I. OBJET DU DOCUMENT ... 4

(1)

A S S I S T A N C E P U B L I Q U E – H O P I T A U X D E M A R S E I L L E

ADMINISTRATION CENTRALE

DIRECTION DES SERVICES NUMERIQUES ADMINISTRATION GENERALE

7473_SECURITE-QUALITE

Code: PRC-001552

Ancienne codification: Sans objet

Charte d'Accès et d'Usage des Systèmes d'Information - CAUSI Date d’application : 25/04/2016

Version : V-01

Rédigée par : Groupe de travail charte Catherine GRASSELER, Drifa BOUZIDI, Olivier FOGLIETTA, Christian BEVERAGGI, Patrick IMMORMINO, Jean-Charles REYNIER, Stéphane DUVERNEY-GUICHARD, Olivier GEORGES, Alain BRANCHEREAU, Philippe TOURRON

Validée par :

RSSI : Philippe TOURRONCIL : Alain BRANCHEREAU, Jacques SARLES ; DGA : Jean- Michel BUDET ; Chef de service Aide Méthodologique au SIH : Xavier THIRION Vérifiée par : Bureau de gestion documentaire central

Approuvée par : Jean-Michel BUDET

(2)

Table des matières

Code: PRC-001552 ... 1

I. OBJET DU DOCUMENT ... 4

II. DOMAINE D’APPLICATION ... 4

III. DOCUMENTS DE REFERENCE – CADRE REGLEMENTAIRE ... 5

IV. LES PRINCIPES FONDAMENTAUX DE LA SECURITE ET LEUR MISE EN ŒUVRE A L’AP-HM ... 5

4.1 Rappel des Principes fondamentaux ... 5

4.2 Organisation de la sécurité du système d’information ... 5

V. REGLES DE SECURITE ... 6

5.1 Conditions d’accès au SI ... 6

5.2 Confidentialité et l’information et obligation de discrétion ... 7

5.3 Protection de l’information ... 7

5.4 Usage des ressources informatiques ... 8

5.5 Usage des outils de communication ... 9

5.5.1 Usage du téléphone et du fax ... 9

5.5.2 Usage d’internet ... 10

5.5.3 Usage de la messagerie ... 10

5.5.4 Usage des login et des mots de passe (ou de cartes CPS ou équivalent)... 11

5.5.5 Image de marque de l’établissement ... 12

VI. INFORMATIQUE ET LIBERTES ... 12

VII. SURVEILLANCE DU SYSTEME D’INFORMATION ... 13

7.1 Contrôle ... 13

7.2 Traçabilité ... 13

VIII. GESTION ET RESTITUTION DES MOYENS ET DONNEES INFORMATIQUES ... 14

8.1 Règles d’accès en cas d’absence ... 14

8.2 Départ d’un agent ... 14

8.3 Décès d’un agent ... 15

8.4 Alertes ... 15

IX. RESPONSABILITES ET SANCTIONS ... 15

X. PROCESSUS D’ADOPTION ET DE PUBLICITE ... 15

XI. GESTION DU DOCUMENT ... 16

XII. HISTORIQUE DU DOCUMENT ... 16

XIII. ANNEXES ... 17

ANNEXE 1 : Glossaire ... 17

ANNEXE 2 : Rappel des principales lois françaises spécifiques au droit de l'informatique 20

ANNEXE 3 : Sanctions ... 23

(3)

PREAMBULE

La sécurité et le bon fonctionnement du Système d’Information sont l’affaire de tous et découlent d’une action à la fois collective et individuelle. Chacun doit être conscient de ses droits mais aussi de ses devoirs tant vis-à-vis des propriétaires des informations manipulées (notamment les patients) que de l’Institution.

La présente charte s’inscrit dans le cadre de la Politique de Sécurité du Système d’Information (PSSI).

Elle est de ce fait, un document de référence pour l’ensemble des entités de l’Assistance Publique des Hôpitaux de Marseille (AP-HM) et constitue une annexe au règlement intérieur.

La présente charte ne peut couvrir de façon exhaustive tous les cas de figures possibles mais fixe les principes généraux d’utilisation du Système d’Information permettant de protéger les ressources de l’AP-HM.

La présente charte s’applique à l’ensemble des utilisateurs du Système d’Information (SI) de l’AP-HM.

Est considérée comme « Utilisateur du SI », toute personne amenée à utiliser les ressources du SI quel que soit son statut (par exemple le salarié de l’AP-HM, le personnel intérimaire, le stagiaire, l’étudiant, le prestataire ou le partenaire), son niveau hiérarchique et son lieu d’accès.

La charte doit, par conséquent, être prise en compte par le personnel des entités sous-traitantes et des partenaires externes accédant au SI de l’AP-HM. Les services chargés des relations avec ces sous- traitants ou partenaires, doivent donc s’assurer du respect de la charte sur le périmètre d’actions impactant le SI de l’AP-HM.

Le Système d’Information est considéré dans son ensemble, c’est-à-dire comme la totalité des moyens informatiques ou de télécommunications (postes de travail, dont les ordinateurs du biomédical, réseaux, Internet, téléphones, supports papier, …) visant à créer, acquérir, traiter, stocker, archiver, diffuser ou détruire de l’Information en rapport avec l’activité professionnelle des Utilisateurs du SI.

Les règles présentées dans ce document, s’appliquent également à l’utilisation de l’ensemble des équipements informatiques non fournis par l’AP-HM et interagissant avec le SI de l’Institution. Il s’agit, à titre d’illustration des équipements personnels, ou fournis par des partenaires, et autorisés à être connectés au SI de l’Institution, comme décrit dans la suite du document.

Par ailleurs, la charte couvre le Système d’Information de l’AP-HM, et non la sécurité dans son ensemble, c’est-à-dire la sécurité des personnes ou des moyens autres qu’informatiques (hygiène, sûreté des locaux et des outils de travail, respect de la législation du travail, …).

(4)

I. OBJET DU DOCUMENT

La présente Charte a pour objet de décrire les règles d'accès et d’utilisation des ressources informatiques et des services Internet de l’AP-HM et rappelle à ses utilisateurs les droits et les responsabilités qui leur incombent dans l’utilisation du système d’information.

Elle pose des règles permettant d’assurer la sécurité et la performance du système d’information de l’établissement, de préserver la confidentialité des données dans le respect de la réglementation en vigueur et des droits et libertés reconnus aux utilisateurs, conformément à la politique de sécurité du système d’information définie par l’établissement.

Cette Charte a été validée par la Direction Générale de l’établissement. Préalablement, elle a été soumise aux instances selon la même procédure de consultation et d’adoption que le règlement intérieur de l’AP-HM. Les membres du personnel et les personnels extérieurs sont réputés a en avoir pris connaissance. La Charte est mise à leur disposition sur l’Intranet de l’AP-HM et en tant que pièce contractuelle des marchés publics et conventions.

II. DOMAINE D’APPLICATION

La présente Charte concerne les ressources informatiques, les services internet et téléphoniques de l’AP-HM, ainsi que tout autre moyen de connexion à distance permettant d’accéder, via le réseau informatique, aux services de communication ou de traitement électronique interne ou externe.

Il s’agit principalement des ressources suivantes :

 Ordinateurs de bureau ;

 Ordinateurs portables ;

 Terminaux portables ;

 Imprimantes simples ou multifonctions ;

 Tablettes ;

 Smartphones ;

 Matériels Biomédicaux et stations connectées ;

 Supports de stockage amovibles ;

 Téléphonie ;

 Et plus largement tout objet connecté ;

Cette Charte s’applique à l’ensemble du personnel de l’établissement de santé, tous statuts confondus, et concerne notamment les agents permanents ou temporaires (stagiaires, étudiants, internes, doctorants, prestataires, fournisseurs, sous-traitants, …) utilisant les moyens informatiques de l’établissement et les personnes à qui il est possible d’accéder au système d’information à distance directement ou à partir du réseau administré par l’établissement.

Dans la présente Charte, sont désignés sous les termes suivants :

 Ressources informatiques : les moyens informatiques, ainsi que ceux auxquels il est possible d’accéder à distance, directement ou en cascade à partir du réseau administré par l’entité ;

 Outils de communication : la mise à disposition par des serveurs locaux ou distants de moyens d’échanges et d’informations diverses (web, messagerie, forum...) ;

 Utilisateurs : les personnes ayant accès ou utilisant les ressources informatiques et les services internet de l’établissement.

(5)

III. DOCUMENTS DE REFERENCE – CADRE REGLEMENTAIRE

Le cadre réglementaire de la sécurité de l’information est complexe. Il porte sur les grands thèmes suivants :

 Le traitement numérique des données, et plus précisément :

 Le traitement de données à caractère personnel et le respect de la vie privée ;

 Le traitement de données personnelles de santé ;

 Le droit d’accès des patients et des professionnels de santé aux données médicales ;

 L’hébergement de données médicales ;

 Le secret professionnel et le secret médical ;

 La signature électronique des documents;

 Le secret des correspondances ;

 La lutte contre la cybercriminalité ;

 La protection des logiciels et des bases de données et le droit d’auteur.

La présente Charte d’accès et d’usage du système d’information tient compte de la réglementation sur la sécurité de l’information en vigueur et des droits et libertés reconnus aux utilisateurs (un extrait des textes applicables est fourni en annexe).

IV. LES PRINCIPES FONDAMENTAUX DE LA SECURITE ET LEUR MISE EN ŒUVRE A L’AP-HM

4.1 RAPPEL DES PRINCIPES FONDAMENTAUX

Un établissement de santé héberge des données et des informations médicales et administratives sur les patients (dossier médical, dossier de soins, dossier images et autres dossiers médico-techniques…), et sur les personnels (paie, gestion du temps, évaluations, accès à Internet et à la messagerie…).

L’information se présente sous de multiples formes : stockée sous forme numérique sur des supports informatiques, imprimée ou écrite sur papier, imprimée sur des films (images), transmise par des réseaux informatiques privés ou internet, par la poste, oralement et/ou par téléphone...

La sécurité de l’information est caractérisée comme étant la préservation de :

Sa disponibilité : l’information doit être accessible à l’utilisateur, quand celui-ci en a besoin;

Son intégrité : l’information doit être exacte, exhaustive et conservée intacte pendant sa durée de vie ;

Sa confidentialité : l’information ne doit être accessible qu’aux personnes autorisées à y accéder ; Sa traçabilité : les systèmes doivent comporter des moyens de preuve sur les accès et opérations effectuées sur l’information.

4.2 ORGANISATION DE LA SECURITE DU SYSTEME D’INFORMATION

La Direction des Services Numériques de l’AP-HM fournit un système d’information qui s’appuie sur une infrastructure informatique. Elle doit assurer la mise en sécurité de l’ensemble c’est-à-dire protéger ces ressources contre des pannes, des erreurs ou des malveillances. Elle doit aussi protéger

(6)

les intérêts économiques de l’établissement en s’assurant que ces moyens sont bien au service de la production de soins. Elle doit donc définir et empêcher les abus.

Un RSSI (Responsable de la Sécurité du Système d’Information) est nommé à l’AP-HM. il identifie les risques et définit et contrôle le plan de traitement des risques. Il veille au suivi des projets

transverses et des incidents de sécurité. Il propose la politique de Sécurité du Système d’Information (PSSI) à la gouvernance de l’AP-HM et Il instruit les demandes de dérogation en en référant aux acteurs concernés si besoin, il participe aux dispositifs d’alerte SSI externes à l’AP-HM. Une équipe SSI est mise en place au sein de l’AP-HM, elle est pilotée par le RSSI. Elle a pour objectif de

coordonner les activités liées à la sécurité. Elle relaye les décisions institutionnelles et fournit la visibilité nécessaire sur l'état des lieux de la sécurité du système d’information en regard des règles de sécurité.

Un CIL (Correspondant Informatique et Libertés) est nommé à l’AP-HM, il est l’interface et l’interlocuteur privilégié avec la CNIL.

Toute déclaration de traitements de données à caractère personnel relevant du régime de la déclaration simplifiée peut être mise au registre CIL de l’AP-HM par le CIL après analyse conjointe avec le RSSI (une procédure est mise à disposition sur l’intranet).

V. REGLES DE SECURITE

5.1 CONDITIONS D’ACCES AU SI

L’accès au système d’information de l’établissement est soumis à autorisation. Pour les personnels de l’AP-HM, le compte utilisateur est créé automatiquement à l’embauche et inclut l’accès aux applications et services nécessaires dans l’exécution de ses fonctions.

Pour l’attribution d’un accès spécifique complémentaire à une application ou aux services Internet et de télécommunication (qui ne seraient pas dans les accès fournis automatiquement), une demande préalable écrite est requise ; la demande exprimée par l’utilisateur est au préalable validée par son supérieur hiérarchique, qui précise les accès et habilitations nécessaires à son collaborateur et la transmet à la Direction des Services Numériques de l’AP-HM.

Pour les autres utilisateurs (prestataires, stagiaires…) une demande de création de compte d’accès doit être effectuée par le cadre dont ils dépendent ou qui assure le suivi de la mission.

La Direction des Services Numériques attribue alors au demandeur son droit d’accès et ses habilitations et lui communique. A la première connexion la présente Charte d’accès et d’usage du système d’information est portée à la connaissance de l’utilisateur et ce tant qu’il n’acquitte pas de sa lecture. Les droits d’accès sont strictement personnels et concédés à l’utilisateur pour des activités exclusivement professionnelles. Ils ne peuvent être cédés, même temporairement à un tiers. Ils prennent fin lors de la cessation, même provisoire, de l’activité professionnelle de l’utilisateur, ou en cas de non-respect des dispositions de la présente Charte par l’utilisateur.

L’obtention d’un droit d’accès au système d’information de l’établissement de santé entraîne pour l’utilisateur les droits et les responsabilités précisées dans les paragraphes ci-dessous.

(7)

5.2 CONFIDENTIALITE ET L’INFORMATION ET OBLIGATION DE DISCRETION

Les personnels de l’établissement, stagiaires, intérimaires, prestataires et partenaires liés par marché publics ou conventions sont soumis au secret professionnel et/ou médical. Cette obligation revêt une importance toute particulière lorsqu’il s’agit de données de santé. Les personnels se doivent de faire preuve d’une discrétion absolue dans l’exercice de leurs missions.

Un comportement exemplaire est exigé dans toute communication, orale ou écrite, téléphonique ou électronique, que ce soit lors d’échanges professionnels ou au cours de discussions relevant de la sphère privée, cette dernière englobant l’utilisation de réseaux sociaux, des forums de discussion et des blogs.

L’accès par les utilisateurs aux informations et documents conservés sur les systèmes informatiques doit être limité à ceux qui leur sont propres, ainsi que ceux publics ou partagés. Il est ainsi interdit de prendre connaissance d’informations détenues par d’autres utilisateurs, même si ceux-ci ne les ont pas explicitement protégées. Cette règle s’applique en particulier aux données couvertes par le secret professionnel, ainsi qu’aux conversations privées de type courrier électronique dont l’utilisateur n’est ni directement destinataire, ni en copie.

L’accès aux données de santé à caractère personnel des patients par des professionnels habilités se fait avec une carte CPS lorsqu’elle est techniquement utilisable. A défaut, l’usage d’un compte et d’un mot de passe personnel et confidentiel s’impose.

L’utilisateur doit assurer la confidentialité des données qu’il détient. En particulier, il ne doit pas diffuser à des tiers, au moyen d’une messagerie non sécurisée ou tout autre moyen de partage de données (service de partage sur internet, offre de cloud non validée par la DSN…), des informations nominatives et/ ou confidentielles couvertes par le secret professionnel.

Tout utilisateur s’engage en particulier à :

 ne pas utiliser les données auxquelles il peut accéder à des fins autres que celles prévues par sa mission ;

 ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;

 ne faire aucune copie de ces données sauf nécessité liée à l’exécution de sa mission ;

 prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de sa mission afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

 prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité matérielle de ces données ;

 s’assurer, dans la limite de ses attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;

 protéger ses codes d’accès personnels au système d’information d’AP-HM ;

 informer sans délai la personne de l’AP-HM supervisant sa mission de toute situation ou irrégularité susceptible de compromettre la confidentialité des informations ;

 à l’issue de sa mission, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

5.3 PROTECTION DE L’INFORMATION

(8)

Les postes de travail permettent l’accès aux applications du système d’information. Ils permettent également d’élaborer des documents bureautiques. Il est important de sécuriser les données confidentielles et nécessaires au fonctionnement du service sur les espaces de stockage informatiques centralisés fournis par la DSN dont l’accès est restreint aux seules personnes autorisées. Les données sont ainsi protégées en accès mais aussi sauvegardées régulièrement. Les données stockées localement (sur le poste de travail) ne sont pas sauvegardées.

Les espaces centralisés sont à usage professionnel uniquement. Le stockage de données personnelles y est interdit.

Les matériels portables (exemples : ordinateur, tablette, smartphone…) ne doivent pas être mis en évidence pendant un déplacement, leur contenu ne doit pas être exposé à la vue de tiers; ces matériels doivent être rangés en lieu sûr. De même pour tout support mobile de données (exemples : CD, clé USB, disque dur…).

Le chiffrement des ordinateurs portables, smartphone et supports mobiles doit être réalisé lorsqu’il est possible techniquement. Cette opération est prise en charge par la DSN pour les ordinateurs. Un code d’accès doit être systématiquement configuré pour limiter l’accessibilité en cas de perte ou de vol.

Aucune donnée de santé à caractère personnel de patients ou de personnels ne doit être stockée sur des postes ou périphériques personnels. Il faut également mettre sous clé tout dossier ou document confidentiel lorsque l’on quitte son espace de travail.

Les medias de stockage amovibles (exemples : clefs USB, CD-ROM, disques durs …) présentent des risques très forts vis-à-vis de la sécurité : risques importants de contamination par des programmes malveillants (virus) ou risques de perte de données. Leur usage doit être fait avec une très grande vigilance. L’établissement se réserve le droit de limiter voire d’empêcher l’utilisation de ces médias en bloquant les ports de connexion des outils informatiques. La DSN met à disposition des utilisateurs les moyens de chiffrement afin que la mise sur un système de stockage amovible si ce dernier est nécessaire puisse être sécurisé.

Tout échange de données sensibles (messagerie, site de téléchargement/dépôt, …) doit faire l’objet de protections adaptées à valider avec la DSN (chiffrement des fichiers ou pièces jointes pour la messagerie, …).

5.4 USAGE DES RESSOURCES INFORMATIQUES

Seules des personnes habilitées ont le droit d’installer de nouveaux logiciels, de connecter de nouveaux postes de travail au réseau de l’établissement et plus globalement d’installer de nouveaux matériels informatiques dans les infrastructures informatiques de l’AP-HM.

L’utilisateur s’engage à ne pas modifier la configuration des ressources (matériels, réseaux, …) mises à sa disposition, sans avoir reçu l’accord préalable et l’aide des personnes habilitées de l’établissement (ou par son intermédiaire la société avec laquelle l’AP-HM a contracté).

Les logiciels commerciaux acquis par l’établissement ne doivent pas faire l’objet de copies de sauvegarde par l’utilisateur, ces dernières ne pouvant être effectuées que par les personnes habilitées de l’établissement.

La connexion de matériel personnel est interdite par défaut et doit faire l’objet d’une autorisation de la DSN garantissant la sécurité de l’opération et la responsabilité de son usage dans le cas d’une nécessité de service.

(9)

La connexion de matériels professionnels (ou logiciels) non fournis par la DSN est soumis à autorisation et doivent faire l’objet d’une demande préalable qui conditionne l’intégration sur le réseau AP-HM à des règles d’usage professionnelles et de sécurité strictes. La demande sera effectuée par l’utilisateur à son responsable hiérarchique qui l’instruira auprès de la DSN.

5.5 USAGE DES OUTILS DE COMMUNICATION

Les outils de communication tels que le téléphone, le fax, internet ou la messagerie sont destinés à un usage exclusivement professionnel. L’usage à titre personnel, dans le cadre des nécessités de la vie privée, est toléré à condition qu’il soit très occasionnel et raisonnable, qu’il soit conforme à la législation en vigueur et qu’il ne puisse pas porter atteinte à l’image de marque de l’établissement de santé. Il ne doit en aucun cas être porté à la vue des patients ou de visiteurs et accompagnants.

5.5.1 USAGE DU TELEPHONE ET DU FAX

L’AP-HM met à disposition de ses agents des moyens de télécommunications (téléphone fixe, mobile) à usage professionnel dans le cadre de leurs missions.

Le téléphone et le fax sont des moyens potentiels d’échanges de données qui présentent des risques puisque l’identité de l’interlocuteur qui répond au téléphone ou de celui qui réceptionne un fax n’est pas garantie.

Il est demandé la plus grande vigilance dans la communication d’information par téléphone, notamment des informations nominatives, médicales ou non, ainsi que des informations ayant trait au fonctionnement interne de l’établissement.

La communication d’informations médicales (exemples : résultats d’examens, …) aux patients et aux professionnels extérieurs est strictement réglementée. Les utilisateurs concernés doivent se conformer à la réglementation et aux procédures de l’établissement en vigueur.

Un usage personnel du téléphone est toléré à condition qu’une telle utilisation demeure raisonnable et ne soit pas préjudiciable au bon fonctionnement du système de téléphonie ni à l’AP-HM.

Un suivi des consommations téléphoniques pourra être réalisé, notamment pour permettre d’imputer et de contrôler par service ou par poste les dépenses téléphoniques de l’AP-HM.

Des restrictions d’appels (à l’international ou vers les mobiles par exemple) pourront être mises en place.

Les téléphones portables mis à disposition du personnel doivent respecter les conditions d’utilisation suivantes :

 Un code d’accès doit être configuré ;

 Les réglages du téléphone réalisés par la DSN ne doivent pas être modifiés ;

 Les ajouts de fonctionnalité ou de programmes doivent respecter le cadre légal et réglementaire et ne doivent nuire ni à la sécurité, ni à l’usage professionnel

(10)

Des contrôles pourront également être réalisés afin de s’assurer que les moyens télécoms mis à disposition par l’AP-HM à ses agents sont utilisés de manière conforme à leurs missions.

5.5.2 USAGE D’INTERNET

L’accès à l’Internet a pour objectif d’aider les personnels à trouver des informations nécessaires à leur mission usuelle, ou dans le cadre de projets spécifiques.

D’une manière générale toute communication de données de santé à l’extérieur de l’AP-HM est interdite en dehors des applications informatiques institutionnelles (diffusées sur le poste de travail ou l’intranet par la DSN). La plus grande vigilance est recommandée pour des saisies d’information sur internet. En cas de doute sur l’origine d’une application alerter le support de la DSN pour vérification.

L’accès à internet est soumis à autorisation, il est conditionné par la nécessité du service ou pour un besoin spécifique lié aux missions. Il peut être ouvert de fait lorsqu’il est corrélé avec l’activité professionnelle.

Il faut être particulièrement vigilant lors de l’utilisation de l’Internet et ne pas mettre en danger l’image ou les intérêts de l’établissement de santé. L’usage privé d’internet doit rester résiduel. La CNIL considère « qu’un usage raisonnable, non susceptible d’amoindrir les conditions d’accès professionnel au réseau ne mettant en cause la productivité est généralement et socialement admis par la plupart des entreprises ou administrations », cf. Guide pratique pour les employeurs : CNIL octobre 2005, p. 13.

Par ailleurs, les données concernant l’utilisateur (exemples : sites consultés, messages échangés, données fournies à travers un formulaire, données collectées à l’insu de l’utilisateur, …) peuvent être enregistrées par des tiers, analysées et utilisées à des fins notamment commerciales. Il est donc recommandé à chaque utilisateur de ne pas fournir son adresse électronique professionnelle, ni aucune coordonnée professionnelle sur Internet, si ce n’est strictement nécessaire à la conduite de son activité professionnelle.

Il est interdit de se connecter ou de tenter de se connecter à Internet par des moyens autres que ceux fournis par l’établissement. Il est interdit de participer à des forums, blogs et groupes de discussion à des fins non professionnelles, et de se connecter sur des sites à caractère injurieux, violent, raciste, discriminatoire, pornographique, diffamatoire ou manifestement contraire à l’ordre public et aux valeurs du service public.

Des filtrages de site portant sur les thématiques ou usages cités précédemment sont appliqués.

Tous les accès Internet sont tracés et enregistrés et conservés par un dispositif de filtrage et de traçabilité. Il est donc possible pour l’établissement de connaître, pour chaque salarié, le détail de son activité sur l’Internet.

Le contrôle des accès aux sites visités permet de filtrer les sites jugés indésirables, notamment des sites dangereux pour la sécurité et la charge du réseau. Il permet de détecter, de bloquer et ou de signaler les accès abusifs (en matière de débits, volumes, durées), ou les accès à des sites illicites et/ou interdits.

5.5.3 USAGE DE LA MESSAGERIE

(11)

L’usage de la messagerie est soumis à autorisation, il est conditionné par nécessité du service ou pour un besoin spécifique lié aux missions. Il peut être ouvert de fait lorsqu’il est corrélé avec l’activité professionnelle.

Les utilisateurs doivent garder à l’esprit que leurs messages électroniques peuvent être stockés, réutilisés, exploités à des fins auxquelles ils n’auraient pas pensé en les rédigeant, constituer une preuve ou un commencement de preuve par écrit ou valoir offre ou acceptation de manière à former un contrat entre l’hôpital et son interlocuteur, même en l’absence de contrat signé de façon manuscrite.

Un usage privé de la messagerie est toléré s’il reste exceptionnel. Les messages personnels doivent comporter explicitement la mention « personnel » dans l’objet. A défaut, les messages seront réputés relever de la correspondance professionnelle. Les messages marqués « personnel » ne doivent pas comporter de signature d’ordre professionnel à l’intérieur du message.

L’usage des listes de diffusion définies par l’institution doit être strictement professionnel.

Il est strictement interdit d’utiliser la messagerie pour des messages d’ordre commercial ou publicitaire, du prosélytisme, du harcèlement, des messages insultants ou de dénigrement, des textes ou des images provocants et/ou illicites, ou pour propager des opinions personnelles qui pourraient engager la responsabilité de l’établissement ou de porter atteinte à son image. Les utilisateurs sont tenus par leurs clauses de confidentialité et de loyauté contractuelles dans le contenu des informations qu’ils transmettent par email.

Afin de ne pas surcharger les serveurs de messagerie, les utilisateurs doivent veiller à éviter l’envoi de pièces jointes volumineuses, notamment lorsque le message comporte plusieurs destinataires.

Seules les pièces jointes professionnelles de type « documents » ou « images » sont autorisées. Il est rappelé que le réseau Internet n’est pas un moyen de transport sécurisé. Il ne doit donc pas servir à l’échange d’informations médicales nominatives en clair. En l’absence de dispositif de chiffrement de l’information de bout en bout, les informations médicales et plus généralement sensibles doivent être rendues anonymes.

Chaque messagerie est associée à un compte personnel et ne peut être utilisé par un tiers sauf accord exprimé du titulaire dans l’intérêt du service.

5.5.4 USAGE DES LOGIN ET DES MOTS DE PASSE (OU DE CARTES CPS OU EQUIVALENT) Chaque utilisateur dispose de comptes nominatifs lui permettant d’accéder aux applications et aux systèmes informatiques de l’établissement. Ces comptes sont personnels. Il est strictement interdit d’usurper une identité en utilisant ou en tentant d’utiliser le compte d’un autre utilisateur ou en agissant de façon volontairement anonyme dans le système d’information.

Pour utiliser son compte nominatif, l’utilisateur soit dispose d’un login et d’un mot de passe, soit utilise une carte de professionnel de santé ou d’établissement (CPS, CPE) ou équivalent (avec un code personnel).

Le mot de passe est le seul rempart contre la violation des informations, en conséquence il doit répondre aux règles suivantes. Le mot de passe choisi doit être robuste (recommandation de la CNIL : 8 caractères minimum, mélange de majuscules, minuscules, chiffres et caractères spéciaux), de préférence simple à mémoriser, mais surtout complexe à deviner. Il doit être changé régulièrement.

Le mot de passe est strictement confidentiel. Il ne doit pas être communiqué à qui que

(12)

ce soit : ni à des collègues, ni à sa hiérarchie, ni au personnel en charge des systèmes d’information, même pour une situation temporaire.

Chaque utilisateur est responsable de son compte et son mot de passe, et de l’usage qui en est fait. Il ne doit ainsi pas mettre à la disposition de tiers non autorisés un accès aux systèmes et aux réseaux de l’établissement dont il a l’usage.

La plupart des systèmes informatiques et des applications de l’établissement assurent une traçabilité complète des accès et des opérations réalisées à partir des comptes sur les applications médicales et médico-techniques, les applications administratives, le réseau, la messagerie, l’Internet, … Il est ainsi possible pour l’établissement de vérifier a posteriori l’identité de l’utilisateur ayant accédé ou tenté d’accéder à une application ou des données au moyen du compte utilisé pour cet accès ou cette tentative d’accès.

C’est pourquoi il est important que l’utilisateur veille à ce que personne ne puisse se connecter avec son propre compte. Pour cela, sur un poste dédié, il convient de fermer ou verrouiller sa session lorsqu’on quitte son poste. Il ne faut jamais se connecter sur plusieurs postes à la fois. Pour les postes qui ne sont pas utilisés pendant la nuit, il est impératif de fermer sa session systématiquement avant de quitter son poste le soir.

Il est interdit de contourner ou de tenter de contourner les restrictions d’accès aux logiciels. Ceux-ci doivent être utilisés conformément aux principes d’utilisation communiqués lors de formations ou dans les manuels et procédures remis aux utilisateurs.

L’utilisateur s’engage enfin à signaler toute tentative de violation de son compte personnel au support de la DSN.

5.5.5 IMAGE DE MARQUE DE L’ETABLISSEMENT

Les utilisateurs de moyens informatiques ne doivent pas nuire à l’image de marque de l’établissement en utilisant ces moyens, que ce soit en interne ou en externe, à travers des communications d’informations à l’extérieur de l’établissement ou du fait de leurs accès à Internet.

VI. INFORMATIQUE ET LIBERTES

Toute création ou modification de fichier comportant des données nominatives ou indirectement nominatives doit, préalablement à sa mise en œuvre, être déclarée auprès du Correspondant Informatique et Libertés (CIL) de l’AP-HM, qui étudie avec le Responsable de la Sécurité du Système d’Information (RSSI), la pertinence des données recueillies, la finalité du fichier, les durées de conservation prévues, les destinataires des données, le moyen d’information des personnes fichées et les mesures de sécurité à déployer pour protéger les données. Le CIL procède ensuite aux opérations de déclaration et d’information réglementaires.

Il est rappelé que l’absence de déclaration de fichiers comportant des données à caractère personnel est passible de sanctions financières et de peines d’emprisonnement.

En cas de non-respect des obligations relatives à la loi Informatique et Libertés, le CIL serait informé et pourrait prendre toute mesure temporaire de nature à mettre fin au traitement illégal ainsi qu’informer le responsable hiérarchique de l’utilisateur à l’origine du traitement illégal.

(13)

Une fiche de déclaration CIL est disponible pour initier le processus de déclaration au sein de l’établissement. Cette fiche est remplie par le demandeur puis analysée par le CIL et le RSSI pour vérifier sa recevabilité. Cette procédure simplifiée gérée au sein de l’institution permet d’enregistrer et ainsi de mettre en conformité avec la CNIL (Registre CIL/AP-HM consultable sur l’intranet) les traitements dont l’usage se limite strictement au périmètre du SI de l’institution.

En cas de traitement à déclarer dont les données sont susceptibles de sortir du SI de l’institution et pour des demandes d’autorisation ou d’avis, les démarches restent à faire directement auprès de la CNIL par le demandeur du traitement après en avoir informé le CIL et le RSSI.

VII. SURVEILLANCE DU SYSTEME D’INFORMATION

7.1 CONTROLE

Pour des nécessités de maintenance et de gestion, l’utilisation des ressources matérielles ou logicielles, les échanges via le réseau, ainsi que les rapports des télécommunications peuvent être analysés et contrôlés dans le respect de la législation applicable, et notamment de la loi Informatique et Libertés.

7.2 TRAÇABILITE

La Direction des Services Numériques de l’AP-HM assure une traçabilité sur l’ensemble des accès aux applications, aux données et aux ressources informatiques qu’elle met à disposition pour des raisons d’exigence réglementaire de traçabilité, de prévention contre les attaques et de contrôle du bon usage des applications et des ressources.

Par conséquent, les applications de l’établissement, ainsi que les réseaux, messagerie, accès Internet, téléphonie et les contrôles d’accès intègrent des dispositifs de traçabilité permettant d’enregistrer :

 L’identifiant de l’utilisateur ayant déclenché l’opération ;

 L’heure de la connexion ou d’accès ;

 Le système auquel il est accédé ;

 Le type d’opération réalisée ;

 Les informations consultées, ajoutées, modifiées ou supprimée des bases de données en réseau et/

ou des applications de l’hôpital ;

 La durée de la connexion (notamment pour l’accès Internet) ;

Les personnels de la Direction des Services Numériques respectent la confidentialité des données et des traces auxquelles ils sont amenés à accéder dans l’exercice de leurs fonctions, mais peuvent être amenés à les utiliser pour mettre en évidence certaines infractions commises par les utilisateurs.

Pour des besoins de sécurité, des analyses des traces informatiques peuvent être menées par les administrateurs des systèmes coordonnés par le RSSI.

Les analyses portant sur les usages d’utilisateurs précis ciblés, ne pourront être réalisées qu’après validation du directeur général ou de son délégué sur la base d’une note d’opportunité ou d’une réquisition. Le RSSI sera alors missionné par la direction générale pour organiser ces analyses et réquisitionner les personnels techniques pertinents.

(14)

VIII. GESTION ET RESTITUTION DES MOYENS ET DONNEES INFORMATIQUES

8.1 REGLES D’ACCES EN CAS D’ABSENCE



 Définition de l’absence

Tout fonctionnaire, agent public (y compris personnel médical), qui ne se trouve pas sur son lieu de travail pour cause d’autorisation d’absence ou de congés définis par l’article 41 de la loi 86-33 et par l’article 26 du Décret 91 -155, ainsi que dans les statuts respectifs des médecins hospitaliers définis dans le code de la santé publique ou pour cause de déplacements professionnels, est considéré comme absent.

 Identification du caractère professionnel ou personnel du message ou des répertoires de fichiers par l’agent

Tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel de sorte que l’employeur peut y accéder librement. Il appartient à l’agent d’identifier les contenus qui sont personnels. À défaut d’une telle identification, les contenus sont présumés être professionnels.

 Processus de demande d’accès au poste informatique ou à la messagerie

Dans le cas où l’agent n’a pu permettre l’accès à l’information nécessaire au service malgré une prise de contact en ce sens, l’accès au poste informatique ou à la messagerie est demandé par écrit par le chef de service au directeur général ou à son délégué. Cet écrit précise le motif et le nom de l’agent concerné. Au regard des motifs invoqués et de la durée de l’absence de l’agent, le directeur général ou son délégué valide l’accès. Le RSSI est alors missionné pour réaliser cette demande et requérir les administrateurs techniques permettant cette opération.

Information de l’agent

L’agent sera obligatoirement informé de cet accès par courrier.

8.2 DEPART D’UN AGENT

La date de départ de l’agent correspond à l’échéance du contrat, du stage ou au changement de position statutaire de l’agent (détachement, disponibilité, mise à disposition. retraite …).

L’agent est informé qu’à son départ, il est de sa responsabilité de vider sa messagerie et son poste informatique de ses messages ou documents personnels.

A la date de départ, l’adresse électronique nominative de l’agent est suspendue et son compte est désactivé sauf autorisation spécifique préalable.

Tout matériel mis à disposition (ordinateur, téléphone, support de sauvegarde, …) doit être restitué avant le départ auprès du responsable hiérarchique ou du service informatique de site (SIS DSN) qui établit à cette fin un procès-verbal de restitution.

Tout changement de personnel devra être signalé à la DSN par le responsable du personnel concerné (cadre) pour mise à jour des droits et habilitation.

(15)

8.3 DECES D’UN AGENT

En cas de décès d’un agent, les moyens informatiques sont récupérés par son supérieur hiérarchique et mis à disposition de la DSN via son RSSI. Toutes les données contenues dans le matériel informatique mis à disposition de l’agent sont effacées.

En cas de décès d’un agent avec réserve médico-légale ou donnant lieu à enquête administrative et / ou judiciaire, les données sont conservées et mises sous séquestre par le RSSI jusqu’à clôture des enquêtes.

8.4 ALERTES

Tout constat de vol de matériel ou de données, d’usurpation d’identité, de détournement de moyen, de réception de messages interdits, de fonctionnement anormal ou de façon plus générale toute suspicion d’atteinte à la sécurité ou manquement substantiel à cette charte doit être signalé sans délai au Responsable de la Sécurité du Système d’Information via le SVP (84 444).

Suivant les dispositions possibles pour l’appareil ayant subi un sinistre, des actions pourront être de l’initiative de l’utilisateur (exemple : appel pour blocage d’un téléphone perdu ou volé).

La sécurité de l’information met en jeu des moyens techniques, organisationnels et humains. Chaque utilisateur de l’information se doit d’avoir une attitude vigilante et responsable afin que les patients bénéficient d’une prise en charge sécurisée et que leur vie privée ainsi que celle des personnels soient respectées.

IX. RESPONSABILITES ET SANCTIONS

Les règles définies dans la présente Charte ont été élaborées en concertation avec le CIL et le RSSI et fixées par la Direction générale de l’établissement de santé dans le respect des dispositions législatives et réglementaires applicables (CNIL, ASIP Santé,…) et des statuts afférents à chaque catégorie de personnel.

L’établissement ne pourra être tenu pour responsable des détériorations d’informations ou des infractions commises par un utilisateur qui ne se sera pas conformé aux règles d’accès et d’usage des ressources informatiques et des services internet décrites dans la Charte. En cas de manquement aux règles de la présente Charte, la personne responsable de ce manquement est passible de sanctions applicables au statut dont il dépend.

Outre ces sanctions, la Direction de l’AP-HM est tenue de signaler toutes infractions administratives ou pénales commises par son personnel aux autorités compétentes et au procureur de la République.

X. PROCESSUS D’ADOPTION ET DE PUBLICITE

La présente charte pourra être modifiée en fonction du contexte législatif et réglementaire de la politique de sécurité de l’AP-HM. Elle est annexée au règlement intérieur de l’AP-HM.

(16)

Conformément à l’article L. 6143-7 du Code de la santé publique, le Directeur Général de l’AP-HM a arrêté la présente charte après :

 Présentation au Comité d’hygiène, de sécurité et des conditions de travail central, lors de la séance du 6/11/2014

 Présentation au Comité technique d’établissement central, lors de la séance du 9/03/2015

 Présentation à la Commission médicale d’établissement, lors de sa séance du 8/04/2015

 Soumission pour concertation au Directoire lors de la séance du 01/02/2016

 Soumission pour avis au Conseil de Surveillance lors de la séance du 25/02/2016

La présente charte entre en vigueur à compter de la date de publication mentionnée sur la page de garde.

La présente charte est publiée sur l’espace documentaire de l’institution.

Pour toute question relative au document, le Responsable du Service Informatique de Site (SIS) de votre établissement ou le RSSI de l’AP-HM peuvent être consultés.

XI. GESTION DU DOCUMENT

Diffusion du document : Ce document a fait l’objet :

 D’une diffusion générale

 D’une diffusion contrôlée Classement du document :

L’exemplaire original du document est conservé sur le logiciel de gestion documentaire NORMEA®.

XII. HISTORIQUE DU DOCUMENT

Identification de la

procédure HISTORIQUE des modifications apportées PRC-001552 Création

(17)

XIII. ANNEXES

ANNEXE1:GLOSSAIRE

Archivage : Action de recueillir, de classer et de conserver des documents à des fins de consultation ultérieure

Arobase : @

Authentifiant : Attribut permettant de vérifier que l’accédant qui souhaite se connecter à un système est bien celui qu’il prétend être. Il s’agit généralement d’un mot de passe.

Bien : Élément unitaire (logiciel, matériel, service) pour lequel s’applique la Charte Utilisateur du SI de l’AP-HM.

Cheval de Troie : Trojan en anglais. Programme malveillant qui se masque en un programme favorable. Sa particularité par rapport à d’autres codes malveillants est qu’il ne se multiplie pas. Il peut notamment offrir à un attaquant :

 Un accès complet au système

 Des informations de types mots de passe ou adresse de messagerie

 La liste de toutes les actions exercées par l’utilisateur

Chiffrement (appelé aussi improprement "cryptage") : Moyen à utiliser pour préserver la confidentialité des Informations sous forme électronique. Le contenu d'un message, d'un document, est alors rendu illisible pour quiconque ne possède pas la clé permettant de le déchiffrer.

CIL : Correspondant Informatique et Libertés. Parmi les missions du CIL, celui-ci doit s’assurer que toutes les précautions utiles ont été prises pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des personnes non autorisées y aient accès. La désignation d’un CIL permet de bénéficier d’un allègement des formalités. L’organisme est exonéré de l’obligation de déclaration préalable des traitements ordinaires et courants. Seuls les traitements identifiés comme sensibles dans la loi demeurent soumis à autorisation et continuent à faire l’objet de formalités.

CNIL : Commission Nationale de l’Informatique et des Libertés. Autorité administrative indépendante chargée de veiller au respect de la vie privée et des libertés dans le monde numérique.

Code PIN : Numéro d'identification personnel composé de plusieurs chiffres permettant d’authentifier le propriétaire d’une ressource (téléphone portable, carte de paiement, etc.)

Compte : Ensemble des éléments d’une connexion à une ressource, permettant à son titulaire d’utiliser ladite ressource. Il s’agit généralement d’un identifiant, d’un authentifiant, et des droits associés.

Confidentialité : Un des critères de sécurité permettant de s’assurer que l’information ne soit accessible qu’aux personnes autorisées à y accéder.

Contrôle d’accès : Fonctionnalité de sécurité visant à autoriser l’accès à un bien ou un traitement en fonction de l’identifiant et l’authentifiant fournis et des droits associés.

Disponibilité : Un des critères de sécurité, aptitude d’une fonction à rendre le service attendu en temps voulu et dans les conditions d’usage prévues.

Droits d’accès : Ensemble de droits accordés sur une ressource, permettant d’effectuer des actions sur celle-ci (création, consultation, modification, suppression).

Fraude informatique : Toute conduite qui implique la manipulation d’un ordinateur ou des Informations informatiques, quelle que soit la méthode utilisée, dans le but d’obtenir de façon malhonnête de l’Information, de l’argent, des biens ou tout autre avantage, ou dans l’intention de nuire (ex : captation ou suppression d’Informations, copie pirate de logiciels ; accès, entrave ou altération d’un traitement automatisé des Informations…)

Habilitation : Attribution à un utilisateur de droits d’accès à des biens informatiques par une entité autorisée.

(18)

Hameçonnage : Phishing en anglais. Technique visant à usurper l’identité d’une personne et / ou à récupérer des informations confidentielles (numéro de compte, authentifiant, code de carte bleue, ect.). Il se pratique essentiellement par de faux messages électroniques.

Identifiant : Login en anglais. Attribut unique permettant à une personne de s’identifier à un système.

Il s’agit, à titre d’illustration, du Code AP-HM pour les agents. Il est généralement associé à un authentifiant.

Incidents de sécurité : on appelle incident de sécurité des systèmes d’information tout événement affectant ou pouvant affecter la disponibilité, l’intégrité, la confidentialité ou la traçabilité des systèmes d’information de l’AP-HM. Il peut s’agir de vol d’information, de corruption de données, ou d’infection virale d’un poste de travail par exemple.

Informations à caractère personnel : Toute Informations relative à une personne physique identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (art. 2 de la loi du 6 janvier 1978 modifiée en août 2004).

Intégrité : Un des critères de sécurité, garantie de l’exactitude, de la fiabilité et de l’exhaustivité des informations et des méthodes de traitement.

Nom de domaine ou adresse URL : Correspond à l’adresse d’un site Internet. Il est composé deux parties : le nom du site et un suffixe tel que « .fr », « .org », etc.

Pare-feu : Firewall en anglais. Outil matériel ou logiciel permettant de définir les typologies de communications autorisées sur un réseau.

Partenaire : Entité externe qui intervient en liaison avec l’AP-HM sur un domaine donné (exemple : les associations).

Pourriel : Spam en anglais. Message électronique non sollicité, le plus souvent à caractère commercial, adressé à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il à obtenu l’adresse électronique dans les espaces publics de l’Internet.

Responsable de la Sécurité du Système d’Information (RSSI) : Il assure la gouvernance et le pilotage de la sécurité à l’échelle de son entité en identifiant les risques, portant les projets de sécurité, et en apportant le support concernant les problématiques de sécurité. Le rôle des RSSI est défini dans la Politique de Sécurité du SI de l’AP-HM.

Sous-traitant : Entités ou organismes externes en relation contractuelle avec l’AP-HM. Le sous- traitant travaille à la demande et sous le contrôle de l’AP-HM.

Spam : cf. pourriel

Système d’Information : ensemble organisé de ressources (données, procédures, matériel, logiciel, personnel, etc.) permettant d'acquérir, traiter, stocker, diffuser ou détruire les informations utilisées par les entités dans leurs métiers, et ceci quel que soit le support des informations.

Tiers : Entités ou organismes externes en relation contractuelle avec l’AP-HM. Sont ainsi considérés comme des tiers : les prestataires, les intérimaires, les partenaires…

Traçabilité : Un des critères de sécurité, garantit le suivi des actions des utilisateurs lors de l’utilisation ou de l’accès aux ressources matérielles ou informatiques.

Utilisateur : Désigne toute personne susceptible de pouvoir accéder au SI de l’AP-HM. Sauf mention contraire, désigne également les administrateurs, les exploitants et les prestataires externes intervenant sur le SI.

Ver : Programme autonome dont la vocation première est de se répliquer. Il intègre ses propres fonctions de réplication et d'infection. Il peut ainsi se transmettre en tant que pièce jointe à un courrier électronique (« mass-mailer »), ou se propager via le réseau.

VPN ou Virtual Private Network : Il s’agit d’un réseau privé virtuel mis en place par les organismes souhaitant interconnecter leur réseau à celui d’un organisme tiers. Le VPN peut être considéré comme une extension du réseau permettant de préserver le niveau de sécurité de celui-ci.

Virus : Programme hostile susceptible d’infecter les fichiers, de saturer les réseaux. Il peut en résulter des dysfonctionnements divers : par exemple l’effacement du disque dur, la suppression ou la compromission de fichiers.

(19)

WIFI : Ensemble de protocoles de communication sans fils permettant de faire communiquer plusieurs équipements informatiques.

(20)

ANNEXE2:RAPPEL DES PRINCIPALES LOIS FRANÇAISES SPECIFIQUES AU DROIT DE L'INFORMATIQUE

Il est rappelé que toute personne sur le sol français doit respecter la législation française en particulier dans le domaine de la sécurité informatique :

La loi du 6/1/78 dite "informatique et libertés" (http://www.cnil.fr/) modifiée par la loi n°2004- 801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

La législation relative à la fraude informatique, complétée par la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, reprise dans le Code pénal aux articles 323-1 à 323-7 (http://www.legifrance.gouv.fr/html/frame_codes1.htm - Choisir "Les Codes" Puis "Code Pénal - Partie législative"):

Article 323-1 :

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende.

Article 323-2 :

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-3 :

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-4 :

La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-7 :

La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines.

La législation relative à la propriété intellectuelle prévue dans le Code de la propriété intellectuelle, modifiée par la loi n° 2009-1311 du 28 octobre 2009 dite loi Hadopi 2 relative à la protection pénale de la propriété littéraire et artistique sur internet. Elle vise à lutter contre la fraude informatique en réprimant notamment les accès ou le maintien frauduleux dans un système informatique, la falsification de documents informatisés et leur usage. (http://www.legifrance.gouv.fr/html/frame_codes1.htm - Choisir "Les Codes" Puis "Code de la propriété intellectuelle - Partie législative"):

Article L 335-4 :

Est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou

(21)

toute télédiffusion d'une prestation, d'un phonogramme, d'un vidéogramme ou d'un programme, réalisée sans l'autorisation, lorsqu'elle est exigée, de l'artiste-interprète, du producteur de phonogrammes ou de vidéogrammes ou de l'entreprise de communication audiovisuelle. Est punie des mêmes peines toute importation ou exportation de phonogrammes ou de vidéogrammes réalisée sans l'autorisation du producteur ou de l'artiste-interprète, lorsqu'elle est exigée. Est puni de la peine d'amende prévue au premier alinéa le défaut de versement de la rémunération due à l'auteur, à l'artiste-interprète ou au producteur de phonogrammes ou de vidéogrammes au titre de la copie privée ou de la communication publique ainsi que de la télédiffusion des phonogrammes. Est puni de la peine d'amende prévue au premier alinéa le défaut de versement du prélèvement mentionné au troisième alinéa de l'article L. 133-3. Lorsque les délits prévus au présent article ont été commis en bande organisée, les peines sont portées à cinq ans d'emprisonnement et à 500 000 euros d'amende.

Article L 335-4-2 :

I.-Est puni de 3 750 euros d'amende le fait de supprimer ou de modifier, sciemment et à des fins autres que la recherche, tout élément d'information visé à l'article L. 331-11, par une intervention personnelle ne nécessitant pas l'usage d'une application technologique, d'un dispositif ou d'un composant existant, conçus ou spécialement adaptés à cette fin, dans le but de porter atteinte à un droit voisin du droit d'auteur, de dissimuler ou de faciliter une telle atteinte. II.-Est puni de six mois d'emprisonnement et de 30 000 euros d'amende le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus

ou spécialement adaptés pour supprimer ou modifier, même partiellement, un élément d'information visé à l'article L. 331-11, dans le but de porter atteinte à un droit voisin du droit d'auteur, de dissimuler ou de faciliter une telle atteinte, par l'un des procédés suivants : 1° En fabriquant ou en important une application technologique, un dispositif ou un composant, à des fins autres que la recherche ; 2° En détenant en vue de la vente, du prêt ou de la location, en offrant à ces mêmes fins ou en mettant à disposition du public sous quelque forme que ce soit une application technologique, un dispositif ou un composant ; 3° En fournissant un service à cette fin ; 4° En incitant à l'usage ou en commandant, concevant, organisant, reproduisant, distribuant ou diffusant une publicité en faveur de l'un des procédés visés aux 1° à 3°. III.-Est puni de six mois d'emprisonnement et de 30 000 euros d'amende le fait, sciemment, d'importer, de distribuer, de mettre à disposition du public sous quelque forme que ce soit ou de communiquer au public, directement ou indirectement, une interprétation, un phonogramme, un vidéogramme ou un programme, dont un élément d'information mentionné à l'article L. 331-11 a été supprimé ou modifié dans le but de porter atteinte à un droit voisin du droit d'auteur, de dissimuler ou de faciliter une telle atteinte. IV.-Ces dispositions ne sont pas applicables aux actes réalisés à des fins (Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2006-540 DC du 27 juillet 2006) de sécurité informatique, dans les limites des droits prévus par le présent code.

Article L335-2 :

Toute édition d'écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit.

La contrefaçon en France d'ouvrages publiés en France ou à l'étranger est punie de trois ans d'emprisonnement et de 300 000 euros d'amende. Seront punis des mêmes peines le débit, l'exportation et l'importation des ouvrages contrefaisants. Lorsque les délits prévus par le présent article ont été commis en bande organisée, les peines sont portées à cinq ans d'emprisonnement et à 500 000 euros d'amende.

Article L335-2-1:

(22)

Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait : 1°

D'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'œuvres ou d'objets protégés ; 2° D'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au 1°.

Article L335-3 :

Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi. Est également un délit de contrefaçon la violation de l'un des droits de l'auteur d'un logiciel définis à l'article L. 122-6.

(23)

ANNEXE3 :SANCTIONS

L’AP-HM se doit d’assurer la mise en œuvre de la réglementation ayant donné lieu à agrément ministériel portant sur l’hébergement des données de santé présentant un caractère personnel. En cas de manquement grave à ses obligations d’hébergeur, l’agrément pourrait être suspendu ou retiré par le ministère.

Par ailleurs l’AP-HM peut voir sa responsabilité contractuelle engagée par ses cocontractants et leur patient.

En cas de faute ou d’infraction aux dispositions de la présente Charte, l’AP-HM se réserve le droit d’engager des procédures disciplinaires à l’encontre du personnel non médical, médical et des sanctions contractuelles à l’encontre de ses prestataires de service qui interviennent sur le système d’information.

Il est rappelé aux agents et commis des prestataires que les procédures disciplinaires et sanctions ci- dessus ne sont pas exclusives de poursuites et de sanctions judiciaires si les usagers déposent plainte pour atteinte au secret médical protégé expressément par l’article 226-3 du Code pénal ou si la faute est détachable du service.

S’agissant des employés par des prestataires liés par un marché de service et de fourniture à l’AP-HM La présente charte est annexée au cahier des charges des marchés de prestation de service et de fourniture et est donc opposable à leurs titulaires.

Tout manquement aux obligations rappelées dans la présente charte par le titulaire du marché ou ses préposés fera l’objet d’une sanction contractuelle prévue dans le cahier des charges.

La présente charte est applicable aux marchés en cours par voie d’avenant qui fixe les sanctions contractuelles en cas de manquement à ses prescriptions par le titulaire ou l’un de ses préposés.