CHARTE de DEONTOLOGIE du SERVICE INFORMATIQUE Cadre

CHARTE de DEONTOLOGIE du SERVICE INFORMATIQUE
Préambule
La fourniture des services liés aux technologies de l’information et de la
communication s’inscrit dans la mission de service public de l’Education Nationale.
Pour en assurer le fonctionnement, des agents employés spécifiquement
(dénommées « administrateurs ») sont amenés à effectuer diverses opérations
techniques pour fournir un service de qualité aux utilisateurs.
Ces opérations peuvent conduire les administrateurs à prendre connaissance
d’informations de nature confidentielle, et doivent faire ceci en respectant les droits
fondamentaux de l’utilisateur (protection des données personnelles, vie privée, secret
des correspondances).
Aussi après avoir précisé le cadre technique de l’intervention des
administrateurs, cette charte définira le cadre juridique de l’intervention des
administrateurs.
Cadre technique d’intervention
A. Les personnes
Les administrateurs sont autant de personnes différentes qui interviennent sur
plusieurs éléments d’un système informatique :
à les postes de travail individuels
à les bases de données
à le système d’exploitation du domaine
à le réseau
à les applications (serveur/client)
à la téléphonie
B. Les missions
1. Assurer un service de qualité aux utilisateurs
Page 1 sur 13
Les administrateurs ont la charge de la bonne qualité du service fourni aux
utilisateurs dans la limite des moyens alloués. Ils ont aussi le devoir d’assurer
l’intégrité, la disponibilité et la confidentialité des données échangées ou accessibles
depuis le réseau informatique de l’Université.
Aussi ils ont le droit :
• D’entreprendre toute démarche nécessaire au bon fonctionnement des
ressources informatiques de l’Université, et d’accéder à tout type
d’information nécessaire à l’accomplissement de leur mission.
• D’accéder à toute information utile à des fins de diagnostic et
d’administration du système, en s’interdisant scrupuleusement de
divulguer ces informations.
• D’établir des procédures de surveillance de toutes les tâches
exécutées sur la machine, afin de déceler les anomalies, après
autorisation du responsable fonctionnel et en relation avec le
responsable de la sécurité informatique de l’Université (ou son
suppléant).
2. Transparence des opérations effectuées
Les administrateurs ont le devoir d’informer, dans la mesure du possible, les
utilisateurs de toute intervention nécessaire, susceptible de perturber ou
d’interrompre l’utilisation habituelle des moyens informatiques.
De même ils s’engagent à informer l’utilisateur de toute opération inhabituelle
tendant à accéder à ses données personnelles, directes ou indirectes, sur son poste
informatique, et des motifs l’y autorisant conformément à l’exercice de ses missions
(sauf au cas où la discrétion des opérations est imposée par les autorités judiciaires).
3. Chaîne d’alerte
Les administrateurs ont le devoir d’informer immédiatement le responsable de
la sécurité informatique de l’Université (ou son suppléant) de toute tentative
d’intrusion sur un système, ou de tout comportement d’utilisateur pouvant
compromettre la sécurité du système informatique de l’Université, dont il aurait eu
connaissance pendant l’exercice de ses missions.
4. Sensibilisation des utilisateurs
Les administrateurs ont le devoir de sensibiliser les utilisateurs :
a) rappeler les principes d’usage du réseau RENATER à tout utilisateur semblant les
méconnaître1 ;
b) informer les utilisateurs des consignes techniques de sécurité à mettre en œuvre
afin de préserver le système informatique général et individuel ;
1
Principes d’usage résumés en annexe RENATER
Page 2 sur 13
c) sensibiliser aux risques juridiques encourus par l’Université et eux-mêmes du fait
de leur comportement (installation de logiciels sans licence, copies de sauvegarde
sans autorisation, usage illégal ou non conforme des ressources informatiques).
C. Les moyens
1. Les sauvegardes automatiques
Chaque application utilisée par l’Université pour sa gestion génère des fichiers
de données informatisées qu’il convient de sauvegarder régulièrement pour assurer
la continuité du service informatique en cas de perte/ altération de données.
Ces données sont sauvegardées régulièrement de manière à assurer, dans la
mesure du possible et selon les moyens disponibles, toute récupération de données.
Le service informatique s’engage à prendre toute précaution utile afin que ces
données ne soient altérées, détruites ou communiquées à des tiers non autorisées.
2. La métrologie en temps réel
Un ensemble d’outils de supervision est actif pour l’ensemble du réseau de
l’Université pour en assurer un fonctionnement optimum. Ils permettent de faire de la
métrologie (étude de la charge du réseau). Cette étude permet d’optimiser les
ressources et de détecter les anomalies de fonctionnement, permettant ainsi à
l’administrateur de procéder à une analyse plus fine en exploitant les « traces »
d’opérations informatiques.
3. La traçabilité des opérations informatiques
Le bon fonctionnement et la sécurité du système informatique nécessitent
l’enregistrement systématique et automatique d’un certain nombre d’informations
caractérisant chaque opération informatique, appelées « traces ».
Ces traces sont toutes exploitables et peuvent conduire à reconstituer exactement un
évènement informatique survenu, permettant ainsi à l’administrateur de réaliser la
maintenance du service.
Ces traces ont deux objectifs exclusifs :
• Assurer le bon fonctionnement des services et déterminer leurs nécessaires
améliorations.
• Détecter toute anomalie de sécurité et être à même de mener les enquêtes
correspondantes.
Page 3 sur 13
Les traces systématiquement enregistrées portent notamment sur les opérations
suivantes :
- Connexions aux bases de données et applications centralisées (outil de traçage
interne) : adresse IP source (voire adresse MAC), identifiant session utilisateur,
date et heure de la tentative, résultat de l’opération, volume de données
échangées, nombre de connexions, échantillon des données échangées.
- Connexions au réseau local (autres ordinateurs reliés et serveur central) et
Internet (firewall, routeur, commutateur, borne d’accès Wi-Fi) : nom de l’utilisateur
sous lequel se fait la connexion, adresse réseau de la machine émettant la
connexion, date et heure de début et de fin de connexion, type d’opération
effectuée.
- Connexions aux serveurs mails : nom de l’émetteur et du destinataire, date
envoi/réception, nom des fichiers attachés, volume de données transférées.
- Connexion sur le serveur Web : adresse complète de la page consultée (URL),
date de la connexion, nom de la machine depuis laquelle est faite la connexion.
- Opérations effectuées sur chaque poste informatique (journaux du système).
Les traces se composent des données techniques exécutées par chaque type
d’opération (date et heure de l’opération, numéro d’indentification de la machine,
identifiant de l’utilisateur, détail de l’opération effectuée).
Elles sont conservées à l’état brut sous forme de journaux, propre à chaque type
d’application qui les génère.
Elles sont utilisées si besoin est, conformément aux objectifs d’assurer un
maintien d’un service de qualité et d’assurer la sécurité du système informatique.
Elles sont exploitées sous forme de :
• statistiques non individuelles
• analyses par machine des opérations effectuées
• recherches manuelles précises sur un type de problème
Les administrateurs s’engagent à n’utiliser les traces que si un motif légitime les y
oblige, conformément aux droits et devoirs que leur confèrent leurs missions.
Cadre juridique de l’intervention
« L’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de
l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques » (Article 1 er de
la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers, et aux libertés).
Aucune exploitation, à des fins autres que celles liées à leurs missions, des
informations dont les administrateurs ont connaissance pendant l’exercice de leurs
missions, ne saurait être opérée, d’initiative ou sur ordre hiérarchique2 , qui aurait
pour conséquence de violer les droits et libertés fondamentaux de l’utilisateur, tels
que décrits ci-dessous.
2
Article 28 loi 13 juillet 1983, relative au statut des fonctionnaires, mais aussi applicable aux agents non
titulaires
Page 4 sur 13
Par conséquent, l’administrateur s’engage à respecter les droits
fondamentaux des utilisateurs lors de l’exercice de ses missions, et plus
particulièrement :
- Le droit au respect de la vie privée3 :
o Application : respect du contenu des fichiers de données à caractère
personnel.
- Le droit au secret des communications électroniques, lequel ne peut être levé
qu’avec son accord4 :
o Application : données personnelles relative à la consultation de sites
Internet de l’utilisateur (historique des navigations, signets, mémoire
cache).
- Le droit au secret des correspondances5 :
o Application au mail6 si :
-il s'adresse à une personne individualisée, si son adresse est nominative, ou
déterminée, si son adresse est fonctionnelle, le destinataire final du message n'étant
pas précisé en ce cas, mais son récepteur ayant qualité pour recevoir ledit message.
-il est personnalisé en ce qu'il établit une relation entre l'expéditeur et le
récepteur, laquelle fait référence à l'existence d'un lien les unissant qui peut être
familial, amical, professionnel, associatif, etc.
Cependant les administrateurs ont besoin, pour réaliser leurs missions,
d’utiliser certains types de moyens. Ils doivent respecter la loi informatique et libertés,
et s’obliger à la confidentialité pour toute information dont ils auraient pu avoir
connaissance durant l’exercice de leurs fonctions.
Par ailleurs ils ont le devoir de désobéir à tout ordre qui aurait pour
conséquence de leur faire commettre une infraction, que ce soit suite à la violation
d’un droit fondamental de l’utilisateur tel que décrit ci-dessus, ou à la loi du 6 juillet
1978 modifiée en août 2004.
Seules les autorités judiciaires, en tant que gardiennes des libertés
individuelles, ont la faculté de déroger à ces principes en cas de nécessité liée à la
recherche de la vérité cadre de l’instruction d’une affaire ou d’une enquête7).
3
Article 9 du Code Civil, article 8 de la Convention Européenne des droits de l’Homme
Article 3 de la loi 86-1067 du 6 septembre 1986, modifié le 19 juillet 2004, voire Code des Postes et des
Communications électroniques
5
Infraction prévue par l’article 432-9 Code Pénal, passible de 3 ans de prison et de 45000 d’amende
6
Loi pour la Confiance en l’économie numérique le 21 juin 2004 donne une définition du mail dans son article
2 : « on entend par courrier électronique tout message, sous forme de texte, son ou image, envoyé par un réseau
public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire, jusqu’à
ce que ce dernier le récupère ».
7
Les officiers de police judiciaire ont la possibilité d'obtenir des organismes publics ou privés qu'ils fournissent
"tous les documents intéressants l'enquête", sans que le secret professionnel puisse leur être opposé
(conformément au Code de Procédure Pénale:
à soit de leur propre initiative dans le cadre de l'enquête de flagrance ( art 60-1 )
à soit avec "l'autorisation" du procureur de la République en cas d'enquête préliminaire (art 71-1-1)
à soit commis par le juge en cas d’instruction ( Article 99-3 )
Il peut s'agir d'informations issues de systèmes informatiques ou de traitements de données à caractère personnel.
Notons que les Procureurs de la République et les Juges d’Instruction peuvent directement obtenir ces
informations dans le cadre des mêmes missions.
4
Page 5 sur 13
D. Respect de la loi relative à l’informatique, aux fichiers et
aux libertés
La loi informatique et libertés pose quelques définitions ci-dessous
énumérées, avant de poser les conditions de licéité d’un traitement de données
personnelles, et les règles d’accès aux données personnelles de l’utilisateur sur son
poste de travail8.
1. Définitions 9
Ø
Constitue une donnée à caractère personnel toute information relative à une
personne physique identifiée ou qui peut être identifiée, directement ou
indirectement, par référence à un numéro d’identification ou à un ou plusieurs
éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble
des moyens en vue de permettre son identification dont dispose ou auxquels peut
avoir accès le responsable du traitement ou toute autre personne.
Ø
Constitue un traitement de données à caractère personnel toute opération ou
tout ensemble d’opérations portant sur des données, quel que soit le procédé utilisé,
et notamment la collecte, l’enregistrement, l’organisation, la conservation,
l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la
communication par transmission, diffusion ou toute autre forme de mise à disposition,
le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la
destruction.
Ø
Constitue un fichier de données à caractère personnel tout ensemble structuré
et stable de données à caractère personnel accessibles selon des critères
déterminés.
2. Conditions de mise en œuvre d’un traitement automatisé de
données à caractère personnel
Chaque traitement informatique comprenant une donnée personnelle directe
ou indirecte permettant de recouper l’identité d’un utilisateur (adresse IP, identifiant
ou tout élément qui lui est propre) doit être effectué conformément aux exigences
posées par la loi du 6 janvier 1978 modifiée le 6 août 2004.
Les exigences de cette loi s’appliquent à tous les fichiers de données à
caractère personnel direct ou indirect, automatisé ou non, à usage professionnel.
8
Article 3 loi 78-17 : Les dispositions de cette loi ne sont pas applicables aux copies temporaires qui sont faites
dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du
stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires
du service le meilleur accès possible aux informations transmises.
9
Article 2 et 3 de la loi 78-17
Page 6 sur 13
Toutes ces obligations sont sanctionnées par la mise en jeu possible de la
responsabilité civile10 et/ou pénale11 des administrateurs, s’ils venaient à ne pas
respecter les dispositions suivantes.
a) Les obligations spécifiques de l’administrateur,
responsable du fichier
Le responsable d’un traitement de données à caractère personnel est (sauf
désignation expresse par les dispositions législatives ou réglementaires relatives à
ce traitement) la personne, l’autorité publique, le service ou l’organisme qui
détermine ses finalités et ses moyens 12; c’est à lui qu’incombe :
à D’accomplir les formalités préalables à la mise en œuvre du traitement :
déclaration ou autorisation près de la CNIL13, Commission Nationale Informatique et
des Libertés, selon la nature des données traitées ; Il doit aussi avertir la CNIL des
changements éventuels14 aux informations communiquées lors de la déclaration ou
autorisation, et de toute suppression du traitement.
à D’informer l’utilisateur de l’identité du responsable du fichier, de celles des
destinataires des données 15, des droits d’accès, de rectification et d’opposition dont il
dispose16.
Cette information doit se faire dès l’enregistrement des données (en cas de
collecte directe), ou si les données ont été enregistrées de manière indirecte au plus
tard dès la première communication des données.17
Ces dispositions ne s’appliquent pas lorsque la personne concernée est déjà
informée ou quand son information se révèle impossible ou exige des efforts
disproportionnés par rapport à l’intérêt de la démarche.
10
Article 1382 et 1383 du Code Civil
Article 226-16 à 226-24 du Code Pénal
12
Article 3, I, loi 78-17
13
Déclaration ordinaire : article 22, I; déclaration simplifiée : article 24, I alinéa 3 ; dispense : article 24, III ) ;
Autorisations préalables cf article 25,26,27 loi de 78-17
Les déclarations ordinaires et simplifiées concernent les traitements de données à caractère personnel dont la
mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés ; les autorisations (délivrées
par la CNIL ou par décret en Conseil d’Etat, ou encore par arrêté de l’organe délibérant d’un établissement
public –ici le Conseil d’Administration de l’Université - sur avis de la CNIL) sont nécessaires dès lors que des
données très sensibles limitativement énumérées sont utilisées dans des traitements, tels les numéros INSEE.
14
Article 30 loi 78-17
15
Le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir
communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et
les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. Toutefois, les autorités
légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à
demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent
pas des destinataires.
16
Article 32 – 1 de la loi 78-17
17
Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions
de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins
historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la
réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi 51-711 du 7 juin
1951 sur l’obligation , la coordination et le secret en matière de statistiques.
11
Page 7 sur 13
à Assurer la sécurité des données contre toute altération, modification ou
communication à des tiers non autorisés en prenant toute précaution utile18 .
à Recueillir le consentement préalable des personnes concernées19, et en
conserver la preuve, sauf si il peut notamment justifier que le traitement est mis
en œuvre pour réaliser l’ « intérêt légitime 20 poursuivi par le responsable du
traitement ou par le destinataire » (en rapport avec les missions de
l’administrateur précédemment citées), « sous réserve de ne pas méconnaître
l’intérêt ou les droits fondamentaux de la personne concernée ».
Un consentement « exprès » ou supplémentaire est requis notamment 21pour :
• Collecter et traiter des données sensibles22
• Traiter les données pour une nouvelle finalité, incompatible avec les
finalités pour lesquelles elles ont été collectées23
b) Les conditions de collecte des données et de traitement
Ces conditions24 s’appliquent à tout administrateur chargé de la mise en
œuvre du traitement, lequel doit veiller à leur bonne application.
La collecte des données et leur traitement doivent être :
à « loyaux et licites ».
à pour des « finalités déterminées, explicites et légitimes » ; par ailleurs les
données ne doivent pas faire l’objet d’un traitement ultérieur incompatible avec
les finalités pour lesquelles elles ont été collectées, sauf :
• Consentement exprès de la personne concernée
• Autorisation de la CNIL (Commission Nationale Informatique et des
Libertés)
Les données collectées doivent être :
à adéquates, pertinentes et non excessives au regard des finalités prévues et
ultérieures.
à exactes, complètes et, si nécessaire, mises à jour.
à effacées ou rectifiées si elles deviennent inexactes ou incomplètes.
àconservées sous une forme permettant l’identification de la personne
concernée pendant une durée qui n’excède pas la durée nécessaire aux finalités
déclarées.
18
Article 34 de la loi 78-17
Article 7, alinéa 1 de la loi 78 - 17
20
Autres dérogations limitativement énumérées à l’article 7 de la loi 78-17 pouvant intéresser les activités du
service informatique:
1°) respect d’une obligation légale incombant au responsable du traitement
3°) exécution d’une mission de service public dont est investi le responsable du traitement
21
Autres conditions limitativement énumérées à l’article 69, alinéa 1(transfert données hors Union Européenne) ;
article 33 (pour le prestataire de services de signature électronique).
22
Article 8,II,1° de la loi 78 - 17
23
Article 36, alinéa 3,i de la loi 78 - 17
24
Article 6 de la loi 78_17
19
Page 8 sur 13
c) Précautions particulières lors du traitement de
données personnelles
Des précautions particulières s’imposent pour les administrateurs ayant
connaissance de données à caractère personnel au cours de leur enregistrement,
classement, transmission ou toute autre forme de traitement de données, afin
d’éviter :
à toute divulgation, même par imprudence ou négligence :
• sans autorisation de l’intéressé, à des tiers n’ayant pas qualité pour les
recevoir,
• ayant pour conséquence de porter atteinte :
o à la considération de l’intéressé
o à l’intimité de sa vie privée.
à de détourner ces informations de la finalité de leur traitement initial tel que
défini par la disposition législative, l’acte réglementaire ou la décision de la
Commission Nationale Informatique et des Libertés autorisant le traitement
automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement.
3. Accès aux données personnelles de l’utilisateur sur son
poste de travail
L’administrateur s’engage à inviter l’utilisateur à classer ses données
personnelles et professionnelles, chaque fois que cela est possible, avant chaque
intervention sur son poste de travail, afin de respecter l’intimité de la vie privée de
l’utilisateur et de délimiter plus facilement son cadre d’intervention comme défini ciaprès.
a) Accès direct sur les postes (intervention sur site)
En tout état de cause, et lorsque l’intervention le nécessite, l’accès direct aux
données enregistrées par les utilisateurs dans leur propre environnement
informatique, qui sont parfois de nature personnelle, ne peut être justifiée que dans
les cas où le bon fonctionnement des systèmes informatiques ne pourrait être assuré
par d’autres moyens moins intrusifs, et si l’utilisateur a été informé ( ce qui est
implicite dès lors qu’il a autorisé l’administrateur à intervenir sur son poste de travail
afin de résoudre un problème ).
b) Accès indirect sur les postes (intervention à distance)
Toute personne utilisatrice des réseaux de communications électroniques doit
être informée de manière claire et complète par le responsable du traitement ou son
représentant :
Page 9 sur 13
- de la finalité de toute action tendant à accéder, par voie de transmission
électronique, à des informations stockées dans son équipement terminal de
connexion, ou à inscrire, par la même voie, des informations dans son équipement
terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans
l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement
terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie
électronique.
. N.B25 : On entend par communication au public par voie électronique toute mise à
disposition du public ou de catégories de public, par un procédé de communication
électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature
qui n'ont pas le caractère d'une correspondance privée.
- soit est strictement nécessaire à la fourniture d’un service de communication en
ligne à la demande expresse de l’utilisateur.26
On entend par communication au public en ligne toute transmission, sur demande
individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par
un procédé de communication électronique permettant un échange réciproque d'informations
entre l'émetteur et le récepteur.
E. Obligation de confidentialité et secret professionnel
Les administrateurs ayant la qualité de fonctionnaires sont soumis au secret
professionnel de par leur statut général27. Les agents non titulaires, sans être
astreints au secret professionnel, sont dans la nécessaire confidence concernant les
informations dont ils pourraient avoir connaissance pendant l’exercice de leurs
missions, et sont soumis, en ce qui concerne les données à caractère personnel dont
ils pourraient avoir connaissance durant leur mission, à une obligation de non
divulgation.
L’administrateur a le devoir de transmettre tous les faits constitutifs de délits ou
de crimes aux autorités judiciaires dont il aurait pu avoir connaissance durant
l’exercice de sa mission28. Ces faits constitutifs d’infractions sont énumérés en
annexe, sans être limitatifs aux seuls faits informatiques29.
Il a également le devoir d’informer immédiatement le responsable de la sécurité
informatique de l’Université (ou son suppléant) de toute tentative d’intrusion
frauduleuse sur le système informatique de l’Université, sans violation du secret
professionnel, et peut ainsi lui déléguer la responsabilité de transmettre les
informations strictement nécessaires à la poursuite de l’auteur des faits aux services
compétents.
25
Ces définitions sont tirées de la Loi pour la Confiance en l’Economie numérique, du 21 juin 2004.
Article 32, II, loi 78-17.
27
Article 26 de la loi n°83-634, relative aux droits et obligations des fonctionnaires
28
Article 40 du Code de Procédure Pénale
29
Annexe relative aux infractions pouvant résulter de l’usage de l’informatique
26
Page 10 sur 13
Engagement sur l’honneur
L’administrateur certifie avoir pris connaissance de la présente charte et ses
annexes, et s’engage sur l’honneur à en respecter les dispositions.
Fait le… à …
Faire précéder de la mention lu et approuvé.
(Nom, Prénom, Signature)
Engagement sur l’honneur
L’administrateur certifie avoir pris connaissance de la présente charte et ses
annexes, et s’engage sur l’honneur à en respecter les dispositions.
Fait le… à …
Faire précéder de la mention lu et approuvé.
(Nom, Prénom, Signature)
Page 11 sur 13
ANNEXE : Les Règles d’Usage du réseau RENATER
Le réseau RENATER est un réseau créé et spécifiquement dédié à la diffusion de la connaissance ;
c’est un réseau qui requiert des précautions d’usage spécifique par ses utilisateurs, car il doit voir préserver son
intégrité et sa spécificité. Son gérant, groupement d’intérêt public (GIP), peut décider de couper l’accès à son
réseau à tout moment, si ces règles ne sont pas respectées. Il est du devoir de chacun de prévenir ce risque.
Ces règles sont, respectivement :
ü Une utilisation à des fins strictement professionnelles conforme à la finalité du réseau
RENATER (A/)
ü Une utilisation rationnelle des ressources du réseau RENATER de manière à éviter toute
consommation abusive de ces ressources (B/)
ü Une utilisation loyale du réseau RENATER en prévenant et en s’abstenant de toute utilisation
malveillante destinée à perturber ou porter atteinte au réseau RENATER (C/)
ü Véhiculer et mettre à disposition sur le réseau seulement des données licites au regard des lois
qui leur sont applicables (D/)
F.
Utilisation à des fins strictement professionnelles du réseau RENATER
Le réseau RENATER est destiné à véhiculer le trafic engendré par des activités d’enseignement,
recherche, développements techniques, transfert de technologies, expérimentations de nouveaux services
présentant un caractère d’innovation technique.
Les activités d’administration et de gestion des centres de recherche, de développement ou
d’enseignement y sont assimilées, et sont donc conformes à la finalité d’utilisation du réseau RENATER.
Les autres activités sont par principe prohibées, et peuvent faire exceptionnellement l’objet d’un accord
préalable et écrit du correspondant du GIP RENATER (contacter pour cela l’administrateur réseau du Service
Informatique Central).
G. Utilisation rationnelle du réseau RENATER
Pour offrir à l’ensemble des utilisateurs un niveau de qualité optimale, l’utilisation d’applications
consommatrices de ressources de réseau doit être limitée. Dans ces conditions, la mise en œuvre d’applications
qui engendrent un trafic permanent est soumise à l’accord préalable et écrit du correspondant du GIP RENATER
(contacter pour cela l’administrateur réseau du Service Informatique Central).
H.
Utilisation loyale du réseau RENATER
Aucun utilisateur ne doit créer ou générer sciemment des données ayant pour effet de saturer les
liaisons du réseau RENATER ou encore d’épuiser les ressources de ses équipements. En particulier, les
automates à base de requêtes ICMP sur les routeurs du réseau RENATER sont interdits, sauf accord préalable
et écrit du correspondant du GIP RENATER (contacter pour cela l’administrateur réseau du Service Informatique
Central).
I.
Licéité des données véhiculées sur le réseau RENATER
Les données véhiculées et mises à disposition sur le réseau à l’initiative des utilisateurs du réseau
RENATER, doivent être licites. A ce titre, les utilisateurs doivent respecter les dispositions légales, notamment :
àConcernant le transit de données : il faut l’autorisation de leur auteur ou du titulaire des droits avant
d’exploiter des œuvres protégées par le droit d’auteur (tels les films, musique, logiciels). Attention donc à
l’échange de tels fichiers protégés, qui est par principe prohibé.
àConcernant le respect du réseau RENATER, il faut :
o Préserver le système informatique en ne commettant pas d’actes malfaisants visant
ses équipements ou son réseau
o Préserver la destination initiale en ne le détournant pas à des fins criminelles ou
délictueuses
Notons également que tout fait de l’utilisateur ayant causé un dommage à autrui entraîne celui-ci à le
réparer ; aussi toute demande d’indemnisation sera prise en charge par l’utilisateur en proportion de sa part de
responsabilité, alors fixée par le juge compétent.
Page 12 sur 13
TABLE DES MATIERES
I.
Cadre technique d’intervention...........................................................................................1
Les personnes..................................................................................................................1
Les missions....................................................................................................................1
1. Assurer un service de qualité aux utilisateurs.............................................................1
2. Transparence des opérations effectuées......................................................................2
3. Chaîne d’alerte............................................................................................................2
4. Sensibilisation des utilisateurs....................................................................................2
C. Les moyens .....................................................................................................................3
1. Les sauvegardes automatiques....................................................................................3
2. La métrologie en temps réel .......................................................................................3
3. La traçabilité des opérations informatiques................................................................3
II. Cadre juridique de l’intervention........................................................................................4
A. Respect de la loi relative à l’informatique, aux fichiers et aux libertés..........................6
1. Définitions .................................................................................................................6
2. Conditions de mise en œuvre d’un traitement automatisé de données à caractère
personnel.............................................................................................................................6
a) Les obligations spécifiques de l’administrateur, responsable du fichier ................7
b) Les conditions de collecte des données et de traitement ........................................8
c) Précautions particulières lors du traitement de données personnelles....................9
3. Accès aux données personnelles de l’utilisateur sur son poste de travail...................9
a) Accès direct sur les postes (intervention sur site)...................................................9
b) Accès indirect sur les postes (intervention à distance) ...........................................9
B. Obligation de confidentialité et secret professionnel....................................................10
Engagement sur l’honneur........................................................................................................11
A.
B.
ANNEXE - Les règles d’usage du réseau RENATER
Page 13 sur 13