Instruction n° 47 du 28 octobre 2003 sur l’utilisation du Système d’Information du Conseil de l’Europe

TABLE DES MATIERES

1. Objet
2. Limitations générales à l’utilisation du SI du Conseil de l’Europe
3. Droits et obligations des utilisateurs du SI du Conseil de l’Europe
4. Contrôles
5. Conséquences

Le Secrétaire Général du Conseil de l’Europe,

Considérant qu’il est nécessaire d’établir des directives sur l’utilisation du système d’information du Conseil de l’Europe,

Ayant consulté le Comité du Personnel, conformément à l’Article 5, para. 3 du Règlement sur la participation du personnel,

Décide comme suit :

1. Objet

1.1 La présente Instruction a pour but de :

  • définir les règles d’utilisation des moyens et données informatiques et téléphoniques - Système d’information (ci-après SI) du Conseil de l’Europe, quel que soit le service auquel l’utilisateur ou l’utilisatrice sont rattachés ;
  • préciser les responsabilités des utilisateurs ou des utilisatrices.

1.2 Elle annule et remplace le texte actuel intitulé « Charte utilisateur pour l’usage de ressources informatiques et de services Internet ».

1.3 Les règles contenues dans cette Instruction s’appliquent à tous les utilisateurs du SI du Conseil de l’Europe, c’est-à-dire à l’ensemble des agents du Conseil de l’Europe, tous statuts confondus ainsi qu’à toute autre personne à laquelle le Secrétaire Général ou la Secrétaire Générale ont octroyé l'accès au SI.

1.4 Le SI ainsi que tous les équipements permettant d’y accéder ne doivent être utilisés qu’en conformité avec les règles précisées dans cette Instruction. Les exceptions à ces règles requièrent le consentement du Secrétaire Général ou de la Secrétaire Générale ou de son représentant ou sa représentante et ne doivent être accordées que si elles sont nécessaires et urgentes. Si la nécessité d’une telle exception est due à un problème général, les Services des Technologies de l’Information (ci-après la DIT) devront mettre en place une procédure d’amendement de cette Instruction.

2. Limitations générales à l’utilisation du SI du Conseil de l’Europe

2.1 L´utilisation du SI du Conseil de l’Europe est soumise à autorisation. Cette autorisation est strictement personnelle et ne peut en aucun cas être cédée, même temporairement, à une tierce personne.

2.2 Le SI, propriété du Conseil de l’Europe, est réservé aux activités professionnelles de ses agents. L’usage privé du SI est toléré pour autant que :

  • ni les activités professionnelles de l’utilisateur ou de l’utilisatrice
  • ni la performance du SI
  • ni la réputation du Conseil de l’Europe

n’en soient affectées d’aucune manière et pour autant que cette utilisation ne représente qu’un coût marginal pour le Conseil de l’Europe. L’utilisateur ou l’utilisatrice peuvent, dans le respect de ce qui précède, créer des fichiers considérés comme « privés » ; ils sont toutefois sujets à contrôle conformément aux règles contenues dans la section 4 (« Contrôle ») de cette Instruction.

2.3 L’utilisateur ou l’utilisatrice doivent être conscients du fait que, en raison de l’obligation pour la DIT de vérifier la performance de la totalité du SI, toute utilisation du SI est susceptible d’être révélée de manière personnalisée aux Administrateurs Système ou Administratrices Système (voir la section 4, « Contrôle ») compétents.

2.4 Les appels téléphoniques générant des coûts importants (international, fixe vers mobiles) doivent être réalisés à bon escient. Si l’infrastructure téléphonique le permet, les appels personnels doivent être précédés du code confidentiel de l'agent ou de l’agente (voir le Guide d’utilisation du téléphone sur le site de la DIT - http://dit).

3. Droits et obligations des utilisateurs du SI du Conseil de l’Europe

3.1 Tout utilisateur ou toute utilisatrice sont responsables de l´emploi des ressources informatiques qui leur sont confiées. En particulier, il ou elle doivent appliquer les règles et recommandations de sécurité de la DIT. Il ou elle s’engagent à se tenir informés des évolutions de la présente Instruction et de toute adaptation des Systèmes dont le bon déroulement requiert leur participation active en consultant régulièrement le site de la DIT, ainsi que, le cas échéant, les instructions particulières propres à chaque entité (Cour européenne des Droits de l’Homme, Observatoire européen de l’Audiovisuel, Direction européenne de la Qualité du Médicament).

3.2 Tout utilisateur ou toute utilisatrice ont aussi le devoir de contribuer, à leur niveau, à la sécurité du SI. S’il ou elle identifient un problème de Sécurité, ils doivent prévenir la DIT.

3.3 Les utilisateurs doivent éviter toute activité susceptible d’occasionner :

  • des risques dans l’utilisation du SI ;
  • des risques de sécurité d’accès ;
  • des coûts induits par une mauvaise utilisation du SI ;
  • des dommages à la réputation du Conseil de l’Europe ou à l’autrui par un comportement illégal ou de nature à porter un préjudice moral ou matériel.
  • a. Afin d’éviter les risques afférents au fonctionnement du SI, les utilisateurs ne doivent installer aucun matériel ou logiciel sans l’autorisation expresse de la DIT (les utilisateurs seront tenus pour responsables des dommages causés au SI par l’utilisation non autorisée de logiciel ou de matériel).

  • La DIT a le droit – sans avertissement préalable – de déconnecter le matériel ou de détruire le logiciel installé en contravention à l’interdiction mentionnée ci-dessus et qui pourrait présenter un risque d’altération des performances du SI.
  • L´utilisateur ou l’utilisatrice s´engagent à ne pas apporter volontairement des perturbations au SI, soit par des manipulations anormales du matériel, soit par l´introduction de logiciels parasites connus sous le nom générique de virus, chevaux de Troie, bombes logiques, etc.
  • Malgré la présence de barrières techniques contre les virus, les utilisateurs doivent néanmoins se montrer particulièrement prudents dans l’ouverture de mails ou de pièces jointes douteuses. En cas de doute ou de danger manifeste de virus, l’utilisateur ou l’utilisatrice doivent contacter leur correspondant ou correspondante informatiques qui préviendront, le cas échéant, la DIT. L’avertissement aux autres utilisateurs sera exclusivement fait par la DIT.

    b. L’accès aux équipements du SI et à l’information contenue dans le SI lui-même est interdit aux personnes non autorisées.

  • Le contrôle d’accès est déterminé dans le SI par l’utilisation autorisée d’un login et d’un mot de passe personnels. Il est essentiel pour le bon fonctionnement du contrôle d’accès de garder son mot de passe secret. Toute fourniture d’un login/mot de passe personnels à une autre personne pourrait conduire à rendre responsables le propriétaire ou la propriétaire du login/mot de passe de toute action effectuée à l’aide de ce login/mot de passe. En cas de fourniture involontaire du login/mot de passe, l’utilisateur ou l’utilisatrice doivent contacter immédiatement la DIT afin que celle-ci effectue un gel du compte et fournisse un nouveau mot de passe à l’utilisateur ou à l’utilisatrice. Si l’infrastructure le permet, en cas d’absence prolongée dans le cas où une autre personne doit gérer sa mailbox en son absence et/ou faire usage des autres moyens techniques disponibles tels que le « out of office assistant » et les « autoforward rules » l’utilisateur ou l’utilisatrice doivent mettre en place les procédures de partage de boîte aux lettres.
  • Lors de l’utilisation d’équipements mobiles donnant accès à distance au SI du Conseil de l’Europe, l’utilisateur ou l’utilisatrice doivent sécuriser l’accès à ce matériel par un mot de passe afin d’éviter un accès non autorisé, notamment en cas de perte ou vol. Il appartient à l’utilisateur ou à l’utilisatrice de prendre des mesures supplémentaires de confidentialité en fonction du degré de sensibilité des données stockées.
  • En outre, les utilisateurs ne doivent envoyer par E-mail des informations confidentielles qu’en utilisant les possibilités de codage mises à leur disposition par le système et doivent également s’assurer qu’ils n’utilisent pas des adresses E-mail erronées ou de destinataires inappropriés.
  • c. L’utilisation du SI du Conseil de l’Europe ne doit pas entraîner des coûts non nécessaires.

  • L’envoi, le téléchargement, l’impression ou le gravage sur CD de fichiers de très grande taille doivent être limités aux cas d’absolue nécessité.
  • Le téléchargement, l’impression ou le gravage de CD pour un usage privé est interdit si l’activité professionnelle s’en trouve pénalisée (voir la section 2, « Limitations générales »).

Les utilisateurs ne doivent pas traiter, envoyer ou rechercher des informations à caractère illégal, telles que pédophilie, extrémisme xénophobe ou religieux, etc.

  • La visite et le téléchargement de fichiers dont l’utilisateur ou l’utilisatrice savent que leur contenu est illégal ou de nature à porter un préjudice moral ou matériel au Conseil de l’Europe ou à autrui est strictement interdit. Si l’accès à des contenus illégaux est, dans certains cas exceptionnels, nécessaire pour des raisons professionnelles, les utilisateurs peuvent demander une dérogation à la Direction des Ressources Humaines (ci-après la DRH). Si cette dérogation est accordée par la DRH, la DIT fournira l’accès nécessaire.
  • Afin d’assurer le respect de ce principe, le Conseil de l’Europe empêche l’accès aux sites suspectés d’illégalité ou de compromission. Les tentatives d’accès à ces sites sont bloquées par la DIT et un message d’avertissement est affiché dans le navigateur Internet de l’utilisateur ou de l’utilisatrice. L’identité de l’utilisateur ou de l’utilisatrice ne sera ni conservée, ni communiquée à une quelconque autorité à l’intérieur du Conseil de l’Europe.
  • Les utilisateurs doivent respecter les droits de copyright. Il est interdit de copier un logiciel installé par la DIT pour le SI du Conseil de l’Europe. Il est interdit de copier des fichiers de l’Internet qui tombent sous la protection du copyright sans autorisation préalable.
  • Les utilisateurs ne doivent pas enregistrer ou révéler de données sur des personnes identifiées ou identifiables (données personnelles) sans en avoir au préalable dûment obtenu l’accord de leur supérieur ou de leur supérieure, ceci dans le respect de la législation applicable en matière de protection des données et des règles internes au Conseil de l’Europe sur la protection des données. Des mesures plus restrictives peuvent être prévues dans des domaines spécifiques de l’activité de l’Organisation traitant de données particulièrement sensibles.

3.4 Les utilisateurs ne doivent pas outrepasser volontairement les limites de l’autorisation d’accès aux fichiers de données personnelles du SI du Conseil de l’Europe. S’ils accèdent non intentionnellement à de tels fichiers, ils ne doivent pas les exploiter et contacteront la DIT. Il revient à celle-ci de prendre les mesures qui s'imposent afin de prévenir de tels incidents à l'avenir.

4. Contrôles

4.1 La maintenance et la gestion techniques du SI imposent à la DIT d’analyser régulièrement l’utilisation qui est faite des moyens matériels et logiciels disponibles ainsi que le flux des données qui circulent sur le réseau.

4.2 Questions générales

  • La surveillance sera effectuée autant que possible de façon anonyme et automatisée. Les utilisateurs doivent toutefois être informés du fait que l’utilisation qu’ils font du SI est susceptible d’être révélée de manière personnalisée aux Administrateurs Système ou aux Administratrices Système dans le cadre de la supervision des performances du SI dans son ensemble. Cette possibilité s’étend aux fichiers ou communications reconnus comme privés ou qui sont évidemment privés.
  • Les Administrateurs Système s'abstiendront d'effectuer de quelque manière que ce soit des contrôles personnalisés de communication ou de stockage de données, en particulier si ces données sont déclarées ou sont à l’évidence privées, à moins qu’il ne soit nécessaire d’y accéder pour le bon fonctionnement du SI ou à moins d’en avoir reçu la demande émanant d’une autorité compétente du Conseil de l’Europe, en charge de la performance de travail de l’agent ou l’agente ou en charge de la gestion des dépenses, de la réputation ou de la légalité des actes du Conseil de l’Europe.
  • Les Administrateurs Système ne doivent diffuser d’informations à caractère personnel qu’en cas d'atteinte sérieuse aux intérêts du Conseil de l'Europe, comme, par exemple, une suspicion d’un comportement illégal de nature telle que le Secrétaire Général ou la Secrétaire Générale doivent en être informés immédiatement. Si des irrégularités dans l’utilisation du SI viennent à la connaissance de la DIT, elle demandera à la personne concernée de fournir une explication. Si la DIT estime cette explication insatisfaisante ou en cas d'irrégularités répétées, la DIT en informera le supérieur hiérarchique ou la supérieure hiérarchique de la personne concernée ou, dans le cas d'utilisateurs qui n'ont pas la qualité d'agent du Conseil de l'Europe, le Secrétaire Général ou la Secrétaire Générale, qui entameront les démarches nécessaires en accord avec les règles en vigueur pour assurer le respect de la présente Instruction.

4.3 E-mails, envoi et réception

  • Il découle de ce qui précède que le contenu de la mailbox d’un utilisateur ou d’une utilisatrice ne pourront être vérifiés que s’il existe un doute sur le respect par l'utilisateur ou l’utilisatrice de la règle selon laquelle il est interdit d'envoyer ou rechercher des informations illégales (par exemple : pédophilie, extrémisme xénophobe ou religieux, etc.)
  • La vérification du contenu des messages de la mailbox ne sera effectuée par la DIT que sur demande d’une autorité compétente du Conseil de l’Europe. Si des fichiers de données doivent être vérifiés, la personne concernée ainsi que les représentants du personnel seront informés préalablement à cette vérification, à moins que des mesures ne doivent être prises immédiatement afin de protéger le Conseil de l’Europe de risques sérieux ou que la personne concernée ne puisse être identifiée ou contactée en dépit d'efforts conséquents. Dans ce cas, l’information sera donnée dès que possible. Si nécessaire, la DIT peut prendre les mesures appropriées, tel que le gel du compte en question, pour préserver l'intégrité des données à contrôler ou du système-même.

4.4 Téléphone

La DIT peut être amenée à effectuer des vérifications sur les numéros de téléphone composés en cas de facture anormalement élevée.

5. Conséquences

5.1 Tout utilisateur ou utilisatrice du SI du Conseil de l’Europe acceptent qu’en cas d’infraction grave aux règles contenues dans la présente Instruction, leur accès au SI soit gelé par décision prise conjointement par la DRH et la DIT et que l’examen d’une réouverture de leur accès soit subordonné à une décision prise conjointement par ces deux Services.

Les infractions graves sont spécialement :

  • communication volontaire du login / mot de passe
  • communication illégale d’informations confidentielles et accès non autorisé à des informations confidentielles ou privées
  • tentatives illicites d’accès à des sites et de téléchargement à partir de sites à contenu illégal (par exemple, pédophilie, extrémisme xénophobe ou religieux, etc.) ou de nature à porter un préjudice moral ou matériel au Conseil de l’Europe ou à autrui
  • envoi de message à caractère illégal ou de nature à porter un préjudice moral ou matériel au Conseil de l’Europe ou à autrui

5.2 Des mesures disciplinaires seront, le cas échéant, prises conformément aux règles contenues dans le Statut du Personnel.

5.3 Tout différend en matière de protection des données à caractère personnel entre le Secrétaire Général ou la Secrétaire Générale et les utilisateurs pourra être soumis au Commissaire ou à la Commissaire à la Protection des Données, selon l’article 6, paragraphe (a) de l’annexe au Règlement du 17 avril 1989 instaurant un système de protection des données pour les fichiers de données à caractère personnel du Conseil de l’Europe.

Fait à Strasbourg, le 28 octobre 2003

Le Secrétaire Général,

Walter SCHWIMMER



 Haut de page

 

  Documents liés
 
   Documents connexes