Directives d'utilisation des équipements informatiques

• SI : service informatique de la HES‐SO//Fribourg
• SIU : Service Informatique d'Unité (service de proximité d'une école, une filière) - liste des SIU
• RSI : Responsable Sécurité IT
• DPO : Délégué à la protection des données
• COD : Corporate Owned Device
• BYOD : Bring Your Own Device
• LPD : Loi fédérale sur la protection des données
• LPrD : Loi cantonale sur la protection des données
• RGPD : Règlement Général sur la Protection des Données

La politique de la Haute Ecole spécialisée de Suisse occidentale//Fribourg (HES-SO//FR) en matière d’utilisation des équipements informatiques a toujours été largement ouverte. Cette politique a permis aux utilisateurs‐trices de remplir avec succès leurs missions. La continuité de cette stratégie doit toutefois tenir compte du fait que les utilisateurs‐trices et les équipements informatiques sont de plus en plus nombreux et différenciés. Il apparaît donc nécessaire de rendre publiques, sous forme de directives, les normes qui permettent un fonctionnement optimal des moyens informatiques et d'assurer la sécurité des données de tout le monde.

La présente directive définit les principes qui doivent être respectés lors de l'utilisation de tous supports numériques pouvant se connecter aux réseaux HES-SO//FR (équipements fournis par les écoles ou BYOD).

Ces directives s'adressent à toutes les personnes autorisées à se connecter à nos systèmes d'informations et à nos données. Elles s'adressent aussi à des utilisateurs‐trices temporaires (stagiaires, visiteurs, participants aux cours ou séminaires organisés dans les bâtiments de la HES‐SO//FR).

En plus de la présente directive, les utilisateurs‐trices (voir paragraphe Champ d'application ci‐dessus) doivent respecter et appliquer les prescriptions et règles décrites dans des documents techniques rédigés par le SI. (exemple : Règles de support pour étudiants de la HES‐SO Fribourg, Règles de support pour collaborateurs-trices de la HES-SO Fribourg)
Tous ces documents se trouvent sur le site web du SI (https://sinfo.hefr.ch ).
Le SI informe régulièrement les utilisateurs-trices en cas de modification de directives ou règlements. Toutefois, il est de la responsabilité des utilisateurs-trices de consulter régulièrement les directives et règles en vigueur et en cas de doutes de se renseigner auprès du SI.

Conditions d'utilisation

Les équipements mis à disposition des utilisateurs‐trices sont dédiés à l'utilisation professionnelle ou académique. La HES‐SO//FR n’assume aucune responsabilité en cas d'utilisation non conforme ou d’utilisation abusive de son infrastructure informatique et se réserve, cas échéant, le droit de prendre toute mesure appropriée.
Un usage personnel limité est toléré à condition qu'il remplisse les conditions suivantes:

• il ne modifie pas la configuration physique et logique de l'équipement (voir paragraphe Installation et configuration des équipements COD et Installation et configuration des équipements BYOD ci‐dessus)
• il n'entraîne pas de coûts directs pour la HES‐SO//FR ;
• il ne nuit pas au travail des autres utilisateurs‐trices ;
• il ne porte atteinte ni aux intérêts ni à l'image de la HES‐SO//FR;
• il ne charge pas de manière significative les équipements de la HES‐SO//FR ni ne pénalise les utilisateurs‐trices connecté-e-s aux réseaux de la HES‐SO//FR.

Les documents à caractère privé doivent être clairement identifiés comme tels, par exemple en étant placés dans un dossier « privé ».
La participation aux "jeux en ligne", l’écoute des "radios en ligne" ou la vision de "films en ligne" sont strictement interdits hors du cadre des activités de l’enseignement ou des projets HES‐SO//FR.

Cadre légal d'utilisation

Les utilisateurs‐trices sont tenu-e-s de respecter les dispositions relatives à la protection des données et à la sécurité informatique qui régissent l’utilisation, la possession, l’affichage ou la diffusion de toute donnée informatique.
Les utilisateurs‐trices ne doivent pas posséder, afficher ou diffuser des documents informatiques en infraction avec notamment le Code pénal suisse. De plus, les personnes concernées s’assureront que les contenus destinés à un usage professionnel ne violent pas de dispositions relatives à la propriété intellectuelle, à la protection des données, à l’intégrité scientifique, aux normes relatives au droit des douanes en particulier au contexte Dual Use ou à d’autres obligations protégeant les intérêts de tiers.

Toute personne qui constate une infraction ou un non-suivi des présentes directives est tenue de le signaler au service informatique de la HES‐SO//FR qui prendra les mesures nécessaires.

Contrôle d’utilisation

Des contrôles ponctuels et systémiques sont effectués pour maintenir la sécurité des infrastructures et des informations tans sur la forme que sur le fond des contenus et contenants. Pour effectuer les contrôles de la conformité des règles d’utilisation (Tous les points du chapitre Règles d'utilisation des équipements) des moyens automatisés de surveillance, filtrage et journalisation ont été mis en place (firewall, IPS, filtrage d’URL’s (Adresses Internet)…).
Ces moyens permettent de prévenir la majorité des menaces de sécurité, l’usage illicite et les comportement “douteux”, comme :

• atteinte à la réputation et/ou vie privée des personnes et/ou de l’institution ;
• piratage et/ou espionnage informatique ;
• divulgation de données confidentielles ;
• accès et/ou transmission illicite à des informations ;
• etc...

Ces systèmes de contrôle permettent de collecter des données et d’identifier les personnes (Correspondance automatique entre un·e utilisateur·trice identifié·e et le trafic associé à son identifiant réseau.) et/ou leurs activités à des fins de contrôle. Ces informations pourront être utilisées dans les procédures disciplinaires ou juridiques relatives à la confidentialité ou à la sécurité des infrastructures ou de l’information. Ces accès sont réservés exclusivement aux administrateurs concernés, par leur contrat de travail, qui sont soumis à « la non-divulgation et confidentialité des données ».

Prêt de matériel

Un formulaire doit être rempli par l'utilisateur-trice qui souhaite obtenir un prêt de matériel. Les conditions suivantes doivent être acceptées avant de recevoir le matériel :

• l'utilisateur-trice s'engage à rendre ce matériel en bon état dans les délais convenus avec le technicien IT figurant dans les informations du prêt et d'en assurer les frais de réparation ou le dédommagement en cas de dégâts, de perte ou de vol.
• l'utilisateur-trice a pris connaissance que cette location est strictement personnelle et par conséquent pas cessible.
• en cas de non-respect des délais de restitution du matériel, l’institution portera plainte et les données seront mises à disposition des autorités après 2 rappels (après l'échéance de la date de rendue).
• l'utilisateur-trice est responsable d'effacer ses données personnelles de l'équipement avant son retour
• l'utilisateur-trice est seul-e responsable de ses données. Il-elle prend acte qu’au retour du matériel toutes ses données seront supprimées sans possibilités de récupération.

La HES‐SO//FR est favorable à l’utilisation d’Internet qui s’avère un outil performant et précieux pour la recherche et l’obtention d’informations. L’accès à Internet est individuel. Il est fourni à l’ensemble des utilisateurs‐trices.
L’accès à Internet n'est pas considéré comme un droit en tant que tel. Il peut donc être refusé ou annulé à tout instant. La HES‐SO//FR est en droit de prendre toutes les mesures nécessaires pour bloquer l'accès aux sites Internet dont le contenu est jugé inadapté.

Principes généraux

L’utilisation d'Internet n’est pas anonyme. Chaque fois que les utilisateurs‐trices sont en communication électronique (courriel, espace de conversation, réseau sociaux, etc.), la HES‐SO//FR peut être identifiée comme source de communication. Ainsi, toute utilisation non contrôlée d’Internet comporte des risques pour la HES‐SO//FR, tant pour sa réputation que sur le plan juridique.
Internet doit être consulté par l'utilisateur‐trice uniquement à des fins professionnelles ou académiques et dans le cadre des fonctions ou des tâches qui lui sont attribuées.

Utilisation abusive

L'utilisateur‐trice peut être tenu-e pour responsable ou être poursuivi-e pour tout dommage que l'utilisation du réseau pourrait causer au fournisseur d'accès à des tiers. Cette règle s'applique en particulier s'il existe des raisons de soupçonner que les services sont utilisés de manière abusive pour effectuer ou soutenir des actes délictueux, notamment des jeux de hasard non autorisés, la diffusion ou la mise à disposition de représentations illégales ou immorales, comme les images de violence, la pornographie dite dure, les incitations au crime ou à la violence, les atteintes à la liberté de croyance et des cultes ou les actes de discrimination raciale.

Téléchargement des informations

Le téléchargement des données et fichiers à partir d'Internet est uniquement autorisé à des fins professionnelles ou académiques et en respect des lois suisses.

Participation à des espaces de conversation (chat room, forum)

Les utilisateurs‐trices ne sont pas autorisé-e-s à utiliser activement des installations de diffusion interactives (autres que les espaces de conversation internes à l'intention des utilisateurs‐trices de la HES‐SO//FR cités dans les paragraphes ci‐dessous), c'est‐à‐dire à envoyer des messages ou des notes permettant d'identifier la HES‐SO//FR. La participation à des espaces de conversations nécessaires aux besoins de la HES‐SO//FR fait exception à cette règle.

La messagerie électronique (courriel) officielle

La messagerie électronique (courriel) officielle, Outlook, est le principal canal de communication et de notification au sein de la HES‐SO//FR, destinée avant tout aux usages professionnels liés à l'activité de l'établissement. L'utilisation de courriels à des fins personnelles est tolérée, à condition qu'elle ne gêne pas les activités professionnelles, n'entraîne pas de surcharge des systèmes et respecte l'ensemble des règles de la HES‐SO//FR et des lois en vigueur. Pour assurer la confidentialité et une gestion adéquate des données, les messages privés doivent être placés dans un dossier "privé" dédié. Le-la titulaire d'une adresse électronique nominative est tenu-e de consulter sa boîte aux lettres régulièrement.

L’utilisation des listes de distribution (p. ex. liste d‘une classe, d’un service ou d’une école) doit obligatoirement remplir les conditions ci-dessous :

• pour le personnel, l’usage est exclusivement professionnel ;
• Pour les étudiant·e·s, l’usage passe par une demande systématique auprès d’une personne responsable (professeur·e ou responsable de filière).
• tout abus pourra entraîner des mesures.

Un message électronique est soumis aux mêmes impératifs de respect de la loi, de l'éthique et de la bienséance que tout autre document écrit. En particulier, les messages à caractère calomnieux, diffamatoire, injurieux, raciste, sexiste, violent ou pornographique sont prohibés.

Sécurité de la messagerie électronique

Pour assurer la sécurité des communications par courriel, les utilisateurs‐trices doivent :

• Une extrême vigilance est requise face aux menaces, en particulier concernant les courriels suspects (phishing), les liens non vérifiés et les pièces jointes inattendues. Les liens et pièces jointes dont l’origine est douteuse ne doivent pas être ouverts.

Signalement et contrôle

En présence d'indices d'infraction, d'abus ou de suspicion d'incident de sécurité (ex: tentative de phishing, réception d'un malware), la HES‐SO//FR se réserve le droit de procéder à des contrôles ponctuels de l'utilisation de la messagerie électronique des utilisateurs-trices. Tout incident ou courriel suspect doit être signalé immédiatement au SI.

Contrôle

La HES‐SO//FR se réserve le droit de contrôler le trafic Internet de ses utilisateurs‐trices. Ce contrôle est une condition sine qua non pour pouvoir assurer l'accès de tous ses utilisateurs‐trices à Internet.
Les procédures de contrôle établies observent les principes de respect de la vie privée et de protection des données prescrites par les lois et réglementations actuellement en vigueur. Les enquêtes menées sur l'utilisation abusive d’Internet seront coordonnées par le SI, qui sera consulté chaque fois qu'un cas de non‐respect de la présente directive sera découvert.
Une violation grave ou répétée des dispositions énoncées dans la présente directive peut entraîner une restriction ou la suppression de l'accès aux équipements informatiques. D'éventuelles sanctions disciplinaires ou poursuites judiciaires demeurant réservées.

Dans le cadre de notre engagement à renforcer la sécurité de l'information, tous les utilisateurs‐trices sont régulièrement invités à participer à des campagnes de sensibilisation qui permet de :

• améliorer les réflexes face aux cybermenaces, en particulier les tentatives de phishing.
• fournir des scénarios réalistes sous forme d’exercices dans la boîte mail.
• offrir un retour immédiat et pédagogique pour chaque action de l’utilisateur‐trice.

• assurer un suivi de la progression individuelle et collective dans la compréhension des bonnes pratiques.

La participation à ces campagnes est fortement recommandée et constitue un élément clé de la prévention des incidents de sécurité. Elle permet à chacun-e d’agir comme un maillon fort de la chaîne de sécurité. Une liste est tenue des participant-e-s à ces sensibilisations.

Clause d'acceptation

L’acceptation de cette directive est une condition nécessaire à l’accès aux ressources numériques internes. En cas de refus ou de violation avérée, la HES‐SO//FR se réserve le droit de restreindre ou de suspendre les accès.

Mesures administratives ou disciplinaires 

L'utilisateur‐trice qui ne respecte pas les règles précitées s’expose à la prise de mesures techniques et/ou administratives. Ces mesures dépendront de l’importance de l’infraction. En plus des sanctions disciplinaires relevant de la LPers (Suspension ou déplacement provisoires d'activité, lettre d’avertissement, licenciement) peuvent être prises les mesures techniques suivantes :

• restriction temporaire ou définitive de l’accès au réseau;
• l'exclusion du système informatique et demande de restitution du matériel.

Mesures techniques

Aucun support n'est accordé de la part du SI ou des SIU.
En cas de problèmes, une réinstallation de l'équipement en question sera exigée.

Participation aux frais supportés par la HES‐SO//FR

Si une utilisation abusive des équipements informatiques a provoqué des frais pour la HES‐SO//FR, cette dernière se réserve le droit d’exiger de l’auteur‐e de l’utilisation abusive le remboursement de ces frais.

Participation aux frais facturés par des tiers

Si suite à utilisation abusive des équipements informatiques, des frais sont facturés par des tiers à la HES‐SO//FR, cette dernière se réserve le droit d’exiger de l’auteur‐e de l’utilisation abusive le remboursement de ces frais, ainsi que la couverture des frais internes occasionnés par l’usage non conforme.

Actions pénales

Les sanctions internes n'empêchent pas la HES‐SO//FR d'intenter d'éventuelles actions pénales.

Historique des révisions

Un historique détaillé des révisions de la directive est maintenu pour assurer la traçabilité des changements et faciliter la compréhension de son évolution.