Creation d'une charte informatique: Fiabiliser les informations du net

On m’a demandé a mon taf de revoir la charte informatique, celle qui existe (mais qui n’a jamais été signé) étant, a mon avis, illégale sur plusieurs points.

J’ai trouvé pas mal d’exemples sur le net, même s’ils nécessitent du boulot d’adaptation:
http://client.olfeo.com/article.php3?id_article=135
http://w3blog.fr/2008/01/21/exemple-charte-informatique/

Il y a aussi un nombre improbable de chartes info pour les écoles/université, qui me paraissent inadapté a l’entreprise.

A partir de la, j’ai aussi farfouille le net pour me renseigner sur l’état de l’art en matière de droit concernant la problématique du net dans l’entreprise, et c’est la que ca devient complexe.
Ma direction a un problème avec les e mails (je sais pas trop pourquoi, même si y a eu un incident insignifiant qui peut expliquer des trucs) et veut absolument interdire les e mails perso via l’e mail professionnel (mais nominatif) de la boite. Ce qui est totalement irréalisable, et même illégal. En effet, j’avais lu pas mal de trucs sur le fait qu’un mail nominatif était personnel et qu’il était possible de recevoir des mails perso (et d’en envoyer) avec, a partir du moment ou ca ne nuit pas au travail du salarié. En clair, c’est toléré mais tout abus pourra être puni. Fair enough, comme ils disent en Angleterre.
�?a signifie que le mot de passe de la boite mail est personnel, et que par extension, les mots de passe des comptes nominatifs doivent être confidentiels, et a priori, je n’ai pas a les connaitre ni a les noter sur un fichier excel (c’est le cas actuellement, avec quelques gaulois qui ne l’ont pas mis).
J’ai trouvé pas mal de chose sur la problématique des mails:

Par contre, quand on lit ca, c’est largement moins fun:
http://www.journaldunet.com/solutions/expert/contenus/33756/gestion-et-archivage-des-mails---une-problematique-juridique-delicate.shtml
Sur ce blog, une liste des jurisprudences récente et c’est pas la joie non plus:

Et les dossiers de la cnil, intéressant mais pas forcement au fait de la pratique non plus
http://www.cnil.fr/dossiers/travail/

En revanche, je n’ai pas trouve d’information relative au stockage des mots de passe des salariés. Pour moi c’est illégal mais je ne trouve pas d’information pour confirmer ou infirmer cette thèse, sachant que ma direction veut absolument avoir les mot de passe de tout le monde (ce que j’estime inutile, puisque je peux reset les mots de passe, mais j’arrive pas a leur expliquer le concept - ou alors ils ont compris qu’en resettant, l’employé saura qu’on est passe sur le pc et c’est ca qu’ils veulent éviter… pas très classe)

Je vais continuer a fouiller le net, c’est toujours intéressant de ce maintenir au courant d’un problème épineux en administration réseau, mais si des gens ici ont déjà fait face au problème et qu’ils ont trouvé des liens intéressant pour justifier telle ou telle décision (qui va dans le sens du salarie ou de la direction, je ne suis pas juge pour le coup), ca m’intéresse pas mal.

LoneWolf
Et après, je me bats avec les salariés et la direction pour tout faire passer… Je vais pas me faire des copains :wink:

Normalement la charte informatique est validée par le CHSCT ou les représentants du personnels.
Si tu es chargé de la mettre à jour, je te conseil de travailler avec eux.
Ce que te demande ta DIrection est clairement hors du cadre de la loi.
C’est souvent le cas, et il faut savoir leur expliquer (j’espère que t’as des skills en communication) :slight_smile:

Si jamais il veulent valider un document foireux, je te conseil de prendre tes précautions.
Garde tous les documents montrant que tu ai remonté des alertes et que tu leur ai bien expliqué la situation.
En cas de problème, il faut pas que ça te retombe dessus :slight_smile:

J’espère que ta direction va pas tomber là-dessus.

edit: Tu peux aussi voir avec ta DRH et ta Direction Juridique :slight_smile:

Hors sujet, mais la radio à parler de ce site cette semaine, cette solution est juste hallucinant, capture d’écran régulière, key logger, le tout envoyé par mail au patron. D’ailleurs ça peux foutre en l’air toute la sécurité d’une PME puisqu’il suffirait juste d’accéder à la boite mail du boss pour récupérer tous les mots de passe des employés (professionnel ou non) grâce au keylogger. Et le pire, c’est que ça me semble légal du moment que l’employer prévient les employés.

ce genre de comportement de directeur/big brother m’a valu ma place dans mon ancien taf

sous pretexte d’une continuité de service machin, le DG m’a oralement donné l’ordre imperieux de faire sauter le password d’un employé ( mais genre dans la seconde)
il a ensuite cnsulté ses mails ( indifférement pro/perso)
j’ai gueulé, et j’ai prevenu l’agent par tel
l’agent à porter l’affaire devant les prud’homme, a gagner, j’ai perdu mon taf…
faute grave toussa
donc fais gaffe

Les infos pratiques sont plutôt clair sur le cadre légal il me semble.

ah oui alors quelques précisions:

C’est un groupement de plusieurs sociétés de moins de 10 personnes (donc pas de représentant, pas de CSHDTrucs, etc). La drh fait partie de la direction donc c’est bonnet blanc et blanc bonnet.

Et en fait, je peux très bien expliquer que c’est illégal ou que c’est du poulet, je dois montrer la loi qui dit que c’est illégal. On me ressort des trucs « mais oui mais la jurisprudence tout ca » sans me montrer les textes en question, c’est a moi de montrer que j’ai raison avec des liens pertinents.

Et effectivement, la difficulté est de se protéger. J’ai lu que le responsable info a la responsabilité du SI et que si y a un blême, ca lui retombe dessus s’il n’a pas mis en �?uvre les moyens de protections. J’ai fait pas mal de mails sur les risques a utiliser du soft « tombe du camion » (ouais je sais - et sur des serveurs en plus - et on me dit que c’est juste parce que j’ai pas bien cherché la licence qui doit trainer… ben tiens) mais la, il faut que je garde la preuve que j’ai propose une charte informatique a la direction et que s’il n’y en a pas a l’heure actuelle, c’est a cause de la direction qui ne l’a pas validé.

Et typiquement le cas de wack, où il faut avoir suffisamment d’aplomb pour réclamer une signature quand a l’ordre donné de faire sauter un mot de passe.

Donc je pense que je connais un peu la loi, mais ce qui m’intéresse plus c’est les textes qui précisent tout ca, et éventuellement les jurisprudences. J’ai retrouve des jurisprudences (cf premier post) mais j’ai pas trouvé de loi précise sur le sujet.

Toujours est il que je continue a fouiller le net et je tacherais de faire un recap ici, je pense que ca peut servir :slight_smile:

LoneWolf
A la pèche aux informations-aiguilles dans la meule de foin :wink:

=91&cHash=c95379fca7"]concernant le point de vue de la cnil sur la messagerie

concernant la problèmatique des mots de passe, c’est clair c’est NIET

Pour surveillersesbrebisgaleuses.com il me semble que ça tient plus du canular qu’autre chose (ou alors le gars il mérite simplement de brûler à côté de Judas, le gouvernement Nord-coréen, les Chinois, Christine A., Thierry L., Nicolas S. ou qui sais-je encore :slight_smile: et encore, je lui garderai même des cuilleres rouillées si il est sérieux).

ben surveillermesesclaves.com est bien enregistré auprès d’une société existant réellement :sick: …

Sinon, effectivement si tu es identifie comme responsable du SI tu peux tout prendre sur la tronche quand ça va pas : faille de sécurité car tu ne surveilles pas assez tes utilisateurs ou procès pour atteinte à la vie privée si tu surveilles trop … Il pourrait être intéressant pour toi de bien prendre le temps d’étudier le problème éventuellement avec un spécialiste (ya pas moyen de demander à la CNIL, ils doivent avoir des aides pour les entreprises).

PS : rien à voir, mais en cliquant sur réponse de ce thread, j’ai eu une quote du thread sur le sanibroyeur … WTF ?

D’où l’intérêt de bien garder les preuves de qui a pris une décision. Car on ne parle pas de prud’homme ici, mais de pénal…

Ce qui me semble hallucinant, c’est que dans une boite de moins de 10 personnes, il n’est pas possible de faire la loi autrement que par des artifices techniques borderline.

Et je ne veux pas dire, il n’y a pas besoin des mots de passe pour ouvrir une messagerie discrètement…

[quote=“darkhy, post:9, topic: 51837”]PS : rien à voir, mais en cliquant sur réponse de ce thread, j’ai eu une quote du thread sur le sanibroyeur … WTF ?
[/quote]
/me se retient très fort pour pas pondre une blague :))

Tant que c’est une blague que tu nous ponds hein :slight_smile:

J’ai précisé que je me retenais très fort :slight_smile:

oui mais bon la CNIL on s’en tape le barreau .

Yep, il me semble que la CNIL n’émet que des avis consultatifs, après c’est aux divers corps législatifs de mettre ceux-ci sous forme de loi… ou non… :frowning:

En gros, sont là pour faire beau et faire plaisir à Stallman.

La CNIL n’enquêtera pas. Mais si les déclaration légales obligatoires ne sont pas fait, cela n’est pas très favorable devant le juge.

Sur le stockage des MDP, c’est très con : Accéder à une boite quelconque quand on est admin est un jeu d’enfant, d’autre part :

Donc en gros si tu stockes les MDP, tout ce que contient la boite ne pourra être retenu contre le propriétaire…

De même, pour le logiciel de capture toutes les secondes, il faut prouver que c’est bien l’utilisateur en question qui est connecté.

C’est une des raisons pour laquelle certaines filiales de mon groupe utilise une authentification personnelle et non duplicable (la carte à puce + PIN). Toute action ne peut être qu’originaire de la personne. Il est possible de consulter les mail (y compris cryptés), mais toutes ces actions sont encadrés par un règlement strict et laisse des traces.

C’est à ce prix qu’une charte est efficace : elle doit protéger les employés et les employeurs. Si c’est un simple outil de pression, cela risque plutôt de pourrir l’ambiance, voire de couler la boite.

La politique de sécurité dans ma boite est sévère et stricte (certains se sont plaint ici même), mais jamais intrusive. Elle est globalement acceptée car les objectifs sont clairs et connus de tous.

Pas du tout, il peuvent auditer une boite si ça leur prend.
C’est arrivé chez un client.

oui il peuvent auditer . Mais bon What’s next ?

Au taf j’ai un truc qui date de 2004 de mémoire, sur les jurisprudences and co officiel (y a la marianne en haut, ok je me suis peut etre fait avoir), je te l’envoi. Ca donne une idée de ce qui est illégal.
Mais la charte peut etre illégal, mais appliqué.
Car nous à l’info on a boté : C’est le boulot du DRH, c’est SA RESPONSABILITE ! Ah nous de la faire appliquer, mais c’est tout. Je te la filerai aussi.

@€dit: on ma souvent demander de faire sauter un mdp mail ou windows: j’ai demandé un email de confirmation que je garde.

Mais j’ai résolu le pblm : La delegation de mail en lecture au chef. Apres il y a des chefs reglo et des putes.

Ben non c’est pas NIET, justement c’est le souci. Si ça porte préjudice à l’activité de l’entreprise qu’on puisse pas accéder à un PC, un tribunal (si tribunal il y a) tranchera en faveur de la boite.

Par contre lony, de ton côté perso, j’enverrai le boss se faire mettre, ou alors tu lui fais stipuler dans la charte informatique. Si c’est dans la charte, même si c’est pas légal, tu ne pourras pas en être tenu responsable.