Centre Eugène Marquis
20
Charte d’accès et d’usage du Système
d’Information du Centre Eugène Marquis
Annexe I du règlement intérieur du Centre Eugène Marquis de Rennes
TABLE DES MATIERES
1 Objet du document .................................................................................................. 21
2 Champ d’application ................................................................................................. 21
3 Les fondamentaux de la sécurité des SI ...................................................................... 22
3.1 Principes ........................................................................................................... 22
3.2 Une mission sécurité ........................................................................................... 22
3.3 Un enjeu technique et organisationnel .................................................................. 22
3.4 Une gestion des risques ...................................................................................... 22
4 Règles de sécurité .................................................................................................... 23
4.1 Identification des personnels ............................................................................... 23
4.1.1 Arrivée d’un utilisateur .................................................................................. 23
4.1.2 Départ ou suspension d’activité d’un utilisateur ................................................ 23
4.1.3 Moyens d’authentification .............................................................................. 24
4.2 Bon usage de l’information .................................................................................. 25
4.2.1 Confidentialité de l’information et obligation de discrétion ................................. 25
4.2.2 Protection de l’information ............................................................................. 25
4.3 Bon usage des outils de communication ................................................................ 26
4.3.1 Usage du téléphone, des GSM et du fax .......................................................... 26
4.3.1 Usage des outils de visioconférence et de téléconsultation ................................. 26
4.3.2 Usage d’Internet .......................................................................................... 27
4.3.3 Usage de l’Intranet ....................................................................................... 27
4.3.1 Usage de la messagerie ................................................................................ 28
4.3.1 Autres moyens sécurisés de transferts de données ........................................... 29
4.4 Bon usage des ressources informatiques ............................................................... 29
4.4.1 Utilisation responsable des équipements informatiques ..................................... 29
4.4.1 Usage des périphériques de stockage ............................................................. 30
4.4.2 Usage des consommables ............................................................................. 30
4.5 Usage de terminaux personnels ........................................................................... 31
5 Informatique et Libertés ........................................................................................... 32
6 Surveillance du Système d’Information ....................................................................... 32
6.1 Traçabilité ......................................................................................................... 32
6.1 Contrôle ............................................................................................................ 33
6.2 Alertes .............................................................................................................. 33
7 Responsabilités et sanctions ...................................................................................... 33
8 Mise à jour de cette charte ........................................................................................ 34
Centre Eugène Marquis
21
1
Objet du document
La présente Charte a pour objet de décrire les règles d'accès et d’utilisation des ressources
informatiques, des applications et des services Internet du Centre Eugène Marquis et rappelle à
ses utilisateurs les droits et les responsabilités qui leur incombent dans l’utilisation du Système
d’Information.
Elle pose des règles permettant d’assurer la sécurité et la performance du Système
d’Information de l’établissement, de préserver la confidentialité des données dans le respect de
la réglementation en vigueur et des droits et libertés reconnus aux utilisateurs, conformément à
la politique de sécurité du Système d’Information définie par l’établissement.
Cette Charte a été validée par la Direction Générale de l’établissement. Préalablement à sa mise
en œuvre, elle a été notifiée au Comité Social et Economique et à la Commission Médicale
d’Etablissement. Elle constitue une annexe au Règlement Intérieur de l’établissement.
Les membres du personnel et les personnels extérieurs sont invités à en prendre connaissance
et à l’accepter formellement à leur prise de fonction. La Charte est disponible sur l’Intranet.
Les obligations de sécurité supplémentaires des fournisseurs et prestataires de service sont
décrites dans une Charte additionnelle et spécialisée disponible auprès de la Direction des
Systèmes d’Information.
2
Champ d’application
La présente Charte concerne les ressources informatiques, les applications, les services Internet
et téléphoniques du Centre Eugène Marquis, ainsi que tout autre moyen de connexion à
distance permettant d’accéder, via le réseau informatique, aux services de communication ou
de traitement électronique interne ou externe. Il s’agit principalement des ressources suivantes
:
Ordinateurs et terminaux fixes et portables ;
Copieurs, imprimantes simples ou multifonctions, scanners ;
Tablettes et Smartphones ;
Téléphones d’entreprise ;
Applications hébergées au CEM ;
Services métiers hébergés sur internet.
Cette Charte s’applique à l’ensemble du personnel du Centre Eugène Marquis, tous statuts
confondus. Elle concerne également les personnels permanents ou temporaires (stagiaires,
internes, doctorants, prestataires, fournisseurs, sous-traitants, …) utilisant les moyens
informatiques de l’établissement et les personnes qui ont la possibilité d’accéder au Système
d’Information à distance.
Dans la présente Charte, sont désignés sous les termes suivants :
Ressources informatiques : les moyens informatiques, ainsi que ceux auxquels il
est possible d’accéder à distance, directement ou en cascade à partir du réseau
administré par l’entité ;
Outils de communication : la mise à disposition par des serveurs locaux ou distants
de moyens d’échanges et d’informations diverses (Portail VPN, web, messagerie,
visioconférence, téléphonie, etc.) ;
Utilisateurs : les personnes ayant accès ou utilisant les ressources informatiques et
les outils de communication de l’établissement.
Centre Eugène Marquis
22
3 Les fondamentaux de la sécurité des SI
3.1 Principes
Le Centre Eugène Marquis héberge des données et des informations médicales et
administratives sur les patients (dossier médical, dossier de soins, dossier images et autres
dossiers médicotechniques, …), et sur les personnels (paie, gestion du temps, évaluations,
accès à Internet et à la messagerie, …).
L’information se présente sous de multiples formes : stockée sous forme numérique sur des
supports informatiques, imprimée ou écrite sur papier, imprimée sur des films (images),
transmise par des réseaux informatiques privés ou internet, par la poste, oralement et/ou par
téléphone...
La sécurité de l’information est caractérisée comme étant la préservation de :
- Sa disponibilité : l’information doit être accessible à l’utilisateur, quand celui-ci en a
besoin ;
- Son intégrité : l’information doit être exacte, exhaustive et conservée intacte pendant
sa durée de vie ;
- Sa confidentialité : l’information ne doit être accessible qu’aux personnes autorisées à
y accéder ;
- Sa traçabilité : les systèmes doivent comporter des moyens de preuve sur les accès et
opérations effectuées sur l’information.
3.2 Une mission sécurité
La Direction des Systèmes d’Information (DSI ci-après) fournit un Système d’Information qui
s’appuie sur une infrastructure informatique. Il doit assurer la mise en sécurité de l’ensemble
c’est-à-dire protéger ces ressources contre des pannes, des erreurs ou des malveillances. Il doit
aussi protéger les intérêts économiques de l’établissement en s’assurant que ces moyens sont
bien au service de la production de soins. Il doit donc définir et empêcher les abus.
3.3 Un enjeu technique et organisationnel
Les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre
juridique sur l’usage des données personnelles de santé.
Pour cela, la Direction des Systèmes d’Information déploie un ensemble de dispositifs
techniques mais aussi organisationnels. En effet, au-delà des outils, la bonne utilisation des
moyens informatiques est essentielle pour garantir un bon niveau de sécurité. La sécurité peut
être assimilée à une chaîne dont la solidité dépend du maillon le plus faible. Certains
comportements humains, par ignorance des risques, peuvent fragiliser le Système
d’Information.
3.4 Une gestion des risques
L’information médicale, qu’elle soit numérique ou non, est un composant sensible qui intervient
dans tous les processus de prise en charge des patients. Une information manquante, altérée
ou indisponible peut constituer une perte de chance pour le patient (exemples : erreur dans
l’identification d’un patient (homonymie par exemple), perte de données suite à une erreur
Centre Eugène Marquis
23
d’utilisation d’une application informatique, …). La sécurité repose sur une gestion des risques
avec des analyses des risques potentiels, des suivis d’incidents, des dispositifs d’alertes. La
communication vers les utilisateurs est un volet important de cette gestion. La présente Charte
d’accès et d’usage du Système d’Information s’inscrit dans ce plan de communication.
4
Règles de sécurité
4.1 Identification des personnels
Il est indispensable pour garantir la sécurité du Système d’Information, que la Direction des
Ressources Humaines et la Direction des Systèmes d’Information, par son intermédiaire,
connaissent de façon exacte, et à tout moment, la population qui travaille dans l’établissement
et/ou est susceptible d’avoir accès à l’information, et le rôle de chaque professionnel.
4.1.1 Arrivée d’un utilisateur
L’accès au Système d’Information de l’établissement, et aux informations médicales à caractère
personnel qu’il contient, est soumis à autorisation.
Tout professionnel arrivant au Centre Eugène Marquis est reçu par la Direction des Ressources
Humaines qui lui fournit la présente Charte et recueille son acceptation formelle sur la fiche de
renseignements administratifs. Une fois la Charte acceptée, une demande de création de
compte est envoyée à la DSI avec le profil métier du nouvel arrivant.
Chaque profil dispose de droits d’accès et de droits d’usage propre à sa fonction. Le détail des
droits d’accès aux différentes fonctions des applications médicales, pour chacun des profils du
CEM, est disponible sur l’intranet du CEM à côté du règlement intérieur.
Ce droit d’accès est strictement personnel et concédé à l’utilisateur pour des activités
exclusivement professionnelles. Il ne peut être cédé, même temporairement à un tiers. Il est
donc interdit de permettre ou de favoriser l’accès au Système d’Information à toute personne
dont la présence ne serait pas dûment répertoriée par la Direction des Ressources Humaines,
par exemple les personnels conventionnés, stagiaires, thésards, vacataires, intérimaires,
prestataires ou tout autre type d’intervenant, extérieur au Centre Eugène Marquis.
L’obtention d’un droit d’accès au Système d’Information de l’établissement de santé entraîne
pour l’utilisateur les droits et les responsabilités précisées dans la suite de ce document.
4.1.2 Départ ou suspension d’activité d’un utilisateur
Tout droit prend fin lors de la cession, même provisoire, de l’activité professionnelle de
l’utilisateur, ou en cas de non-respect des dispositions de la présente Charte par l’utilisateur. La
Direction des Ressources Humaines prévient au plus vite la Direction des Systèmes
d’Information du départ définitif d’un professionnel ou de son absence longue durée pour
pouvoir supprimer ou adapter les droits d’accès aux informations de l’établissement.
Au départ d’un utilisateur, la DSI procède à la désactivation immédiate du compte Windows ce
qui provoque la perte de l’accès à son répertoire personnel, à sa messagerie professionnelle et
sécurisée. Un message d’absence définitive sera installé invitant à correspondre avec une autre
adresse de messagerie de substitution.
Ces trois éléments seront détruits définitivement 3 mois calendaires après le départ de
l’utilisateur.
Centre Eugène Marquis
24
Pendant cette période, tout sous-répertoire ou dossier de messagerie portant une mention
« privé », « personnel » ou « confidentiel » pourra être restitué par la DSI à l’utilisateur, si
l’utilisateur est parti de manière non standard (maladie, accident, faute grave) et n’a pu
récupérer ses données personnelles.
L’accès aux données professionnelles (exclusivement) sera temporairement accordé au N+1
pendant la période de conservation.
En cas de remplacement par un autre utilisateur ce dernier n’aura pas accès à la boite mail du
partant si celle-ci est nominative, seul le responsable de l’ancien utilisateur pourra faire la
liaison.
4.1.3 Moyens d’authentification
Chaque utilisateur dispose d’un compte nominatif lui permettant d’accéder aux applications du
Système d’information de l’établissement. Ce compte est personnel. Il est strictement interdit
d’usurper une identité en utilisant ou en tentant d’utiliser le compte d’un autre utilisateur ou en
agissant de façon anonyme dans le Système d’Information.
L’accès aux données de santé à caractère personnel des patients par des professionnels
habilités se fait avec une carte CPS ou un moyen d’authentification de type identifiant/mot de
passe.
L’accès au Système d’Information depuis l’extérieur de l’établissement se fait avec une carte
CPS ou via un mécanisme d’authentification forte de type login/mot de passe/SMS de contrôle.
Le mot de passe choisi doit être robuste (8 caractères minimum, mélange de chiffres, lettres
minuscules et majuscules et caractères spéciaux), de préférence simple à mémoriser, mais
surtout complexe à deviner. Le mot de passe est strictement confidentiel et doit être renouvelé
selon la périodicité définie dans le cadre de la politique de sécurisation du système
d’information (a minima chaque année). Il ne doit pas être communiqué à qui que ce soit : ni à
des collègues, ni à sa hiérarchie, ni au personnel en charge de la sécurité des systèmes
d’information, même pour une situation temporaire. L’utilisateur ne doit jamais enregistrer son
mot de passe lorsqu’une application ou un navigateur web lui propose, encore moins sur un
ordinateur public.
Chaque utilisateur est responsable de son compte et de l’usage qui en est fait. Il ne doit ainsi
pas mettre à la disposition de tiers non autorisés un accès aux systèmes et aux réseaux de
l’établissement dont il a l’usage. La plupart des systèmes informatiques et des applications de
l’établissement assurent une traçabilité complète des accès et des opérations réalisées à partir
des comptes sur les applications médicales et médicotechniques, les applications
administratives, le réseau, la messagerie, l’Internet, … Il est ainsi possible pour l’établissement
de vérifier
a posteriori
l’identité de l’utilisateur ayant accédé ou tenté d’accéder à une
application au moyen du compte utilisé pour cet accès ou cette tentative d’accès.
Ces données étant considérées comme des données à caractère personnel dans le cadre du
règlement européen sur la protection des données, le professionnel pourra exercer ses droits
auprès du service des ressources humaines ou du Délégué à la Protection des Données du
Centre.
Il est interdit de contourner ou de tenter de contourner les restrictions d’accès aux logiciels.
Ceux-ci doivent être utilisés conformément aux principes d’utilisation communiqués lors de
formations ou dans les manuels et procédures remis aux utilisateurs.
L’utilisateur s’engage enfin à signaler toute tentative de violation de son compte personnel.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
1
/
21
100%
