• Accueil
• English
• Skip navigation

• Planning
• Réservations
• Citrix
• Contacts
• Mode d'emploi
• Logiciels
• Charte du CRIO

Charte d'utilisation des ressources informatiques et réseau de l'université Paris-Dauphine

Préambule. Le cadre juridique

Toute organisation est responsable des actes de ses salariés et tout acte illégal effectué par un salarié entraîne la responsabilité pénale du salarié.

• Concernant la sécurité informatique, plusieurs types de risques peuvent être retenus :
• les risques touchant à la sécurité du réseau et des applications
• les risques d'atteinte à la propriété intellectuelle,
• les risques relatifs à la pornographie, la pédophilie, la diffamation et les injures raciales.

Qui dit délits dit sanctions, c'est ainsi que depuis 1978, se met en place un Droit dit Droit de l'Informatique ou encore Droit de la Sécurité des Systèmes Informatiques.
Pour le secteur public, le Secrétariat Général de la Défense Nationale (SGDN), service dépendant du Premier Ministre, a mis en place une structure interministérielle pour la sécurité des systèmes d'information : le Service Central de la Sécurité des Systèmes Informatiques (SCSSI). Ce service est chargé, entre autres fonctions, de la sensibilisation sur ce sujet.

L'Université Paris-Dauphine, consommatrice d'informatique, utilisatrice des réseaux et productrice, notamment de données scientifiques, n'échappe pas aux risques potentiels et se doit de faire respecter la réglementation en ce domaine.

La présente charte a pour objet de préciser, en accord avec la législation, les responsabilités des utilisateurs des installations informatiques de l'Université afin d'assurer un usage correct des ressources informatiques et des services réseau avec des règles minimales de courtoisie et de respect d'autrui. Elle fait également connaître aux utilisateurs les mesures de sécurité adoptées. En contrepartie des efforts demandés à chacun, l'Université s'engage par l'intermédiaire du Centre de Ressources Informatiques en Commun (CRIC) à assurer la qualité attendue en matière d'infrastructures informatiques et réseau en fonction des besoins et dans la mesure de ses moyens.

L'instauration de la charte a donné lieu à un débat dans le cadre de l'Université. Une procédure de concertation a été mise en place. En particulier, les instances représentatives du personnel, la conférence des directeurs d'UFR, le conseil scientifique et la Commission Nationale Informatique et Libertés (CNIL) ont été consultés. La charte a été approuvée par le conseil d'administration (séance du 30 juin 2003).

Les articles 1 à 10 s'appliquent à tous les utilisateurs des ressources informatiques de l'Université. L'article 11 est destiné aux utilisateurs des Crios et l'article 12 est propre aux administrateurs de sous-réseaux et de serveurs.

• Article 1er - Définitions
• Article 2 - Règles d'accès aux ressources
• Article 3 - Règles de sécurité
• Article 4 - Règles de déontologie
• Article 5 - Règles d'utilisation des services Internet et des ressources documentaires électroniques
• Article 6 - Dispositifs techniques de protection des infrastructures
• Article 7 - Utilisation des logiciels
• Article 8 - Zone d'expérimentation et de recherche
• Article 9 - Rappel des lois spécifiques au Droit de l'Informatique et des dispositions du code pénal concernant les infractions en matière informatique
• Article 10 Sanctions encourues
• Article 11 - Dispositions destinées aux utilisateurs des Crios
• Article 12 - Responsabilités des administrateurs systèmes, réseau et bases de données

Article 1er - Définitions

• Le terme ressources informatique désigne les moyens de traitement de l'information disponibles à l'université Paris-Dauphine, en incluant ceux qui offrent une possibilité de connexion à distance.
• Le terme ressource réseau désigne tous les moyens de communication informatique offerts par l'université Paris-Dauphine, incluant notamment tous les services réseaux et Internet (par exemple, Web, messagerie, forums), ainsi que tout équipement de transmission de données.
• Le terme utilisateur désigne toute personne ayant accès ou utilisant les ressources informatiques ou réseau de l'université.
• Le terme services Internet désigne tout service réseau offert par l'infrastructure de l'université Paris-Dauphine, et en particulier, la messagerie électronique, les forums, la messagerie instantanée, les services d'hébergement de pages Web et l'accès distant.
• Le terme ressources documentaires électroniques désigne tous les catalogues informatisés, périodiques électroniques, bases de données en ligne ou sur cédéroms mis à disposition des utilisateurs par le service commun de documentation de l'Université.
• L'expression membre de la communauté universitaire de Paris-Dauphine désigne tous les enseignants-chercheurs, chercheurs et personnels administratifs et techniques affectés à l'Université Paris-Dauphine, tous les vacataires et étudiants de l'Université Paris-Dauphine, tous les chercheurs invités ou associés des centres de recherche de l'Université Paris-Dauphine.

Article 2 - Règles d'accès aux ressources

Les ressources de l'université Paris-Dauphine sont exclusivement réservées à une utilisation dans le cadre :

• de l'activité professionnelle du personnel de l'université (Enseignants et IATOS),
• des activités de recherche, d'étude, d'enseignement, de développement technique, de transfert de technologie, de diffusion d'informations scientifiques, techniques et culturelles, d'expérimentation de nouveaux services présentant un caractère d'innovation technique, mais également toute activité administrative et de gestion accompagnant ces activités, comme le prévoit les statuts des groupements d'intérêt public RAP et RENATER

Les utilisateurs doivent être membres de la communauté universitaire de Paris-Dauphine.
Un utilisateur perd son habilitation à utiliser les ressources de l'université dès lors qu'il perd son statut de membre de la communauté universitaire de Paris-Dauphine. Des exceptions à cette règle peuvent être accordées par le Centre de Ressources Informatiques en Commun de l'Université CRIC).

Retour

Article 3 - Règles de sécurité

La sécurité des infrastructures informatiques et Internet, nonobstant les dispositifs techniques que l'université installe, est l'affaire de tous les utilisateurs. Ceux-ci doivent donc respecter un certain nombre de règles de base destinées à garantir la sécurité de tous et l'intégrité des infrastructures :

• les comptes ouverts aux utilisateurs sont rigoureusement personnels,
• ceux-ci doivent être protégés par un mot de passe qui respecte les règles de mise en place des mots de passe (voir annexe),
• les utilisateurs ne doivent communiquer leurs mots de passe sous aucun prétexte,
• il est rigoureusement interdit de mettre en place des services Internet sans autorisation des responsables sécurité de l'université. Toutefois cela est possible sur les machines situées dans la partie du réseau dénommée " zone d'expérimentation et de recherche " après une simple déclaration au responsable sécurité;
• toute tentative d'intrusion constatée par un utilisateur doit être signalée dans les plus brefs délais aux responsables sécurité de l'université,
• l'ouverture des fichiers joints aux emails doit être particulièrement surveillée,
• toute recommandation du responsable sécurité, concernant notamment la mise à jour de logiciels pouvant présenter des failles de sécurité, doit être suivie dans les plus brefs délais,
• les utilisateurs ne doivent jamais quitter un poste de travail sans se déconnecter de l'application et du réseau,
• les utilisateurs s'engagent à ne pas mettre à la disposition d'utilisateurs non autorisés un accès aux systèmes, au réseau ou à des données à travers des matériels dont ils ont l'usage,
• tout matériel informatique ne peut être relié au réseau que par un personnel habilité,
• il est interdit de relier simultanément une machine au réseau de l'université et à un autre réseau offrant l'accès à Internet (connexion modem, ADSL, …),
• il est interdit de mettre en place des programmes destinés à contourner les mesures de sécurité,
• des fichiers ne peuvent être déposés sur un serveur que dans des conditions prévues par le responsable du serveur.

Article 4 - Règles de déontologie

L'utilisateur s'engage à ne pas effectuer d'opération qui pourraient conduire à :

• masquer son identité,
• usurper l'identité d'autrui,
• s'approprier le mot de passe d'un autre utilisateur,
• altérer, modifier ou consulter des données appartenant à d'autres utilisateurs sans autorisation quand bien même ceux-ci ne les auraient pas protégés. Cette règle s'applique aux boîtes à lettres électroniques
• perturber le fonctionnement normal du réseau,
• utiliser les ressources informatiques et en particulier le réseau de façon irrationnelle et déloyale dans le but de les saturer ou de les détourner à des fins personnelles,
• modifier ou détruire des informations présentes sur un système,
• se connecter sur un site ou une machine sans y être autorisé.

Par ailleurs, l'utilisateur s'engage à déclarer à la CNIL la constitution de tout fichier comportant des données nominatives. Pour plus d'informations, le CRIC peut être consulté.

Article 5 - Règles d'utilisation des services Internet et des ressources documentaires électroniques

Conformément aux dispositions légales, les utilisateurs des services Internet s'engagent à ne pas utiliser les ressources de l'université pour tenir des propos (oraux ou écrits) à caractère insultants, diffamatoires, racistes, pédophiles ou attentatoires au respect d'autrui, à ne pas porter atteinte à l'intégrité d'un autre utilisateur ou à sa sensibilité notamment par des messages, textes ou images provocants et à pas émettre d'opinion personnelle étrangère à son activité professionnelle ou susceptible de porter préjudice à l'université. Les utilisateurs sont fermement encouragés à respecter les règles de politesse d'usage sur Internet. Ces règles sont applicables quel que soit le service utilisé, en particulier pour les forums, messagerie électronique et dialogue en direct.

Conformément à la réglementation applicable, l'Université exerce une surveillance des pages Web qu'elle stocke afin d'empêcher la diffusion d'informations faisant l'apologie des crimes de guerre ou des crimes contre l'humanité, incitant à la haine raciale, ou ayant un caractère pédophile, raciste ou pornographique.
L'envoi massif de messages électroniques non désirés (Spam) est totalement prohibé.
Le CRIC pourra être amené à supprimer les messages les plus anciens dans le cas où une boîte à lettres électronique atteint une taille maximale. D'une façon générale, des modifications de paramètres pourront être faites par le CRIC pour assurer le fonctionnement de la messagerie.

Les utilisateurs s'engagent par ailleurs à respecter les dispositions légales et réglementaires concernant la propriété intellectuelle. Il est notamment interdit de mettre à disposition par l'intermédiaire de l'espace Web offert par l'université des contenus protégés, de reproduire, de diffuser ou de céder les résultats de la consultation d'une base de donnée ou d'un cédérom au bénéfice d'un utilisateur non autorisé, d'exploiter commercialement des données résultant de la consultation d'une base de données ou d'un cédérom, de procéder à des impressions ou téléchargements contraires aux licences d'exploitation, d'incorporer des extraits de produits sous licence dans des supports de cours sans mention de sources ou de copyright, d'incorporer sans permission écrite du concédant des extraits de produits sous licence dans le cadre de programmes d'enseignement à distance.
La consultation de sites pornographiques et pédophiles est interdite.

Retour

Article 6 - Dispositifs techniques de protection des infrastructures

L'université se réserve la possibilité de mettre en place, dans le respect de la législation applicable et notamment de la loi sur l'Informatique et les Libertés, des dispositifs de filtrage de contenu destinés à assurer la protection des infrastructures. Ces logiciels peuvent inspecter le contenu des communications informatisées à la recherche de fichiers ou de programmes qui pourraient mettre en danger l'intégrité des ressources informatiques de l'université.

Des logiciels d'anti-virus et d'anti-spams sont mis en place sur les serveurs de messagerie. Dans le cas où un virus est détecté, le destinataire et l'expéditeur sont informés que le message contenait un virus et le message n'est pas délivré.

Article 7 - Utilisation des logiciels

Un utilisateur ne peut installer de logiciels sur son poste sans autorisation du responsable informatique compétent. Il est interdit :

• d'installer des logiciels à caractère ludique,
• d'installer des logiciels dont l'université ne possède pas de licence,
• de faire des copies de logiciels commerciaux,
• de développer des programmes potentiellement dangereux pour les ressources informatiques et réseau sans autorisation expresse des responsables sécurité de l'université,
• de dupliquer, donner ou vendre des logiciels ou des documentations mis à disposition par l'Université,
• de contourner les restrictions d'utilisation d'un logiciel.

Article 8 - Zone d'expérimentation et de recherche

Dans le but de préserver le maximum de fonctionnalités tout en garantissant un niveau de sécurité informatique adéquat, l'université Paris-Dauphine met à disposition des utilisateurs qui ont besoin de mettre en place pour leur usage professionnel des services serveurs accessibles depuis l'extérieur, une zone d'expérimentation et de recherche sur un réseau dédié séparé du reste du réseau de l'université. Toute machine raccordée à cette zone doit être déclarée aux responsables sécurité de l'université, et chaque machine ou service doit être associé à un utilisateur qui sera responsable de sa sécurité. L'université ne peut être tenue pour responsable des éventuels problèmes ou dysfonctionnements qui affecteraient les machines présentes dans cette zone. Il est interdit de relier une machine simultanément à la zone d'expérimentation et de recherche et au reste du réseau de l'université.

Retour

Article 9 - Rappel des lois spécifiques au Droit de l'Informatique et des dispositions du code pénal concernant les infractions en matière informatique

Les lois :

Loi du 6/01/78 sur l'Informatique, les fichiers, les libertés - Elle crée la Commission Nationale Informatique et Libertés et met en place des procédures de contrôle des traitements informatisés des données nominatives.

Loi du 3/07/85 sur la protection des logiciels - Elle interdit à l'utilisateur d'un logiciel toute reproduction autre que l'établissement d'une copie de sauvegarde.

Loi du 5/01/88 (loi GODFRAIN) relative à la fraude informatique - Elle vise à lutter contre la fraude informatique en réprimant :-les accès ou le maintien frauduleux dans un système informatique,-les atteintes accidentelles ou volontaires au fonctionnement,-la falsification de documents informatisés
et leur usage,-la tentative de ces délits, -l'association ou l'entente en vue de les commettre.

Les dispositions du code pénal :

Article 323-1 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende.

Article 323-2 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-3 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)
Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Article 323-4 - La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée.

Article 323-7 - La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines.

Article 323-5 - Les personnes physiques coupables des délits prévus au présent chapitre encourent également les peines complémentaires suivantes :

• L'interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalités de l'article 131-26 ;
• L'interdiction, pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice de laquelle ou à l'occasion de laquelle l'infraction a été commise ;
• La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;
• La fermeture, pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;
• L'exclusion, pour une durée de cinq ans au plus, des marchés publics ;
• L'interdiction, pour une durée de cinq ans au plus, d'émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ;
• L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35.

Article 10 Sanctions encourues

L'utilisateur qui enfreint une des règles de la présente charte encourt d'éventuelles sanctions disciplinaires et pénales et/ou la suppression de son accès aux ressources informatiques et réseau de l'université.

Retour

Article 11 - Dispositions destinées aux utilisateurs des Crios

Pour cette partie se reporter à la charte du CRIO.

Article 12 - Responsabilités des administrateurs systèmes, réseau et bases de données

Article spécifique aux administrateurs

Les administrateurs systèmes/réseau/SGBD sont les personnes qui gèrent les sous-réseaux connectés au réseau de l'Université ainsi que les serveurs sur lesquels sont installés les différents services mis à la disposition des utilisateurs (services Internet, applications de gestion, services pédagogiques, services pour la recherche et la documentation).

Les administrateurs ont la charge de la bonne qualité du service fourni aux utilisateurs dans la limite des moyens alloués. Ils ont le droit d'entreprendre toute démarche nécessaire au bon fonctionnement des moyens informatiques de l'Université en accord avec les responsables sécurité.

Les administrateurs ont le devoir d'informer, dans la mesure du possible, les utilisateurs de toute intervention nécessaire, susceptible de perturber ou d'interrompre l'utilisation habituelle des moyens informatiques.

Les administrateurs ont le devoir d'informer immédiatement le responsable sécurité de l'université (ou son suppléant) de toute tentative d'intrusion sur un système, ou de tout comportement délictueux d'un utilisateur.
Les administrateurs ont l'obligation de préserver et de respecter la confidentialité des informations privées qu'ils sont amenés à connaître dans le cadre de leur activité.

Les administrateurs doivent avoir la connaissance et la maîtrise de tous les équipements informatiques et réseaux appartenant au sous-réseau qu'ils gèrent. Ils doivent tenir à jour la liste des équipements (machines, routeurs, imprimantes,...) et des prises réseaux (localisation, utilisateur connecté à la prise).

Règles de sécurité :

Les administrateurs doivent utiliser des mots de passe forts définis selon l'annexe. Ceux-ci doivent être changés régulièrement. Les administrateurs doivent inspecter régulièrement les fichiers de traces de manière à détecter le plus vite possible toute intrusion. Toute création de nouveau service, ouverture de nouveaux ports (à part dans la zone de recherche et de développement) doit être validée par le responsable sécurité de l'université. Les administrateurs ont le devoir d'appliquer les correctifs nécessaires aux applications qui présentent des failles de sécurité.

En contrepartie des engagements demandés aux administrateurs systèmes, réseaux et base de données, le CRIC s'engage à informer les personnes concernées de toute disposition qu'il prend touchant à la sécurité.

ENGAGEMENT PERSONNEL DE L'UTILISATEUR

Je soussigné ……………………………., demeurant à ……………………………, déclare

avoir pris connaissance des dispositions de la présente charge, et m'engage à les respecter.

Fait à ……………………………….., le ………………………..

Signature :

Retour