toute la durée de la relation de travail et se prolongera après la
rupture de celui-ci pour quelque motif que ce soit.

6.         Déontologie
Le Conseil de l’Action Sociale désigne les agents qui sont habilités, en vertu des présentes
dispositions, à exercer une mission de contrôle et d’examen. La liste des agents désignés est
approuvée par le Conseil de l’Action Sociale.
Ces agents ne pourront accéder qu’aux seules données dont ils ont besoin pour l’exercice de cette
mission et ne pourront les communiquer que dans le respect des procédures écrites se rapportant à
leur mission.

Version 18/08/2021                                                                           Page 8 sur 34
Dans le cadre de l’exercice de cette mission, ils sont tenus à un devoir de confidentialité et
s’exposent à des sanctions en cas de violation de celui-ci.
Les administrateurs systèmes et les personnes disposant de privilèges avancés sur les systèmes
d’information sont tenus de signer le code de déontologie spécifique à leur mission.
Le Délégué à la protection des données (DPD), quant à lui, sera tenu de respecter le code de
déontologie des Délégués à la protection des données dès sa publication par l’Autorité de Protection
des Données (APD).

7.         Droits de l’utilisateur
Conformément au Règlement européen relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »),
l’utilisateur des systèmes d’information du CPAS, en tant que personne concernée dont le CPAS traite
des données à caractère personnel, dispose de différents droits sur ses données.
     ✓ Le droit d’accès et de regard
     ✓ Le droit de rectifier ou de compléter
     ✓ Le droit à l’effacement (« droit à l’oubli »)
     ✓ Le droit de limiter le traitement
     ✓ Le droit de retirer son consentement
     ✓ Le droit à la portabilité de ses données
Afin d’exercer ses droits, l’utilisateur est invité à compléter le « Formulaire de demande d’exercice
des droits sur vos données à caractère personnel » disponible dans la rubrique « RGPD » de l’intranet
et sur le site du CPAS.

Version 18/08/2021                                                                         Page 9 sur 34
8.         Utilisation des systèmes d’information

8.1.       Utilisation des comptes utilisateurs, des e-mails
           professionnels et d’internet

8.1.1. Gestion des accès par login et mots de passe
Tout utilisateur disposant d’un accès aux systèmes d’information du CPAS reçoit un/des login pour
lequel il choisit un mot de passe.
Il est interdit de communiquer tout mot de passe, ainsi que de tenter de décrypter ou de découvrir
un mot de passe d’un autre utilisateur.
Dans le cadre de leur gestion des systèmes et des applications, le département Informatique peut
transmettre des mots de passe temporaires aux utilisateurs. Il s’assure de la transmission
confidentielle de ces mots de passe.
Les utilisateurs peuvent changer ou réinitialiser leur mot de passe à tout moment. Pour des raisons
de sécurité, l’organisation interne impose cependant un changement de mot de passe tous les 30
jours.

8.1.1.1. Politique du mot de passe
Chaque utilisateur est identifié dans le réseau du CPAS par deux éléments :
     ✓ Son UID (user identification), c’est-à-dire son nom d’utilisateur ;
     ✓ Son mot de passe.

Quelques règles s’appliquent aux mots de passe afin de les sécuriser :
     ✓ Le mot de passe est strictement personnel, il ne peut être confié à un tiers ;
     ✓ Un mot de passe est unique, il est vivement conseillé de ne pas utiliser deux fois un même
       code, ni de les réutiliser, mais bien de les renouveler ;
     ✓ Un mot de passe doit être changé régulièrement. Pour rappel, la périodicité définie au sein
       du CPAS est de 30 jours ;
     ✓ L’idéal est de disposer d’un mot de passe difficile à trouver mais facile à retenir (voir à ce
       sujet le chapitre « Conseils pratiques pour un bon mot de passe ») ;
     ✓ L’utilisateur évitera d’inscrire son mot de passe sur son sous-main ou sur un petit papier collé
       au PC, ainsi que dans un fichier électronique ;
     ✓ L’utilisateur n’utilisera pas un programme permettant de se rappeler ses mots de passe à
       tout moment (ces programmes sont souvent des utilitaires pouvant eux-mêmes être utilisés
       par l’extérieur pour trouver vos mots de passe) ;
     ✓ L’utilisateur, lorsqu’il quitte, même temporairement, son poste de travail, activera son écran
       de veille désactivable uniquement en introduisant son mot de passe ;
     ✓ L’utilisateur veillera à ne pas taper son mot de passe devant une personne susceptible de le
       lire ;
     ✓ Il est interdit, par quelque moyen que ce soit, de tenter de connaître ou de voler le mot de
       passe d’une autre personne ;

Version 18/08/2021                                                                          Page 10 sur 34
✓ Lorsqu’un mot de passe est utilisé fautivement 5 fois de suite, l’accès aux systèmes ou aux
      programmes est bloqué. Le mot de passe se déverrouille automatiquement après 15
      minutes.
Il est interdit d’exiger d’un utilisateur qu’il communique son ou ses mots de passe pour quelque
raison que ce soit.
Si la situation se présente, l’utilisateur est invité à prendre contact avec le Délégué à la protection
des données (DPD).
Les utilisateurs qui ont accès à une boîte mail générique utilisent leur propre login et mot de passe
pour s’y connecter.

8.1.1.2. Règles pour le mot de passe
Il est recommandé d’utiliser des mots de passe complexes ayant les caractéristiques suivantes :
          ✓    Minimum 8 caractères
          ✓    Au moins un caractère alphabétique
          ✓    Au moins un caractère numérique
          ✓    Au moins un caractère spécial
          Rem. : évitez les lettres avec accent (é, è, ê, ë, ...)

8.1.1.3. Conseils pratiques pour un bon mot de passe

Mots de passe à éviter :
         ✓     Votre numéro de téléphone
         ✓     Votre nom ou prénom
         ✓     Votre numéro de plaque minéralogique
         ✓     Votre numéro de sécurité sociale
         ✓     Votre surnom
         ✓     Le nom de votre conjoint(e)
         ✓     Le nom de votre animal domestique : chien, chat, …

Un bon mot de passe ne figure pas non plus dans
         ✓     Un dictionnaire
         ✓     Une revue
         ✓     Un recueil de bons mots
         ✓     Un recueil de prénoms
         ✓     Un fichier ou listing informatique

Quelques astuces
         Le titre d’un livre ou d’un film
         Exemple : Alice au pays des merveilles
         En prenant la première lettre de chaque mot de ce titre peut être extrait le mot de passe
         suivant : aapdm.
         Comme ce mot de passe est toutefois trop facile à casser par un pirate et qu’il devra être
         changé tous les 30 jours, on lui rajoute un chiffre ou une séquence.
         Exemple : aapdm0803 (mois et année), aapdm3803 (numéro de la semaine et année).

Version 18/08/2021                                                                          Page 11 sur 34
Pour répondre aux normes de sécurité, on rajoute $. Exemple : aapdm3803$. On peut
         naturellement compliquer le mot de passe à volonté en prenant la deuxième lettre de
         chaque mot ou les deux premières lettres de chaque mot.
         Le cryptage maison
         On peut appliquer une autre technique très simple. En choisissant le titre d’un film ou d’un
         livre, on prend la première lettre de chaque mot et on intercale le nombre de lettres de
         chaque mot.
         Exemple : Voyage Autour De Ma Chambre (de Xavier de Maistre) donnera le mot de passe
         suivant : v6a6d2m2c7.
         Une autre possibilité est vadmc66227 et rajouter un symbole tel que +, $, =, …
         Evitez de former un mot ayant une signification car les logiciels utilisés par les pirates
         utilisent des dictionnaires.
         L’association
         L’association des mots peut également être utilisée pour élaborer un mot de passe mais il
         faudra veiller à le compliquer.
         Exemple : lavitaebella devra être complété avec des signes : la+vita-e/bella*, mot de passe
         auquel des chiffres devront être rajoutés.
         A noter que la fiabilité de ce mot de passe n’est pas la meilleure.
         La simplification
         Cette technique consiste à supprimer toutes les lettres en double dans un mot.
         Exemple : « serveur » devient « servu » auquel on peut rajouter les chiffres suivants : nombre
         de lettres du mot serveur et nombre de lettres du mot de passe ainsi que l’année et le
         symbole, ce qui donne : servu7503*

Conclusion
A chaque agent de trouver la combinaison qui lui semble la plus facile à retenir sans jamais oublier
qu’aucun mot de passe n’est inviolable.
Néanmoins, si les conseils ci-dessus sont appliqués, le mot de passe résistera plus longtemps au
pirate.

8.1.2. Localisation des données professionnelles
L’ensemble des données en lien avec votre pratique professionnelle (informations, fichiers,
documents, …) doivent obligatoirement être placées sur le disque dur du serveur central (dans un
répertoire du « L : ») ou au sein d’outils dédiés (gestion documentaire, logiciels métiers, services
internes, …).
Cette localisation de vos données professionnelles permet
    ✓ Une sauvegarde centralisée et systématique des données de l’institution ;
    ✓ De limiter le risque de fuite de données en cas de vol ou de perte de votre PC.
Les agents sont autorisés à conserver une quantité « raisonnable » de données privées sur le disque
local (le « C: » ) de leur PC. Il est recommandé de les placer dans un répertoire avec la mention
« privé ».

Version 18/08/2021                                                                          Page 12 sur 34
8.1.3. Fermeture régulière des outils connectés
Il est essentiel de fermer régulièrement (a priori chaque jour en quittant son poste de travail) les
outils connectés aux systèmes d’information du CPAS afin de permettre les sauvegardes et
l’installation des mises à jour.

8.1.4. Pratiques non autorisées
Les comportements suivants en lien avec les systèmes d’informations du CPAS de Namur sont
interdits (liste non exhaustive) :
✓    Contourner les systèmes d’accès sécurisés du CPAS de Namur en vue d’accéder à des sites non
     autorisés dont l’accès a été bloqué ;
✓    Connecter du matériel mis à disposition par le CPAS à un réseau non géré par le CPAS ou à du
     matériel qui ne lui appartient pas (en ce compris les clés USB non fournies par le CPAS). Ces
     interdictions ne s’appliquent pas aux membres du personnel et aux mandataires utilisateurs
     titulaires d’un équipement mobile mis à leur disposition par le Conseil de l’Action Sociale dans le
     cadre de leur activité professionnelle (télétravail, gardes, …) ou de leur mandat ;
✓    Exécuter volontairement des programmes non fournis ou validés par le département
     Informatique sur du matériel mis à disposition par le CPAS ;
✓    Copier les logiciels installés par le CPAS ou en modifier les configurations ;
✓    Consulter/diffuser des flux audio/vidéo à partir du réseau internet (streaming) à d’autres fins
     que professionnelles (ex. : suivre un webinaire en ligne est autorisé, regarder Rolland-Garros ne
     l’est pas !) ;
✓    Diffuser ou télécharger des données protégées par le droit d’auteur, en violation des lois
     protégeant le droit d’auteur ;
✓    Retransmettre des messages électroniques en l’absence de but professionnel légitime, dans des
     circonstances de nature à porter préjudice au CPAS ou à l’auteur du message originel ;
✓    Envoyer des messages ou consulter des sites internet dont le contenu est susceptible de porter
     atteinte à la dignité d’autrui, notamment l’envoi de messages ou la consultation de sites
     racistes, révisionnistes, érotiques ou pornographiques, de même que les sites prônant la
     discrimination sur base du genre, de l’orientation sexuelle, du handicap, de la religion, des
     convictions philosophiques ou politiques d’une personne ou d’un groupe de personnes ;
✓    Consulter des sites de jeux ;
✓    Diffuser des informations confidentielles relatives au CPAS, à ses partenaires ou aux agents, sauf
     dans le cadre strict de la conduite des dossiers du CPAS ;
✓    Utiliser les systèmes d’information du CPAS dans le cadre d’une activité professionnelle ou
     politique étrangère à la relation de travail liant l’utilisateur au CPAS ;
✓    Commander des biens et services destinés à la vie privée (biens de consommation, placements
     boursiers, etc.) ;
✓    Participer, au départ de l’infrastructure du CPAS, à un « forum de discussion » qui n’est pas
     professionnel ;
✓    Envoyer et/ou, en cas de réception, ouvrir des fichiers exécutables (fichier .exe), de même que
     télécharger de tels programmes ;
✓    Participer à des « chaînes de lettres », « pyramides » et procédés analogues ;

Version 18/08/2021                                                                           Page 13 sur 34
✓    Plus généralement, utiliser les systèmes d’information dans le cadre d’une activité illégale,
     quelle qu’elle soit.

8.1.5. Utilisation d’internet

8.1.5.1. Recommandations générales
Les recommandations suivantes pour une bonne utilisation d’internet sont à appliquer :
    ✓ Aucun agent ne peut s’exprimer, au nom du CPAS, pour une prise de position politique,
      religieuse, syndicale, sexiste, etc. ;
    ✓ Aucun agent ne peut utiliser internet en vue de nuire à autrui ou de dénigrer le CPAS :
      réseaux sociaux, etc. ;
    ✓ Aucun agent ne peut copier les données appartenant au CPAS chez des tiers ;
    ✓ Tout agent qui prend connaissance de faits, textes, images, etc. nuisibles pour le CPAS a
      l’obligation d’en informer le Délégué à la protection des données (DPD) qui, en collaboration
      avec le ou les département(s) concerné(s), évaluera les risques et assurera le suivi.

8.1.5.2. L’usage privé
Le Conseil de l’Action Sociale tolère l’usage d’internet, à des fins privées, sans autorisation spécifique
de la part du supérieur hiérarchique.
L’accès à internet à des fins privées doit cependant répondre aux conditions suivantes :
    ✓ Il doit être occasionnel ;
    ✓ Il ne peut constituer une infraction à la présente instruction et, de façon générale, ne peut
      contrevenir aux dispositions légales.

8.1.6. Utilisation de l’e-mail professionnel

8.1.6.1. L’e-mail professionnel nominatif
L’agent qui utilise l’e-mail avec son adresse nominative veillera à ce que le contenu soit strictement
professionnel.
Lors de la création du compte de l’agent (à son entrée en service), le service informatique génère une
signature automatique sur base du modèle défini par l’institution.
Les informations reprises dans cette signature automatique des e-mails professionnels (nom,
prénom, fonction, téléphone, fax, adresse, etc.) doivent être tenues à jour par l’agent ou son chef de
service, ce qui se fait via l’onglet « signature » dans Outlook.
Cette signature automatique sera insérée dans tout échange de mails professionnels.
Les agents qui, en raison de leur fonction, envoient des e-mails en lieu et place d’un autre agent,
signent l’e-mail en leur nom propre avec la mention « Pour XX ».

8.1.6.2. L’e-mail générique
Chaque service reçoit une adresse générique du type info@cpasnamur.be, smd@cpasnamur.be, …
Cette adresse est liée, au minimum, au compte d’un agent actif du service concerné. Chaque
responsable de service veillera à exposer la procédure choisie pour son service.
Il est cependant conseillé de privilégier cette adresse dans les en-têtes de courrier et ainsi assurer un
suivi de toute correspondance.

Version 18/08/2021                                                                            Page 14 sur 34
8.1.6.3. En cas d’absence de l’agent

Absence prévue
L’agent veillera à activer le gestionnaire d’absence, en respectant les recommandations reprises ci-
dessous :
    ✓    Pensez que le message pourrait aussi être lu par l’extérieur ;
    ✓    Indiquez le nom complet du collègue de contact ;
    ✓    Indiquez le numéro de téléphone complet, ainsi que l’adresse électronique de contact ;
    ✓    Le message doit être professionnel : évitez « Je suis en congé ; Je suis au soleil ; … » ;
    ✓    Le message doit être mis à jour à chaque absence : les dates !
    ✓    Le gestionnaire d’absence doit être désactivé dès le retour de l’agent ;
    ✓    L’agent qui reçoit le message d’absence erroné d’un autre agent ne manquera pas de lui
         signaler pour correction.

Absence non planifiée
En cas d’absence non planifiée de l’agent, une procédure de réponse automatique d’absence sera
installée, à la demande écrite du responsable de service, par le département Informatique. Cette
procédure n’impose pas au département Informatique de pénétrer dans la messagerie de l’agent
concerné.
Les demandes sont à adresser avec l’adresse tech@cpasnamur.be (adresse générique de la cellule
technique du département Informatique) accompagnées d’un texte pré-rédigé par le responsable de
service sur le modèle repris ci-dessous :
         Bonjour,
         M./Mme X…………… est actuellement absent(e).
         Merci d’envoyer vos courriels à l’adresse suivante : ……………………….
         Pour toute urgence, vous pouvez également appeler le ………………………….
         D’avance, merci et bonne journée.
         Signature du Chef de service

Absence et continuité du service
En tant qu’employeur, le CPAS doit pouvoir gérer les communications de son organisation et assurer
la continuité du service.
Pour ce faire, en cas d’absence non planifiée d’un agent, le Directeur général peut déléguer, sur base
d’une demande écrite motivée de la ligne hiérarchique, l’accès à la messagerie de l’agent absent à
son responsable hiérarchique ou à un autre membre de son service.
Cette procédure impose au département Informatique de pénétrer dans la messagerie
professionnelle de l’agent concerné.
Il faut préciser que cette situation n’entre pas dans le cadre d’un examen suite à une anomalie ou
d’un contrôle.

Version 18/08/2021                                                                         Page 15 sur 34
8.1.6.4. Procédure de clôture de la messagerie électronique au départ définitif
         d’un agent
     Remarque 1
     Cette procédure concerne uniquement le cas des agents en sortie définitive. En cas d’absence
     temporaire d’un agent (absence de longue durée pour convenance personnelle ou raisons
     familiales, interruption de carrière, …), le compte de l’agent sera seulement suspendu avec
     possibilité de générer un message d’absence.

Avant le départ de l’agent
Le chef de service de l’agent
    ✓ Informe l’agent que son compte sera désactivé à son départ et qu’il n’aura dès lors plus accès
      à sa messagerie du CPAS.
    ✓ Invite l’agent à reprendre ou effacer ses mails privés avant son départ.
    ✓ Collabore avec l’agent afin que le contenu de sa messagerie potentiellement utile au suivi des
      activités du service soit transféré à qui de droit.
    ✓ Prépare avec l’agent un message automatique qui avertira tout correspondant ultérieur du
      fait que la personne concernée n’exerce plus ses fonctions au sein de l’entreprise et
      renseignera les coordonnées de la personne (ou l’adresse électronique générique) à
      contacter en ses lieu et place.
         Exemple :
                     Bonjour,
                     Je ne travaille plus au sein du service …. du CPAS de Namur depuis ce ….
                     Merci d’envoyer vos courriels à l’adresse suivante : ……………………….
                     Bien à vous,
                     [Prénom et nom de l’agent]

Au moment du départ de l’agent
    ✓ L’agent ou son chef de service active le message automatique avertissant du départ de
      l’agent et réorientant les correspondants vers une nouvelle adresse de contact.
    ✓ Le service informatique désactive le compte de l’agent.
          L’agent parti n’a plus accès à son mail.
          Il est toujours possible d’envoyer des mails à son adresse (avec le message de départ
            en retour de mail).
     Remarque 2
     Afin d’assurer la continuité des activités de l’organisation, le CPAS de Namur a fait le choix de
     systématiquement maintenir les messageries des agents en sortie définitive actives pendant 1 à
     3 mois avec renvoi automatique d’un message avertissant du départ de l’agent.
     Durant cette période où le compte de l’agent sorti est désactivé mais sa messagerie toujours
     connectée, la messagerie et son contenu ne seront ni ouverts ni consultés, sauf situations
     exceptionnelles validées et encadrées par la direction générale.
     Remarque 3
     En cas de situation exceptionnelle et potentiellement litigieuse (licenciement, démission,
     disparition, conflit interpersonnel, …), l’intervention d’une personne de confiance (le DPD ou
     toute autre personne désignée par la direction générale en fonction des circonstances) est
     recommandée pour accompagner les différentes étapes de clôture de la messagerie
     électronique.

Version 18/08/2021                                                                              Page 16 sur 34
Après le départ de l’agent
Après 1 mois (ou 3 mois à la demande du chef de service de l’agent sortant)
    ✓ Le service informatique déconnecte la messagerie.
         Il n’est plus possible d’envoyer un mail à cette adresse (le correspondant reçoit un
            message d’erreur quand il envoie un mail à cette adresse).
         Les mails reçus avant la déconnection sont toujours stockés sur le serveur.
     Remarque 4
     Les mails stockés sur le serveur ne seront ni ouverts ni transmis, sauf situations exceptionnelles
     validées et encadrées par la direction générale.
Après 1 an
    ✓ Le service informatique supprime de manière définitive les mails des messageries
      déconnectées pour sortie définitive depuis minimum 1 an.
     Remarque 5

                          Si les mails d’un agent en sortie définitive devaient être conservés au-delà
                          du délai d’un an pour une quelconque raison (continuité du service,
                          contentieux, …), il est impératif d’en avertir le service informatique dans les
                          meilleurs délais via l’adresse tech@cpasnamur.be avec un justificatif. Cette
                          procédure lourde pour le service informatique doit être réservée à des cas
                          exceptionnels.

8.1.6.5. Responsabilité et réactivité
Pour tout suivi des messages, l’agent laissera le disclaimer (clauses de non-responsabilité qui
s’insèrent automatiquement à la fin de tout mail envoyé hors de l’organisation depuis une boîte mail
du CPAS) choisi par le CPAS.
L’agent qui reçoit des messages dont le contenu est interdit ou interpellant est tenu de l’envoyer au
département Informatique pour analyse via l’adresse tech@cpasnamur.be (adresse générique de la
cellule technique du département Informatique).
L’agent qui reçoit un message qui ne lui est pas destiné est tenu d’en respecter la confidentialité, de
le supprimer et d‘avertir son expéditeur.
L’agent qui a envoyé un message contenant des données à caractère personnel à un ou plusieurs
destinataires interne(s) et/ou externe(s) au CPAS auquel/auxquels ces données n’étaient pas
destinées doit, sans aucun délai :
    ✓ Prévenir le/les destinataire(s) qu’il a/ont reçu un message qui ne leur était pas destiné en
      lui/leur demandant de le détruire et de confirmer cette destruction par écrit ;
    ✓ Prévenir le Délégué à la protection des données (dpd@cpasnamur.be – 081/33.73.40) de
      cette fuite de données à caractère personnel.

Version 18/08/2021                                                                           Page 17 sur 34
8.1.6.6. L’e-mail privé
Le Conseil de l’Action Sociale tolère un usage non-professionnel de l’e-mail dans les limites décrites
ci-dessous.

Ce qui est toléré
Le Conseil de l’Action Sociale tolère l’usage exceptionnel et de brève durée, à des fins privées, du
système de messagerie électronique pour envoyer et recevoir des e-mails, à condition que cet
usage :
    ✓ Soit occasionnel ;
    ✓ N’entrave en rien le bon fonctionnement du CPAS, la productivité et les relations sociales au
      sein du CPAS, ainsi que les relations extérieures au CPAS ;
    ✓ Et qu’il ne constitue pas une infraction aux présentes instructions et aux dispositions légales
      et réglementaires.
Si l’agent fait usage de cette faculté, il est tenu d’indiquer, dans l’objet du message, que celui-ci a un
caractère privé. Il doit en outre supprimer, dans le corps du message, toute mention relative au CPAS
(telle que la signature automatique) et toute autre indication qui pourrait laisser croire que le
message est rédigé par l’agent dans le cadre de l’exercice de ses fonctions.
L’agent veillera à ne pas surcharger sa messagerie professionnelle par des éléments qui relèvent de
la sphère privée (ex : photographies numériques personnelles, contenus multimédias, etc.)
Tout mail avec l’objet « Privé » sera :
    ✓ Soit supprimé automatiquement des éléments envoyés et de la boîte de réception ;
    ✓ Soit placé dans un répertoire de l’arborescence appelé « Privé ».

Ce qui est interdit
L’adresse e-mail du CPAS (prénom.nom@cpasnamur.be) ne peut être utilisée pour se référencer ou
s’inscrire sur des sites ou à des applications sans lien avec l’activité professionnelle.

8.1.6.7. L’e-mail syndical
Le Conseil de l’Action Sociale accepte que les organisations syndicales et leurs délégués fassent usage
de l’e-mail en vue de la diffusion d’informations entre eux, à leurs affiliés ou au Conseil de l’Action
Sociale.
Si les syndicats font usage de cette faculté, ils sont tenus d’indiquer, dans l’objet du message, que
celui-ci a un caractère syndical. Ils doivent en outre supprimer, dans le corps du message, toute
mention relative au CPAS (telle que la signature automatique) et toute autre indication qui pourrait
laisser croire que le message est rédigé par l’agent dans le cadre de l’exercice de ses fonctions.
Tout mail avec l’objet « Syndical » sera – pour les syndicats comme pour les affiliés : placé dans un
répertoire de l’arborescence appelé « Syndicat ».

Version 18/08/2021                                                                            Page 18 sur 34
8.2.       Utilisation de la téléphonie fixe, de la téléphonie mobile et
           des cartes SIM

8.2.1. Utilisation de la téléphonie fixe

8.2.1.1. Les communications tolérées
Le Conseil de l’Action Sociale tolère l’usage de la téléphonie, à des fins privées, sans autorisation
spécifique de la part du supérieur hiérarchique.
    ✓ L’utilisation du téléphone pour des fins privées doit répondre à une nécessité impérieuse. Par
      nécessité impérieuse, on vise les actes de gestion personnelle qui concernent la santé ou le
      patrimoine de l’agent ou des membres de sa famille et qu’il est impossible d’accomplir en
      dehors des heures de travail ;
    ✓ L’utilisation du téléphone ne peut entraver la bonne conduite des activités du CPAS ;
    ✓ L’agent est autorisé à recevoir sur son lieu de travail des communications téléphoniques
      personnelles pour autant que celles-ci n’entravent pas la bonne conduite des activités du
      CPAS ;
    ✓ L’usage des numéros 1307 (renseignements nationaux) et 1304 (renseignements
      internationaux) afin d’obtenir un numéro de téléphone est toléré. Il y a cependant lieu de
      privilégier la consultation d’un site internet approprié (ex : infobel.be, 1307.be) ;
    ✓ Il convient d’éviter, dans la mesure du possible, la déviation des communications d’un poste
      fixe vers un GSM lorsque l’agent se trouve dans le bâtiment du CPAS ;
    ✓ Seuls certains agents bénéficient de la possibilité technique et de l’autorisation de passer des
      communications téléphoniques à l’étranger lorsque cela s’avère nécessaire en raison de leur
      fonction. Ces derniers doivent veiller à activer leur code de blocage en cas d’absence.
      Pour les autres agents, toute communication téléphonique vers l’étranger se fait par
      l’intermédiaire de l’accueil ou, s’il existe, via le poste téléphonique prévu à cet effet au sein
      de leur département.

8.2.1.2. Les communications interdites
Lors de l’utilisation du téléphone, toute communication téléphonique vers un numéro
payant/surtaxé (n° commençant par 0900 et 070) est strictement interdite sauf si l’utilisation est
strictement professionnelle et admise par le CPAS (ex. : appel à Card Stop dans le cadre du suivi d’un
bénéficiaire).
En outre, est pénalement réprimée :
    ✓ Toute communication téléphonique qui est de nature à porter atteinte directement ou
      indirectement à la dignité d’autrui, qu’elle se réfère au genre, à l’orientation sexuelle, à l’état
      civil, à la naissance, à la fortune, à l’âge, au handicap, à la religion, aux convictions
      philosophiques, à l’état de santé ou à une caractéristique physique d’une personne ou
      groupe de personnes ;
    ✓ Toute communication qui entre dans le champ d’application de l’article 442 bis du Code
      pénal relatif au harcèlement et/ou de la loi du 11 juin 2002 relative à la protection contre la
      violence et le harcèlement moral ou sexuel au travail ;
    ✓ Plus largement, toute communication dont l’objet est visé par le Code pénal.

Version 18/08/2021                                                                           Page 19 sur 34
8.2.2. Utilisation de la téléphonie mobile et de la carte SIM

8.2.2.1. Mise à disposition des dispositifs mobiles équipés de cartes SIM
Les dispositifs mobiles et cartes SIM mis à disposition restent la propriété du CPAS.
Le titulaire d’un dispositif équipé d’une carte SIM appartenant au CPAS signe un accusé de réception
de la carte SIM et du dispositif mobile mis à disposition.

GSM et smartphones

GSM ou smartphone individuel
Un GSM ou un smartphone équipé d’une carte SIM sont mis à la disposition des agents désignés
nommément par le Directeur général sur base d’une proposition motivée du responsable de service
de l’agent concerné.
Avec un smartphone, est fourni l’abonnement à la téléphonie mobile « premier prix » comprenant
des data.
Avec un GSM, est fourni l’abonnement à la téléphonie mobile « premier prix » sans data.
Si des besoins spécifiques supplémentaires sont établis et validés par le responsable de service de
l’agent concerné et le Directeur général, un autre type d’abonnement plus approprié aux besoins
professionnels de l’agent peut être attribué.
L’adéquation de l’abonnement aux besoins peut à tout moment être vérifiée et adaptée par
l’institution.

GSM ou smartphone de service
La décision de mise à disposition d’un GSM/smartphone de service doit être validée par le Directeur
général.
Le choix de l’abonnement se fera sur base des besoins établis par le responsable de service et validés
par le Directeur général.
Le GSM/smartphone est sous la responsabilité du chef de service.

Tablettes et ordinateurs
Une tablette ou un ordinateur équipé d’une carte SIM sont mis à la disposition des agents désignés
nommément par le Directeur général sur base d’une proposition motivée du responsable de service
de l’agent concerné.
Le choix de l’abonnement lié à la carte SIM se fera sur base des besoins établis par le responsable de
service et validés par le Directeur général.

Carte SIM et abonnements fournis sans dispositif mobile
Des cartes SIM et/ou abonnements peuvent également être mis à disposition pour des besoins
professionnels sans être associés à un dispositif mobile fourni par le CPAS.
Comme lorsqu’ils sont fournis avec un équipement mobile, ces dispositifs sont mis à disposition sur
base d’une proposition motivée du responsable de service de l’agent concerné validée par le
Directeur général et en fonction de besoins établis et validés.

Version 18/08/2021                                                                         Page 20 sur 34
Vous pouvez aussi lire