Directives d'utilisation des équipements informatiques
Glossaire
- SI : service informatique de la HES‐SO Fribourg
- SIU : Service Informatique d'unité (service de proximité d'une école, une filière)
But des directives
La politique de la HES‐SO Fribourg en matière d’utilisation des équipements informatiques a toujours été largement ouverte. Cette politique a permis aux utilisateurs‐trices de remplir avec succès leurs missions. La continuité de cette stratégie doit toutefois tenir compte du fait que les utilisateurs‐trices et les équipements informatiques sont de plus en plus nombreux et différenciés. Il apparaît donc nécessaire de rendre publiques, sous forme de directives, les normes qui permettent un fonctionnement optimal des moyens informatiques et d'assurer la sécurité des données de tout le monde.
Champ d’application
La présente directive définit les principes qui doivent être respectés lors de l'utilisation de tous supports numériques pouvant se connecter aux réseaux HES-SO Fribourg (équipements fournis par les écoles ou BYOD - Bring your own device).
Ces directives s'adressent à toutes les personnes autorisées à se connecter à nos systèmes d'informations et à nos données. Elles s'adressent aussi à des utilisateurs‐trices temporaires (stagiaires, visiteurs, participants aux cours ou séminaires organisés dans les bâtiments de la HES‐SO Fribourg).
Documentations / Informations aux utilisateurs‐trices
En plus de la présente directive, les utilisateurs‐trices (voir paragraphe 2 ci‐dessus) doivent respecter et appliquer les prescriptions et règles décrites dans des documents techniques rédigés par le service informatique (SI).
Tous ces documents se trouvent sur le site web du SI.
Le SI informe régulièrement les utilisateurs-trices en cas de modification de directives ou règlements. Toutefois, il est de la responsabilité des utilisateurs-trices de consulter régulièrement les directives et règles en vigueur et en cas de doutes de se renseigner auprès du SI.
Règles d'utilisation des équipements
Nous distinguons deux types d'équipements.
COD (Corporate Own Device)
Tous les équipements informatiques mis à disposition complètement ou partiellement par la HES‐SO Fribourg.
BYOD (Bring Your Own Device)
Tous les équipements informatiques n’appartenant pas à la HES‐SO Fribourg et qui se connectent au réseau de la HES‐SO Fribourg (exemple portables étudiant‐e‐s).
Installation et configuration des équipements "COD"
Les équipements "COD" sont installés et configurés (matériel et logiciels) par le SI ou par les services informatiques d’unité (SIU), selon des standards définis par le SI.
Les utilisateurs‐trices n'ont pas le droit sans autorisation explicite du SI ou d’une SIU de :
- déplacer les équipements ;
- enlever, changer, ajouter des composants matériel;
- installer des logiciels sans licence valable ou perturbant les logiciels officiels.
Installation et configuration des équipements "BYOD"
Lorsqu’ils se connectent au réseau de l’école, les utilisateurs‐trices doivent respecter les règles suivantes:
- s'assurer que leur machine est à jour avec les "correctifs de sécurité" ;
- vérifier que leurs programmes et les fichiers de signatures "antivirus" sont à jour ;
- effectuer des analyses antivirus régulières ;
- ne pas travailler avec des logiciels piratés.
Le SI n'est pas responsable de la gestion et configuration des appareils BYOD. Le SI s'assure uniquement des connexions vers les ressources des écoles de la HES-SO Fribourg.
Logiciels
Aux termes de la loi sur les droits d'auteurs entrée en vigueur le 1er juillet 1993, toute copie de logiciels est interdite. L'utilisateur‐trice s'engage à ne faire aucune copie des logiciels avec licences mis à sa disposition sur le réseau de l'école ou dans les laboratoires, de même il s'engage à supprimer les logiciels mis à sa disposition lorsqu'il quitte la HES‐SO Fribourg.
L’installation d’un logiciel sur un équipement de la HES‐SO Fribourg, n’est autorisée que si la HES‐SO Fribourg (ou l’utilisateur‐trice, en cas d’un équipement individuel) possède une licence valable. L’installation et l’utilisation d’un logiciel "piraté" est interdite.
Les logiciels achetés au travers des différentes plateformes mises à disposition par la HES-SO Fribourg sont soumises à des règlements spécifiques. Il est de la responsabilité des utilisateurs‐trices de s'informer sur chaque plateforme des règles en vigueur et ceci avant tout achat.
Accès aux ordinateurs
Les modalités d'accès aux équipements informatiques sont définies par le SI. Les "Noms d'utilisateurs‐ trices" et les "mots de passe" sont délivrés à titre personnel. Ils sont strictement confidentiels et ne doivent pas être divulgués à des tiers.
Les comptes sont protégés par un système MFA, authentification à multifacteur. Les utilisateurs-trices doivent s'équiper d'un appareil privé (BYOD) permettant la double authentification. (Mobile, clé de sécurité, ...)
Mot de passe
Les utilisateurs‐trices appliquent les règles du SI concernant la complexité et la durée de vie des mots de passe (voir paragraphe 3 ci‐dessus). Les utilisateurs‐trices doivent s'engager à prendre toutes les mesures qui s'imposent afin de prévenir toute utilisation frauduleuse de leur compte informatique. Dans le cas où l’utilisateur‐trice n'a pas respecté les consignes de sécurité, il est responsable de l'utilisation abusive de son compte personnel.
Sauvegarde des données
Par défaut, les données locales (disques durs des PC, PC portables) ne sont pas sauvegardées. Pour garantir une sauvegarde adéquate, les utilisateurs‐trices sont responsables de copier ou stocker les données professionnelles sur les serveurs de la HES‐SO Fribourg.
En cas de de non-respect de cette pratique, le SI ne pourra être tenu pour responsable.
Accès aux données et systèmes
L'accès aux données et systèmes informatiques est garantie durant la période d’activité à la HES‐SO Fribourg. L'accès aux systèmes est complètement bloqué 3 mois après la fin des rapports de service ou des études. L'utilisateur‐trice est responsable de sauvegarder ses données ou de transférer les données pouvant être utiles à l'école. Il transmettra à son‐sa supérieur‐e les informations nécessaires pour l'accès aux données à conserver. Sans informations fournies les données et les accès seront supprimés dans le délai prévu. Toute demande de dérogation sera transmise à l'administration par le responsable du service, de l'école ou de la filière, qui fera suivre l'information au service informatique.
Stockage des données dans le Cloud
Chaque utilisateur est responsable des données qu’il traite.
Toute utilisation des services clouds publics ne correspondant pas à la législation sera proscrite.
Les documents administratifs (gestion de l’école) classés confidentielles ou sensibles, ne doivent en aucun cas être stockées sur des services clouds publics, mais sur des équipements internes aux écoles.
Sécurité
Tous les utilisateurs‐trices connecté-e-s au réseau de la HES‐SO Fribourg respectent les mécanismes de sécurité protégeant les équipements et données des comptes informatiques de la HES‐SO Fribourg et des autres utilisateurs‐trices.
Ceci implique en particulier les interdictions suivantes :
- installer des programmes pour découvrir les mots de passe des autres utilisateurs‐trices ;
- usurper le "nom d'utilisateur‐trice" et/ou le "mot de passe" d'un‐e autre utilisateur‐trice ;
- s’introduire de façon non autorisée sur les serveurs de la HES‐SO Fribourg ;
- neutraliser ou modifier les paramètres des systèmes de sécurité installés sur tout équipement de la HES‐SO Fribourg ;
- contourner / détourner les dispositifs de sécurités en vigueur.
- La carte d'accès est strictement personnelle, le prêt à un tiers est interdit
En cas de doute sur le bon fonctionnement d'une machine ou de la sécurité d'accès aux données, les utilisateurs-trices doivent prendre contacts immédiatement avec le service informatique.
Conditions d'utilisation
Les équipements mis à disposition des utilisateurs‐trices sont dédiés à l'utilisation professionnelle ou académique. La HES-SO Fribourg n’assume aucune responsabilité en cas d'utilisation non conforme ou d’utilisation abusive de son infrastructure informatique et se réserve, cas échéant, le droit de prendre toute mesure appropriée.
Un usage personnel limité est toléré à condition qu'il remplisse les conditions suivantes:
- il ne modifie pas la configuration physique et logique de l'équipement (voir paragraphe Installation et configuration des équipements COD et Installation et configuration des équipements BYOD ci‐dessus)
- il n'entraîne pas de coûts directs pour la HES‐SO Fribourg ;
- il ne nuit pas au travail des autres utilisateurs‐trices ;
- il ne porte atteinte ni aux intérêts ni à l'image de la HES‐SO Fribourg ;
- il ne charge pas de manière significative les équipements de la HES‐SO Fribourg ni ne pénalise les utilisateurs‐trices connecté-e-s aux réseaux de la HES‐SO Fribourg.
Les documents à caractère privé doivent être clairement identifiés comme tels, par exemple en étant placés dans un dossier « privé ».
La participation aux "jeux en ligne", l’écoute des "radios en ligne" ou la vision de "films en ligne" sont strictement interdits hors du cadre des activités de l’enseignement ou des projets HES‐SO Fribourg.
Cadre légal d'utilisation
Les utilisateurs‐trices sont tenu-e-s de respecter les dispositions relatives à la protection des données et à la sécurité informatique qui régissent l’utilisation, la possession, l’affichage ou la diffusion de toute donnée informatique.
Les utilisateurs‐trices ne doivent pas posséder, afficher ou diffuser des documents informatiques en infraction avec le Code pénal suisse. De plus, ils s’assureront que les textes destinés à un usage professionnel ne violent pas de dispositions relatives à la propriété intellectuelle, à la protection des données ou à d’autres lois protégeant les intérêts de tiers.
Toute personne qui constate une infraction ou un non-suivi des présentes directives est tenue de le signaler au service informatique de la HES-SO Fribourg qui prendra les mesures nécessaires.
Contrôle d’utilisation
Pour effectuer les contrôles de la conformité des règles d’utilisation (Tous les points du chapitre Règles d'utilisation des équipements) des moyens automatisés de surveillance, filtrage et journalisation ont été mis en place (firewall, IPS, filtrage d’URL’s (Adresses Internet)…).
Ces moyens permettent de prévenir la majorité des menaces de sécurité, l’usage illicite et les comportement “douteux”, comme :
- Atteinte à la réputation et/ou vie privée des personnes et/ou de l’institution ;
- Piratage et/ou espionnage informatique ;
- Divulgation de données confidentielles ;
- Accès et/ou transmission illicite à des informations ;
- etc...
Ces systèmes de contrôle permettent de collecter des données et d’identifier les personnes (Correspondance automatique entre un utilisateur identifié et le trafic en relation avec son identifiant réseau) et/ou leurs activités. Les administrateurs concernés, par leur contrat de travail, sont soumis à « la non-divulgation et confidentialité des données ».
Prêt de matériel
Un formulaire doit être rempli par l'utilisateur-trice qui souhaite obtenir un prêt de matériel. Les conditions suivantes doivent être acceptées avant de recevoir le matériel :
- L'utilisateur-trice s'engage à rendre à rendre ce matériel en bon état dans les délais convenus avec le technicien IT figurant dans les informations du prêt et d'en assurer les frais de réparation ou le dédommagement en cas de dégâts, de perte ou de vol.
- L'utilisateur-trice a pris connaissance que cette location est strictement personnelle et par conséquent pas cessible.
- En cas de non-respect des délais de restitution du matériel, l’institution portera plainte et les données seront mises à disposition des autorités après 2 rappels (après l'échéance de la date de rendue).
- L'utilisateur-trice est responsable d'effacer ses données personnelles de l'équipement avant son retour
- L'utilisateur-trice est seul-e responsable de ses données. Il-elle prend acte qu’au retour du matériel toutes ses données seront supprimées sans possibilités de récupération.
L'Internet et son utilisation
La HES‐SO Fribourg est favorable à l’utilisation d’Internet qui s’avère un outil performant et précieux pour la recherche et l’obtention d’informations. L’accès à Internet est individuel. Il est fourni à l’ensemble des utilisateurs‐trices.
L’accès à Internet n'est pas considéré comme un droit en tant que tel. Il peut donc être refusé ou annulé à tout instant. La HES‐SO Fribourg est en droit de prendre toutes les mesures nécessaires pour bloquer l'accès aux sites Internet dont le contenu est jugé inadapté.
Principes généraux
L’utilisation d'Internet n’est pas anonyme. Chaque fois que les utilisateurs‐trices sont en communication électronique (courriel, espace de conversation, réseau sociaux, etc.), la HES‐SO Fribourg peut être identifiée comme source de communication. Ainsi, toute utilisation non contrôlée d’Internet comporte des risques pour la HES‐SO Fribourg, tant pour sa réputation que sur le plan juridique.
Internet doit être consulté par l'utilisateur‐trice uniquement à des fins professionnelles ou académiques et dans le cadre des fonctions ou des tâches qui lui sont attribuées.
Utilisation abusive
L'utilisateur‐trice peut être tenu-e pour responsable ou être poursuivi-e pour tout dommage que l'utilisation du réseau pourrait causer au fournisseur d'accès à des tiers. Cette règle s'applique en particulier s'il existe des raisons de soupçonner que les services sont utilisés de manière abusive pour effectuer ou soutenir des actes délictueux, notamment des jeux de hasard non autorisés, la diffusion ou la mise à disposition de représentations illégales ou immorales, comme les images de violence, la pornographie dite dure, les incitations au crime ou à la violence, les atteintes à la liberté de croyance et des cultes ou les actes de discrimination raciale.
Téléchargement des informations
Le téléchargement des données et fichiers à partir d'Internet est uniquement autorisé à des fins professionnelles ou académiques et en respect des lois suisses.
Participation à des espaces de conversation (chat room, forum)
Les utilisateurs‐trices ne sont pas autorisé-e-s à utiliser activement des installations de diffusion interactives (autres que les espaces de conversation internes à l'intention des utilisateurs‐trices de la HES‐SO Fribourg cités dans les paragraphes ci‐dessous), c'est‐à‐dire à envoyer des messages ou des notes permettant d'identifier la HES‐SO Fribourg. La participation à des espaces de conversations nécessaires aux besoins de la HES‐SO Fribourg fait exception à cette règle.
La messagerie électronique (courriel) officielle
Le courriel est destiné aux usages professionnels impliqués par l'activité exercée à la HES‐SO Fribourg.
Cette messagerie est la voie principale de communication et de notification.
L'utilisation de courriels à des fins personnelles est tolérée à condition qu'elle remplisse les conditions mentionnées dans les paragraphes ci‐dessus. Le‐la titulaire d'une adresse électronique nominative (ci‐après, le‐la titulaire) est tenu-e de consulter sa boîte aux lettres régulièrement.
L’utilisation des listes de distribution (p. ex. liste d‘une classe, d’un service ou d’une école) doit obligatoirement remplir les conditions ci-dessous :
- Pour le personnel, l’usage est exclusivement professionnel ;
- Pour les étudiant-e-s l’usage passe par une demande systématique auprès d’un responsable (professeur ou responsable de filière) ;
- En cas d’abus, des mesures pourront être prises.
Un message électronique est soumis aux mêmes impératifs de respect de la loi, de l'éthique et de la bienséance que tout autre document écrit. En particulier, les messages à caractère calomnieux, diffamatoire, injurieux, raciste, sexiste, violent ou pornographique sont prohibés.
En présence d'indices d'infraction ou d'abus, la HES‐SO Fribourg se réserve le droit de procéder à des contrôles ponctuels de l'utilisation de la messagerie électronique des utilisateurs‐trices de la HES‐SO Fribourg.
Contrôle
La HES‐SO Fribourg se réserve le droit de contrôler le trafic Internet de ses utilisateurs‐trices. Ce contrôle est une condition sine qua non pour pouvoir assurer l'accès de tous ses utilisateurs‐trices à Internet.
Les procédures de contrôle établies observent les principes de respect de la vie privée et de protection des données prescrites par les lois et réglementations actuellement en vigueur. Les enquêtes menées sur l'utilisation abusive d’Internet seront coordonnées par le service informatique, qui sera consulté chaque fois qu'un cas de non‐respect de la présente directive sera découvert.
Une violation grave ou répétée des dispositions énoncées dans la présente directive peut entraîner une restriction ou la suppression de l'accès aux équipements informatiques. D'éventuelles sanctions disciplinaires ou poursuites judiciaires demeurant réservées.
Conséquences d’un usage non conforme aux règles
Mesures administratives ou disciplinaires
L'utilisateur‐trice qui ne respecte pas les règles précitées s’expose à la prise de mesures administratives ou disciplinaires. Ces mesures dépendront de l’importance de l’infraction. Au nombre des sanctions pouvant être prises figurent notamment le blâme, l'exclusion, le transfert et la résiliation des rapports de service.
Mesures techniques
Aucun support n'est accordé de la part du SI ou des SIU.
En cas de problèmes, une réinstallation de l'équipement en question sera exigée.
Participation aux frais supportés par la HES‐SO Fribourg
Si une utilisation abusive des équipements informatiques a provoqué des frais pour la HES‐SO Fribourg, cette dernière se réserve le droit d’exiger de l’auteur‐e de l’utilisation abusive le remboursement de ces frais.
Participation aux frais facturés par des tiers
Si suite à utilisation abusive des équipements informatiques, des frais sont facturés par des tiers à la HES‐SO Fribourg, cette dernière se réserve le droit d’exiger de l’auteur‐e de l’utilisation abusive le remboursement de ces frais, ainsi que la couverture des frais internes occasionnés par l’usage non conforme.
Actions pénales
Ces sanctions internes n'empêchent pas la HES‐SO Fribourg d'intenter d'éventuelles actions pénales en cas de délits.
Approbation
Approuvé par le CoDir du : 22.05.18 / Modification §4.8 : CoDir du 19.3.2019 / Ajout §4.13 : CoDir du 24.05.2022