Liste des politiques actives

Nom Type Consentement utilisateur
Synthèse de la Charte Informatique et de la politique RGPD de l’ESEIS Politique de site Tous les utilisateurs

Résumé

Synthèse de la Charte Informatique et de la politique RGPD de l’ESEIS

Politique complète

Synthèse de la Charte Informatique et de la politique RGPD de l’ESEIS

(Ecole Supérieure Européenne de l’Intervention Sociale)

I. Préambule

A.) Objet et champ d’application

Pour la sécurité du système d’information et le bon fonctionnement des processus métiers au sein de l’Ecole

Supérieure Européenne de l’Intervention Sociale (ESEIS), gérée par l’Association de Formation et de Recherche

en Action Sociale (AFRIS), la présente charte précise certaines dispositions règlementaires en matière d’usage

raisonné et responsable des ressources informatiques et technologiques :

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection

des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation

de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

• Rectificatif au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à

la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la

libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection

des données) ;

• Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Annexe au règlement intérieur de l’AFRIS-ESEIS, la présente charte informatique vise la sécurité du système

d’information (SI) et de communication de l’Ecole. Elle rappelle les droits et devoirs des utilisateurs en matière

de :

• Collecte des données à caractère personnel pour le besoin de l’activité professionnelle ;

• Comportements à risque susceptibles de porter atteinte à l’intérêt collectif de l’Ecole ;

• Exigences de sécurité à respecter ;

• L’utilisation des outils informatiques dans un cadre professionnel et formatif ;

• Sanctions encourues en cas de manquement aux dispositions de la charte informatique.

La présente charte concerne l’ensemble des moyens informatiques et de communication électronique qui sont mis

à la disposition des utilisateurs à des fins professionnelles exclusivement, et pour lesquels ceux-ci ont obtenu une

autorisation d’utilisation dans le cadre de leur activité professionnelle.

Les systèmes d’information et de communication sont notamment constitués des éléments suivants :

• Ordinateurs portables ou fixes

• Périphériques (y compris clés USB)

• Réseaux informatiques (serveurs, routeurs, connecteurs, bornes WIFI)

• Photocopieurs

• Téléphones fixes et smartphones

• Logiciels

• Fichiers informatiques et bases de données

• Espaces de stockage individuels et partagés

• Messagerie,

• Connexions internet, intranet

B.) Utilisateurs concernés

Sauf mention contraire, les dispositions la présente charte s’appliquent à toute personne utilisant le système

d’information de l’ESEIS : 1/5

2/5

• Étudiants,

• Salariés en CDI, CDD, à temps complet ou à temps partiel ;

• Personnels prestataires de service,

• Stagiaires,

• Intérimaires,

• Et de manière générale, à tout utilisateur ayant obtenu des droits d’utilisation du système informatique.

Les ressources de l’ESEIS sont exclusivement réservées à une utilisation dans le cadre de l’activité professionnelle

du personnel de l’institut :

• Formation,

• Recherche,

• Études,

• Diffusion d’informations scientifiques, techniques et culturelles, transferts de technologie,

• Expérimentation et développement de nouveaux services présentant un caractère d’innovation technique,

• Mais également toute activité administrative et de gestion accompagnant ces activités.

C.) La protection des données à caractère personnel

Conformément aux articles 121 et 122 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers

et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016,

la présente charte engage l’ensemble des personnes au sein de l’AFRIS-ESEIS à prendre toutes les précautions

conformes aux usages dans le cadre de leurs attributions afin de protéger la confidentialité des informations

auxquelles elles ont accès, et en particulier d’empêcher qu’elles soient communiquées à des personnes non

expressément autorisées à recevoir ces informations.

Conformément au Règlement général sur la protection des données (RGPD), la collecte des données personnelles

est effectuée pour permettre un traitement compatible avec les missions d’un centre de formation : employés,

apprenants, fournisseurs, partenaires. Cette collecte prend en compte les critères de : minimisation des données,

durée de conservation, consentement des personnes concernées, respect des droits des personnes et de sécurisation

des données.

Au sein de l’AFRIS-ESEIS, un Délégué à la protection des données (DPO) a pour rôle d’accompagner les

personnes et de veiller aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des

finalités du traitement et de la sécurité des données des système d’information.

Vous pouvez contacter le DPO de l’ESEIS au : DPO-RGPD@ESEIS-AFRIS.EU

Ceci recouvre notamment les missions suivantes :

• Informer et conseiller les personnes chargées du traitement des données sur les obligations qui leur

incombent en vertu du RGPD et d’autres dispositions légales et réglementaires en matière de protection

desdites données ;

• Contrôler le respect du RGPD et des autres dispositions légales et réglementaires applicables en matière

de protection des données à caractère personnel, y compris en ce qui concerne la répartition des

responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement ;

• Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des

données et vérifier l’exécution de celle-ci en vertu du RGPD ;

• Coopérer avec l’autorité de contrôle, à savoir la CNIL ;

Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris en

matière de consultation ;

Le DPO tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de

traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

3/5

II. Règles de sécurité

Tout utilisateur devra faire preuve de la plus grande prudence concernant la gestion du matériel qui lui a été confié.

L’ESEIS dispose d’anti-virus et de pares-feux. Toutefois, la mise en place de ces mesures de protection ne dispense

pas les usagers de la plus grande prudence.

Tout utilisateur a la charge, à son niveau, de contribuer à la sécurité des moyens informatiques mis à sa disposition

et est tenu de signaler au responsable informatique toute anomalie, toute tentative d’intrusion extérieure, de

falsification ou de présence de virus.

A) Paramètres de connexion

Tout accès sans autorisation au système d’information de l’ESEIS est interdit.

Le système d’information est accessible selon des paramètres de connexion individuels : comptes, badges,

identifiants (login), et mots de passe qu’il appartient à chaque utilisateur de mémoriser :

Le mot de passe doit avoir au moins 6 caractères, ne pas contenir le nom de l’utilisateur et respecter au moins 3

des 4 règles :

• Caractères majuscules de l'alphabet anglais (A à Z)

• Caractères minuscules de l'alphabet anglais (a à z)

• Chiffres de la base 10 (0 à 9)

• Caractères non alphabétiques (par exemple, !, $, #, %)

L'accès au système d'information (messagerie électronique ou téléphonique, session sur les postes de travail, réseau

interne, applications métiers, ENT) est protégé par des paramètres de connexion (identifiant, mot de passe).

Les paramètres de connexion communiqués à l’utilisateur sont confidentiels. Ils ne doivent pas être transmis à des

tiers. Ils doivent être saisis par l’utilisateur à chaque accès et respecter un degré de complexité en conformité avec

les recommandations du Directeur Informatiques.

Les mots de passes sont strictement personnels, doivent restés confidentiels, ne pas être conservés en mémoire

dans le système d’information et doivent être changés tous les 90 jours. La communication à des tiers de codes

permettant l’accès au système d’information est strictement interdite.

Par ailleurs l’utilisateur s’engage à ne pas utiliser ou tenter d'utiliser des comptes autres que ceux qui lui ont été

attribués, même avec l’accord de leurs détenteurs. Il veillera également à ne pas quitter son poste de travail en

laissant la possibilité à des tiers d’accéder au système informatique.

Un livret des procédures est remis à chaque salarié lors de son embauche et est mis à jour en continu par le site

Intranet de l’ESEIS.

Des formations dédiées aux systèmes contenant les données sensibles de l’école sont tenues régulièrement,

notamment sur le logiciel du cœur du métier YPAREO, dont la dernière date du 17 novembre 2022.

B) Messagerie électronique

Afin d’éviter l’introduction de virus susceptibles d’endommager le système d’information de l’ESEIS, l’utilisateur

de messagerie professionnelle s’engage à :

• Ne pas ouvrir, ni répondre, ni transférer des messages électroniques tels que spams ou chaînes de

messages électroniques répétés, mais à avertir le responsable informatique en cas d’abus de fréquence ;

• Ne pas ouvrir les pièces jointe reçues de l’extérieur quand l’émetteur du message est inconnu ;

• Ne pas faire suivre les messages d’alerte de l’arrivée d’un virus mais prévenir immédiatement le Directeur

Informatique.

4/5

C) Depuis son environnement numérique de travail, l’utilisateur s’interdit de :

• Modifier la configuration de son poste de travail effectuée par le responsable informatique, que ce soit

par adjonction, suppression ou modification ;

• Se connecter à des sites illicites ou contraires à l’ordre public et aux bonnes mœurs, ceux-ci étant sources

de virus ou d’éléments pouvant contaminer le réseau ;

• Télécharger des fichiers, en particulier médias (audio ou vidéo), sans rapport avec l’activité

professionnelle ou présentant un risque pour l'école ;

• Mettre à la disposition d’utilisateurs non habilités un accès aux matériels, réseaux ou système

d’information de l’ESEIS ;

• Emporter hors des locaux de l’école les équipements informatiques de l’ESEIS, sauf accord express du

Directeur Informatique et/ou pratique du télétravail.

• Lorsque l’utilisateur est autorisé à sortir le matériel informatique en dehors des locaux, il ne devra pas les

laisser à portée de main d’un tiers ou les laisser dans son véhicule en son absence.

En cas de vol, perte, détournement, détérioration ou dysfonctionnement, l’utilisateur est tenu d’avertir sans

délai le Directeur Informatique

III. Sécurité

A.) Rôle de l’Association et du service informatique de l’AFRIS-ESEIS

En conformité avec les dispositions légales sur la loi informatique et liberté et par délégation de la direction

générale, le service informatique de l’AFRIS-ESEIS assure la sécurité matérielle et logicielle du système

d'information et de communication. Il veille à limiter les accès aux ressources sensibles et à sécuriser les données

ainsi que l’intégrité du réseau informatique.

L’administrateur réseau a en charge le paramétrage du réseau informatique de l'Ecole. Il veille à l’opérationnalité

et à l’évolution du réseau. Il assure la sécurité et la sauvegarde des données sur le réseau à deux endroits sécurisés

et cloisonnés chaque soir.

En cas d’incident, le plan de reprise d’activité permet de mettre en place l’infrastructure au complet sous 24 heures

maximum, et ce peu importe le site.

Les données des clients sont stockées séparément au sein du logiciel YPAREO. Les données sur le réseau ne sont

accessibles qu’au profil des utilisateurs de l’ESEIS accrédités pour le client.

Les données des clients ne sont accessibles qu'à travers le réseau de l’école. Si le salarié travaille à distance, il doit

se connecter au réseau de l’école et valider son profil.

Le réseau de l’école est protégé par un par feu ZyXEL avec l’antivirus Trend pour les serveurs Microsoft 2012 et

Microsoft 2019 ainsi les PC Windows 10 et Windows 11 et sont mises à jour régulièrement. Notre logiciel de

gestion YPAREO est mis à jour en collaboration avec YMAG à chaque sortie d’une nouvelle version.

L’utilisation des services et notamment des ressources matérielles et logicielles ainsi que les échanges via le réseau

peuvent être analysés à travers les logs archivés quotidiennement et contrôlés dans le respect de la législation et

notamment dans le respect des règles relatives à la protection de la vie privée et au respect des communications

privées.

Les matériels de l’école ainsi que les accès sont tracés et notés dans les registres de l’école par utilisateur. En cas

de perte, le service informatique doit être notifié immédiatement et tout sera bloqué. Des alertes de sécurité sont

en place et informe le service informatique de toute infraction en temps réel.

B.) Responsabilité de l’utilisateur

L'utilisateur est responsable des ressources qui lui sont confiées dans le cadre de l'exercice de ses fonctions. Il doit

concourir à la protection des dites ressources, en faisant preuve de prudence et de vigilance. En particulier, il doit

signaler au responsable informatique toute violation ou tentative de violation de l’intégrité de ces ressources, et,

de manière générale tout dysfonctionnement, incident ou anomalie.

5/5

En cas d'absence, même temporaire, de son poste de travail, il est impératif que l'utilisateur verrouille l'accès au

matériel qui lui est confié, dès lors que celui-ci contient des informations à caractère professionnel ou que son

poste permet d’accéder à des plateformes collaboratives de travail détentrices d’informations sensibles (Région

Grand Est, Pôle emploi, etc.).

L'utilisateur doit travailler sur l’espace professionnel du serveur qui lui est réservé et ne pas enregistrer des fichiers

sur des espaces qui ne font pas l’objet de sauvegardes régulières. Il doit régulièrement supprimer les données

devenues inutiles sur les espaces communs du réseau.

L'utilisateur doit éviter d'installer ou de supprimer des logiciels, de copier ou d'installer des fichiers susceptibles

de créer des risques de sécurité au sein du réseau de l’AFRIS-ESEIS sans l’avis du responsable informatique. Il

ne doit pas non plus modifier les paramétrages de son poste de travail ou des différents outils mis à sa disposition,

ni contourner aucun des systèmes de sécurité mis en œuvre dans l’entreprise.

L'utilisateur s’oblige en toutes circonstances à se conformer à la législation, qui protège notamment les droits de

propriété intellectuelle, le secret des correspondances, les données personnelles, les systèmes de traitement

automatisé de données, le droit à l'image des personnes, l'exposition des mineurs aux contenus préjudiciables. Il

ne doit en aucun cas se livrer à une activité concurrente à celle de l'Ecole ou susceptible de lui causer un quelconque

préjudice en utilisant le système d'information et de communication.

C.) Propriété intellectuelle

1.) Cadre général

Il est strictement interdit de reproduire et d’exploiter des œuvres protégées par le droit d’auteur sans l’autorisation

de l’auteur ou du titulaire des droits des textes, images, de la musique ou de la vidéo.

2.) Cas particulier

Les cours diffusés par les formateurs dans le cadre de leur exercice professionnel entrent de plein droit dans ce

cadre et bénéficient de cette protection, quel que soit le moyen de diffusion utilisé. Chaque fois que nécessaire, et

pour toute cession totale ou partielle de ce droit, seront précisés d’un commun accord et par écrit les droits

d’utilisation de cette œuvre, son étendue et sa destination, son lieu et sa durée.

En revanche, en application de l’article L.113-2 alinéa 3 et L.113-5 du Code de la propriété intellectuelle, la

réalisation et la production de parcours de formation qui impliquent une activité créatrice collective réalisée dans

le cadre du contrat de travail des auteurs reste la propriété de l’AFRIS-ESEIS. L’AFRIS-ESEIS est investie des

droits de l'auteur et détient des droits d’auteur exclusifs (moraux et patrimoniaux) sur le contenu et les supports de

formation.

3.) Information et publication

Annexe au règlement intérieur, elle est affichée publiquement et a fait l'objet d'un dépôt au greffe du conseil de

prud'hommes ainsi qu’une communication à l'Inspection du travail.

Un exemplaire de la charte informatique est remis à chaque salarié et utilisateur.

Il est tout à fait possible d’en obtenir un nouvel exemplaire par voie électronique en en formulant directement la

demande auprès du service informatique : charte-informatique@eseis-afris.eu

En cas de besoin, les utilisateurs pourront être formés par le service informatique pour appliquer les règles

d’utilisation du système d’information et de communication prévues.

4.) Sanctions

Le manquement aux règles et mesures de sécurité décrites dans la présente charte est susceptible d’engager la

responsabilité de l’utilisateur et d’entraîner à son encontre des avertissements, des limitations ou suspensions

d’utiliser tout ou partie du système d’information et de communication, voire des sanctions disciplinaires,

proportionnées à la gravité des faits concernés. Dans ce dernier cas, les procédures prévues dans le règlement

intérieur et dans le Code du travail seront appliquées.