Notre politique de confidentialité

Préambule

L’entreprise ADITU met en œuvre un système d’information et de communication (SIC) nécessaire à son activité, comprenant notamment un réseau informatique et téléphonique.

Dans un but de transparence à l’égard des utilisateurs, de promotion d’une utilisation loyale, responsable et sécurisée du système d’information, la présente charte pose les règles relatives à l’utilisation de ces ressources.

Elle définit également les moyens de contrôle et de surveillance de cette utilisation mise en place.

Elle ne remplace en aucun cas les lois en vigueur que chacun est censé connaitre.

Les moyens techniques au service de cette charte visant à assurer la supervision des systèmes, les procédures d’exploitation, la supervision et maintenance des services en production, le maintien de la sécurité générale des données hébergées sont explicités plus en détails au sein de chaque contrat de nos Clients.

 

1. Champ d’application

 

  • Utilisateurs concernés

Tous les utilisateurs du système d’information et de communication global de la plateforme, quel que soit leur statut y compris les mandataires sociaux, salariés ADITU, Clients, intérimaires, stagiaires, employés de sociétés prestataires, visiteurs occasionnels.

  • Système d’information et de communication

Le système d’information et de communication de l’entreprise est notamment constitué des éléments suivants : ordinateurs (fixes et portables), périphériques y compris clés USB, photocopieurs, téléphones, smartphones, logiciels, fichiers, données et bases de données, système de messagerie, connexion Internet, intranet, abonnements à des services interactifs.

Pour des raisons de sécurité du réseau général, sont également considérés comme faisant partie du système d’information et de communication, le matériel personnel des salariés ADITU connecté au réseau de l’entreprise ainsi que celui des Clients ou visiteurs de passage.

 

2. Confidentialité des paramètres d’accès

 

  • Paramètres d’accès

L’accès à certains éléments du système d’information et de communication de la plateforme ADITU (comme le service de messagerie électronique, les sessions sur les postes de travail des salariés, le réseau, certaines applications ou services interactifs) est protégé par des paramètres de connexion (identifiants, mots de passe). Ces paramètres sont personnels à chaque utilisateur et doivent être gardés confidentiels. Ils permettent en particulier de contrôler l’activité des utilisateurs. Leurs caractéristiques (complexité, longueur, fréquence de changement,…) sont gérées par le service technique d’ADITU.

Dans la mesure du possible, ces paramètres sont mémorisés par l’utilisateur concerné et ne pas être conservés, sous quelque forme que ce soit. En tout état de cause, ils ne sont pas transmis à des tiers ou et ne sont pas aisément accessibles. Ils doivent être saisis par l’utilisateur à chaque accès ; pour les accès des Clients, certains mots de passe doivent être conservés en mémoire dans le système d’information d’ADITU. Lorsque cela s’avère nécessaire, un système de sécurisation confidentiel au personnel technique d’ADITU permet de stocker ce type de données.

Sauf demande formelle de la Direction, aucun utilisateur ne se sert pour accéder au système d’information de l’entreprise d’un autre compte que celui qui lui a été attribué. Il ne délègue pas non plus à un tiers les droits d’utilisation qui lui sont attribués.

  • Données

Chaque membre de l’équipe ADITU est responsable pour ce qui le concerne du respect du secret professionnel et de la confidentialité des informations qu’il est amené à détenir, consulter ou utiliser. Les règles de confidentialité ou d’autorisation préalable avant diffusion externe ou publication sont définies par la Direction pour les salariés d’ADITU et par le Client pour ses systèmes hébergés ; ces règles sont applicables quel que soit le support de communication utilisé.

Les membres de l’équipe ADITU sont particulièrement vigilants concernant le risque de divulgation de ces informations dans le cadre d’utilisation d’outils informatiques, personnels aux salariés ou Clients et visiteurs de passage, ou appartenant à ADITU, dans des lieux autres que ceux d’ADITU (hôtels, lieux publics, …).

 

3. Sécurité

 

  • Rôle d’ADITU

Les équipes d’ADITU mettent en œuvre les moyens humains et techniques appropriés pour assurer la sécurité matérielle et logicielle des systèmes d’information et de communication des Clients ainsi que des ressources te données ADITU. A ce titre, il appartient à l’équipe technique de limiter les accès aux ressources sensibles et d’acquérir les autorisations nécessaires à l’utilisation des ressources mises à disposition des utilisateurs.

La Direction est responsable de la mise en œuvre et du contrôle du bon fonctionnement du système d’information et de communication pour chaque client ainsi qu’au sein de la structure ADITU. Elle veille à l’application des règles de la présente charte, et a une obligation de confidentialité sur les informations qu’elle est amenée à connaître.

 

  • Rôle de l’équipe ADITU

Les administrateurs systèmes et réseaux ainsi que le personnel administratif, commercial et la Direction sont responsables des ressources qui leur sont confiées, et de leur protection, dans le cadre de l’exercice de ses fonctions. Ils concourent tous à la protection des dites ressources, en faisant preuve de prudence. En particulier, les équipes s’engagent à signaler à la Direction toute violation de l’intégrité de ces ressources et, de manière générale tout dysfonctionnement, incident ou anomalie relevés au sein des outils de supervision.

Sauf autorisation expresse de la Direction, l’accès au système d’information avec du matériel n’appartenant pas à l’entreprise (smartphones, appareils amovibles, …) est interdit sur la plateforme. Dans le cas où il a été autorisé, il appartient aux membres de l’équipe technique de veiller à la sécurité du matériel utilisé et à son innocuité.

Les administrateurs systèmes et réseaux n’installent pas de logiciels, ne copient pas et n’installent pas des fichiers susceptibles de créer des risques de sécurité. Ils ne modifient pas non plus les paramétrages des postes de travail ou des différents outils mis à leur disposition, et ont interdiction de contourner les systèmes de sécurité mis en œuvre au sein de la plateforme ADITU. Ils veillent par ailleurs à ce que ces précautions soient respectées par tous les Clients ou visiteurs de passage.

ADITU et l’ensemble de son équipe s’obligent en toutes circonstances à se conformer à la législation, qui protège notamment les droits de propriété intellectuelle, le secret des correspondances pour les services de messagerie, les données personnelles, les systèmes de traitement automatisé des données, le droit à l’image des personnes, l’exposition des mineurs aux contenus préjudiciables.

 

4. Accès à Internet

 

ADITU condamne toutes connexions à des sites Internet ou systèmes dont le contenu est contraire à l’ordre public, aux bonnes mœurs, à l’image de marque d’ADITU ou de sa Clientèle, ainsi qu’à ceux pouvant comporter un risque pour la sécurité du système d’information de la plateforme ou de la Clientèle, ou engageant financièrement ADITU ou sa Clientèle.

 

5. Messagerie électronique

 

Chaque salarié d’ADITU dispose, pour l’exercice de son activité professionnelle, d’une adresse de messagerie électronique normalisée. La messagerie est accessible aussi bien à partir d’un logiciel de messagerie qu’à partir d’un navigateur Internet grâce à un webmail.

Les messages électroniques reçus sur la messagerie professionnelle sont soumis à un contrôle antiviral et à un filtrage anti-spam, de même que les clients utilisant les services de messagerie proposés par la plateforme.

 

6. Données personnelles

 

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, définit les conditions dans lesquelles des traitements de données personnels peuvent être opérés. Elle institue au profit des personnes concernées par les traitements des droits que la présente invite à respecter, tant à l’égard des utilisateurs que des tiers.

Des traitements de données automatisés et manuels sont effectués dans le cadre des systèmes de contrôle, prévus dans la présente charte. Ils sont, en tant que de besoin, déclarés conformément à la loi du 6 janvier 1978. Tout contact pourra avoir accès aux données le concernant et ces données ne seront conservées que sur une durée maximale de 1 an.

Il est rappelé aux contacts que les traitements de données à caractère personnel doivent être déclarés à la Commission nationale de l’informatique et des libertés, en vertu de la loi n° 78-17 du 6 janvier 1978.

La mise à jour du traitement des données à caractère personnel applicable dès le 25 mai 2018, connue sous la dénomination RGPD (Règlement Général sur la Protection des Données Personnelles), a donné lieu à une note explicative additionnelle, disponible ici.

 

7. Contrôle des activités

 

  • Contrôles automatisés

Le système d’information et de communication de chaque client s’appuie sur des fichiers journaux ( » logs « ), créés en grande partie automatiquement par les membres de l’équipe technique. Ces fichiers sont stockés sur les postes informatiques et sur le réseau d’ADITU. Ils permettent d’assurer le bon fonctionnement des systèmes, en protégeant la sécurité des informations des Clients, en détectant des erreurs matérielles ou logicielles et en contrôlant les accès et l’activité des utilisateurs et des tiers accédant aux ressources.

Les Clients sont informés que de multiples traitements sont réalisés afin de surveiller l’activité de leur système d’information et de communication, de même en interne concernant le réseau global d’ADITU au sein de son propre système d’information. Sont notamment surveillées et conservées les données relatives :

– à l’utilisation des logiciels applicatifs (accès, les modifications et suppression de fichiers) ;

– aux connexions entrantes et sortantes au réseau interne, à la messagerie et à Internet, pour détecter les anomalies liées à l’utilisation de certains services tels que la messagerie et surveiller les tentatives d’intrusion.

L’attention des utilisateurs est attirée sur le fait que les équipes surveillent les activités des services en production via des outils de supervision spécifiques. Des contrôles automatiques et généralisés sont effectués pour limiter les dysfonctionnements, dans le respect des règles en vigueur.

Les fichiers journaux énumérés ci-dessus sont automatiquement détruits dans un délai maximum d’un an après leur enregistrement.

  • Procédure de contrôle manuel

En cas de dysfonctionnement constaté par le service technique, le client est instantanément prévenu. L’équipe technique procède à un contrôle manuel et à une vérification de toute opération effectuée par un ou plusieurs utilisateurs des ressources.