Service Informatique . 04.70.35.76.07 - Fax. 04.70.35.77.19 E.mail :m.waldmann@ch-moulins-yzeure.fr CHARTE D'UTILISATION D'INTERNET 12/H/GSI/SEC/CHA/001 10 Avenue Gnral de Gaulle B.P. 609 03006 MOULINS CEDEX 04 70 35 77 77 Fax 04 70 35 77 99 http:www.ch-moulins-yzeure.fr Le Centre Hospitalier de Moulins-Yzeure dispose d'un accs Internet, via une ligne spcialise relie au rseau informatique de l'tablissement. Le raccordement du systme informatique de l'hpital au rseau public Internet rend ncessaire la dfinition de rgles d'utilisation d'Internet afin de prserver la scurit du systme d'information de l'hpital et la confidentialit des informations reues ou envoyes dans le respect des lgislations applicables. Les raisons qui justifient la dfinition et le respect de rgles d'utilisation et de scurit sont notamment : Maintenir la scurit du systme : la mise en place de dispositifs de scurit (firewall, proxy, antivirus, anti-spam, ...) sur les serveurs Internet de l'tablissement ne dispense pas de rester vigilant sur les tentatives d'intrusion depuis l'extrieur : virus; logiciels espions (spyware); rcupration d'informations confidentielles (bank fishing, par exemple) ; ... Prserver la confidentialit des donnes : les donnes qui transitent sur les parties publiques du rseau, en particulier lors de l'envoi ou de la rception de messages lectroniques, peuvent tre interceptes ou pirates. Maintenir les performances du systme : l'accs Internet engendre une croissance rapide des flux de donnes multimdia qui mettent rude preuve tous les composants du systme d'information de l'hpital (rseau interne, capacits de traitement et de stockage des rseaux locaux, saturation des priphriques d'impression par des documents graphiques, etc.). Limiter la prolifration des logiciels tlchargs sur Internet : si la rcupration et l'utilisation de logiciels via Internet constituent un des attraits du rseau mondial, celles-ci doivent tre compatibles avec les impratifs de scurit et de maintenance du systme. viter l'atteinte des droits privatifs : l'utilisation d'Internet permet, dans certains cas, l'accs des donnes diffuses en violation des lgislations applicables; il en va notamment ainsi de donnes revtant un caractre privatif, des uvres ou des logiciels diffuss au mpris des droits de leur propritaire. viter l'utilisation d'internet dans le but de raliser des actions illicites : diffamation, pdophilie, ... Cette charte rassemble la fois des rgles gnrales qui s'appliquent l'utilisation de tout systme informatique et qui sont dj adoptes et respectes par la majorit des utilisateurs dans l'hpital, et des rgles plus spcifiques l'utilisation d'Internet. Cette charte n'a qu'un caractre informatif et prventif. Elle est envoye chaque personne disposant ou souhaitant disposer d'un accs Internet et qui s'engage au respect des dispositions qu'elle contient. tant donn le caractre novateur d'Internet et l'volution rapide des technologies informatiques et de ses domaines d'applications, des ajouts, suppressions ou modifications pourront tre apportes cette charte. Toute nouvelle version se substituera alors la version prcdente. 12/H/GSI/SEC/CHA/001 1/7 Article 1 : domaine d'application La charte s'applique toute personne utilisatrice d'Internet mis sa disposition par le Centre Hospitalier de Moulins-Yzeure. La charte entre en application dater du mois de mars 2000. Elle est signe par chaque utilisateur dsign et contresigne par le Directeur du Systme d'information du Centre Hospitalier de Moulins-Yzeure. Article 2 : dfinition 2-1 Utilisateur et administrateur Un utilisateur est une personne autorise accder aux services Internet via la ligne spcialise du Centre Hospitalier de Moulins-Yzeure. Un administrateur est une personne dsigne par l'tablissement pour assurer l'administration du systme et du rseau. Il dispose, ce titre, de droits d'accs et de contrle spcifiques qui ne sont pas accessibles l'utilisateur. 2-2 Services Internet Les principaux services sont : le Web, le courrier lectronique, le transfert de fichiers, les forums de discussions, etc. 2-3 Demande et droit d'accs L'accs aux services Internet doit faire l'objet d'une demande d'accs adresse au Directeur du Systme dinformation. Le droit d'accs est attribu lors de l'acceptation de la demande d'accs. Il est personnel, non cessible un tiers et rvocable tout moment. Il est supprim lorsque l'utilisateur change d'affectation. 2-4 Activits autorises Le droit d'accs est limit aux activits en rapport avec l'exercice professionnel de l'utilisateur au Centre Hospitalier de Moulins-Yzeure. Une utilisation titre prive est tolre si : elle ne perturbe pas la bonne excution du travail de l'utilisateur ; elle est conforme la rglementation en vigueur et cette charte ; le Centre Hospitalier n'est pas impliqu dans cette utilisation personnelle (prsence d'adresse emails de l'tablissement sur des sites et forums sans rapport avec l'activit professionnelle, ...). 2-5 Responsabilits Lors de l'accs aux services Internet, l'utilisateur doit respecter les rgles dfinies dans la prsente charte ainsi que la rglementation applicable. En cas de non respect de ces rgles, d'agissements frauduleux, fautifs ou dommageables, l'utilisateur pourra tre tenu pour personnellement responsable. Le Centre Hospitalier se rserve le droit d'appliquer l'utilisateur les sanctions appropries (suppression temporaire ou dfinitive des droits d'accs, sanctions disciplinaires ou poursuites judiciaires). Dans le cas d'une utilisation non professionnelle, le Centre Hospitalier dcline toute responsabilit et l'utilisateur est seul responsable devant la loi. 12/H/GSI/SEC/CHA/001 2/7 Article 3 : rgles de scurit 3-1 Confidentialit des moyens d'accs L'utilisateur est tenu d'assurer la confidentialit des codes utilisateurs et mots de passes de Windows et de la messagerie. Ces codes et mots de passes sont personnels et non cessibles quiconque. Ils ne peuvent pas tre exigs par un suprieur hirarchique. 3-2 Contrle et surveillance des actes d'utilisation d'Internet L'utilisateur est expressment inform que, conformment la rglementation, un journal des oprations ralises sur internet est conserv. Le journal des oprations contient l'ensemble des informations dcrites dans le dcret 2006-358 relatif la conservation des donnes des communications lectroniques. Il contient notamment : le code utilisateur Windows ou l'adresse email ; l'adresse IP du PC ; les caractristiques techniques de chaque communication (URL, ...) ; le destinataire de la communication (adresse email, adresse IP, ...). Le Centre Hospitalier de Moulins-Yzeure fera une double utilisation du journal des oprations. D'une part, il contrlera si l'utilisation d'Internet est conforme aux rgles exposes dans la prsente charte. D'autre part, il procdera des tudes statistiques et techniques de l'utilisation d'Internet dans l'tablissement. Le journal des oprations peut tre mis disposition des autorits si elles en font la demande. Conformment la loi Informatique et liberts 78-17 du 6 janvier 1978, l'utilisateur possde un droit d'accs et de rectification de ces donnes. Vous pouvez demander exercer ce droit par courrier au Directeur du Systme d'Information. Un suprieur hirarchique ne peut pas demander l'accs au journal des connexions d'un utilisateur. 3-3 Signalement des incidents de scurit L'utilisateur est tenu de signaler l'administrateur dans les plus brefs dlais tout incident de scurit (apparition de virus, tentative d'intrusion ou intrusion) qu'il serait amen observer. 3-4 Mesures de scurit complmentaires Toutes les informations provenant d'Internet sont filtres automatiquement par un antivirus (http, email, ...). Les protocoles ne pouvant pas tre analyss par un antivirus sont bloqus; c'est le cas des connexions https qui sont cryptes entre l'metteur et le destinataire. Si une exception est autorise pour un site par le Directeur du Systme d'Information, l'utilisateur est seul responsable des ventuelles consquences (virus, intrusion, piratage,...). Les mails sont analyss par un logiciel anti-spam en plus de l'antivirus. Le serveur de messagerie peut refuser certaines pices jointes pouvant tre considres comme dangereuses. L'tablissement dcline toute responsabilit en cas de perte d'un message suite une dtection automatique d'un faux positif. 12/H/GSI/SEC/CHA/001 3/7 Article 4 : rgles de confidentialit L'utilisateur doit assurer la confidentialit des informations qu'il dtient. En particulier, il ne doit pas transmettre via Internet les donnes nominatives et/ou confidentielles en sa possession. La transmission d'informations mdicales nominatives est donc prohibe et engagerait le cas chant la seule responsabilit de l'metteur. L'utilisateur ne doit pas diffuser via Internet (e-mail, news, Web, ...) de donnes soumises droit de copie qu'il ne dtient pas. Ces rgles simposent quelle que soit la nature des donnes confidentielles en cause, qu'il s'agisse de donnes spcifiques au Centre Hospitalier de Moulins-Yzeure ou de donnes dont il se trouverait dpositaire, et notamment de donnes relevant du secret mdical ou intressant la vie prive des personnes. Article 5 : rgles d'utilisation du rseau et des services Internet 5-1 Utilisation de la bande passante et des disques Mme si le Centre Hospitalier dispose d'une ligne spcialise dont le cot d'utilisation est forfaitaire (sans cots de communication tlphonique), l'utilisation de la bande passante reste une ressource limite et partage entre les utilisateurs d'Internet l'Hpital. Pour assurer un partage quitable de la bande passante, et donc des performances satisfaisantes pour tous, l'application des rgles d'utilisation suivantes est recommande : Messagerie - viter les messages trop volumineux (taille suprieure 1 Mo) ou utiliser des utilitaires de compression de fichiers ou de trononnage des messages si ncessaire; - Effectuer les envois les plus volumineux et non urgents pendant les heures creuses (de 18 h 8 h); - purer rgulirement les messages et/ou pices jointes devenus inutiles; - Vider rgulirement la corbeille de la messagerie; - Respecter les quotas limitant l'utilisation de l'espace disque des messageries. Ce quota est identique pour tous les utilisateurs de l'tablissement et permet d'viter le blocage de l'ensemble des utilisateurs par une seule personne. Utilisation du Web - viter le chargement de fichiers volumineux et/ou gourmands en espace disque et bande passante (fichiers vido, sons, ...). Le non respect de ces recommandations ne constitue pas un dlit au sens strict, mais le Centre Hospitalier de Moulins-Yzeure se rserve le droit de prendre les mesures ncessaires pour faire cesser et sanctionner les abus observs. 5-2 Duplication des logiciels La reproduction et/ou l'utilisation d'un logiciel sans l'autorisation du titulaire des droits de proprit sur le logiciel est notamment constitutive d'un dlit de contrefaon, susceptible d'engager la responsabilit de l'utilisateur et du Centre Hospitalier de Moulins-Yzeure. 12/H/GSI/SEC/CHA/001 4/7 5-3 Accs Le Centre Hospitalier de Moulins-Yzeure se rserve le droit de : - bloquer l'accs des sites n'ayant aucun rapport avec l'activit professionnelle et/ou non conforme la morale (sites pornographiques, de piratage, ...); - bloquer la diffusion des groupes de news sans relation directe avec les centres d'intrts professionnels prsums des utilisateurs ; - bloquer l'accs internet (Web) et/ou de dsactiver l'adresse email en cas de constatation d'abus de l'utilisateur ; - limiter l'accs de l'utilisateur quelques sites ; - limiter l'accs aux seuls protocoles ncessaires l'exercice de l'activit professionnelle (http, email, ...). Article 6 : cadre lgal franais La charte Internet a un caractre avant tout informatif et prventif. Les rgles poses ne sont pas limitatives et s'appliquent sans prjudice des autres lois, textes ou rglements en vigueur rgissant l'utilisation d'Internet en France. Les principaux textes applicables sont notamment : - la loi du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, - les dispositions du Code pnal relatives la fraude informatique et aux atteintes aux droits des personnes (notamment atteintes la vie prive, atteintes au secret professionnel, atteintes la dignit de la personne), - les dispositions du Code de la proprit intellectuelle relatives la proprit littraire et artistique, aux marques, dessins ou modles, - le Code des postes et des communications lectroniques, - la directive europenne 96/9CE du 11 mars 1996 concernant la protection juridique des donnes, - la loi du 29 dcembre 1990 sur la rglementation de la communication et notamment ses dispositions relatives aux prestations de cryptologie, - l'arrt de la cour d'appel de Paris du 4 fvrier 2005, - le dcret 2006-358 relatif la conservation des donnes des communications lectroniques. Article 7 : sanctions Le but principal de la Charte est d'indiquer l'utilisateur la voie suivre pour utiliser Internet dans les meilleures conditions de scurit et de performance. Si toutefois l'utilisateur d'Internet enfreignait les rgles ci-dessus exposes, il serait passible de sanctions disciplinaires, sans prjudice de l'ventuel engagement son encontre de poursuites devant les tribunaux l'initiative du Centre Hospitalier de Moulins-Yzeure, du Procureur de la Rpublique ou d'ventuels tiers victimes. L'utilisateur encourt notamment une suspension ou la suppression de son droit d'accs Internet (accs web et/ou messagerie). Le choix entre l'une ou l'autre des sanctions est laiss la libre apprciation du Centre Hospitalier de Moulins-Yzeure, qui prendra notamment en considration la gravit des manquements constats ou leur ventuel caractre rptitif. 12/H/GSI/SEC/CHA/001 5/7 Article 8 : droits et devoirs de l'administrateur systme L'administrateur systme est responsable de la qualit de service du systme informatique mis la disposition des utilisateurs. L'administrateur a notamment pour tche : - de minimiser les priodes d'indisponibilit du service, et faire en sorte qu'elles soient le moins pnalisantes pour les utilisateurs. - d'informer l'avance les utilisateurs des interruptions de service planifies. La consultation des fichiers des utilisateurs par l'administrateur ne peut s'effectuer que dans le respect des rgles de confidentialit applicables aux donnes contenues dans les fichiers. Pour assurer la scurit et la maintenance du systme informatique, contrler le respect des rgles dfinies dans la prsente Charte et pour disposer de donnes statistiques et comptables, l'administrateur a le droit d'accder aux fichiers de trace de l'activit des utilisateurs, et notamment de la messagerie. Il peut accder au contenu de la messagerie pour des raisons de maintenance ou suite une demande dune autorit comptente. Pice jointe : Formulaire d'engagement de responsabilit, retourner sous format papier, au secrtariat de la Direction du Systme d'Information. 12/H/GSI/SEC/CHA/001 6/7 ENGAGEMENT DE RESPONSABILIT Formulaire retourner sous format papier, au secrtariat de la Direction du Systme d'Information Pour l'utilisateur Je soussign(e)................................................................................................................................ Service........................................................................................................................................... Fonction......................................................................................................................................... Dclare avoir pris connaissance de la charte d'utilisation d'Internet version 5.0 du Centre Hospitalier de Moulins-Yzeure et m'engage m'y conformer strictement. Fait Moulins, le Signature Pour le Directeur du Systme d'Information Je soussign, Constate l'engagement de ............................................................................................. de se conformer aux rgles exposes dans la Charte d'utilisation d'Internet du Centre Hospitalier de Moulins- Yzeure. Fait Moulins, le ........./........./20......... Signature 12/H/GSI/SEC/CHA/001 7/7