Re: [Admin-ml] Autorisation responsabilité juridique pour les archives informatique.

Christophe AVRILLON c.avrillon at meyer-partenaires.com
Lun 18 Mai 16:51:11 CEST 2009


Bonjour à tous

Merci pour vos réponses précises.
J'ai des réunions en vue sur ce sujet avec ma direction, je vous  
tiendrai au courant....

Jean-Luc, je serais très intéressé par le références légales de ton  
recueil sur les sauvegardes.

Cela concernera aussi les archives pour une GED avec des documents de  
nos clients...

Merci encore.
Meilleures salutations

Le 16 mai 09 à 15:06, Jean-Luc Bailloeul a écrit :

>
> Le 16 mai 09 à 14:21, Piel Jayce a écrit :
>
>> Le 14 mai 09 à 13:05, Christophe AVRILLON a écrit :
>>
>>> Bonjour à tous,
>>>
>>>
>>> Aujourd'hui les responsabilités de chacun peuvent être mis en jeu  
>>> pour ce qui est du respect de la confidentialité des données  
>>> personnelles et de l'entreprise. Comment un administrateur réseau  
>>> peut-il agir dans ce cas ?
> Il s'agit avant tout de la responsabilité du chef d'entreprise. Elle  
> est opposable au tien, dans la mesure ou il te confie la mission de  
> faire respecter cette dite responsabilité.
>>>
>>>
>>> Nous sommes 2 administrateurs réseau dans une société dans le  
>>> domaine des services aux entreprises composé d'une 40taine de  
>>> personnes, d'un département comptabilité, d'un service de  
>>> documentation et d'agents administratifs.
>>>
>>> Nous faisions une archive trimestrielles (un snapshot) de toutes  
>>> les données informatiques (personnelle et de l'entreprise).
>>> Ceci sans autorisations écrites particulières.
>>> Les archives sont stockées dans le coffre fort de notre banque  
>>> pour une durée de 3 ans.
> Sur quel support, ça m'intéresse (cf. topics sur les sauvegardes)
>>>
>>>
>>> Dans vos expériences et bonnes pratiques,
>>>
>>> - Doit-on avoir une autorisation signé du patrons ?
> oui et non, dans la mesure ou il te confie une mission  
> d'administration réseau (et système), tes responsabilités et devoirs  
> (mais aussi tes droits) en découlent (demande-t'il explicitement à  
> un comptable de faire son bilan annuel, ou de s'assurer que les  
> charges URSSAF sont calculées ?)
>>>
>>> - Doit-on avoir une autorisation signé des utilisateurs ?
> Il ne s'agit pas, selon mes recherches, d'une obligation, mais c'est  
> préférable. Nombre de structures font désormais signer une charte  
> informatique. On intègre de plus en plus cette charte dans le  
> règlement intérieur de la structure pour ne faire signer, in fine,  
> qu'un seul document, à valeur opposable dans un tribunal (ce que n'a  
> pas tacitement une charte).
>>>
>>> - Est une obligation tacite des administrateur informatique ?
> Bien sûr que oui : l'obligation est tacite (il ne s'agit pas pour  
> autant d'une autorisation tacite, à mon sens).
>>>
>>
>>
>> Tout dépend du contrat. D'une manière générale, plus on a de choses  
>> écrites, mieux c'est.
> ça, c'est très vrai.
>>
>> Maintenant, si c'est marqué dans ton contrat que tu dois assurer  
>> les sauvegardes sans donner plus de détail, libre à toi de les  
>> stocker où tu veux pour en assurer la pérennité. Et là oui, c'est  
>> une autorisation tacite. Mais tu pex toujours faire signer un  
>> papier indiquant comment tu gères les sauvegardes.
>> Maintenant, si ce n'est pas marqué dans le contrat que tu dois  
>> assurer les sauvegardes, c'est plus flou. Et en cas de conflit, ça  
>> "risque" de poser problème. Là, il vaudrait mieux clarifier la chose.
> dans l'autre sens, le problème se pose aussi. si tu n'as pas les  
> moyens de restaurer les données perdues d'un utilisateur, faute de  
> sauvegarde, on te reprochera de ne pas l'avoir fait. cela ne sera  
> opposable que s'il est explicitement expliqué dans ton contrat que  
> ce devait être fait.
>>
>>
>> Dans tous les cas, ce ne sont pas les utilisateurs eux-même qui  
>> doivent signer quelque chose, mais le responsable de l'entreprise  
>> en question.
> oui et non, le responsable doit prendre toutes les mesures qui  
> s'imposent pour sécuriser son activité, ses données et leur  
> confidentialité.
> aujourd'hui, de plus en plus de structures font signer une charte  
> info à leurs employés.
> J'étudie en ce moment ces questions concernant les sauvegardes, mais  
> aussi de notre obligation de logguer toutes les connexions réseau de  
> nos usagers.
> Nous sommes tenus de sauvegarder ces données, mais n'avons pas le  
> droit de les consulter sauf à des fins de débug.
> pour les sauvegardes, je pense que c'est le même principe (il doit  
> exister des textes à ce sujet à la CNIL, je me renseignerai) : c'est  
> d'autant plus vrai si tu conserves comme nous les données de  
> messagerie electronique, qui elles sont nominatives et  
> confidentielles (tout du moins le corps du message).
>
>> Sur la confidentialité des données, je pense que ce n'est pas toi  
>> le responsable, mais plus le donneur d'ordre. Maintenant, tu as un  
>> devoir de conseil...
> Je pense que ce n'est pas parce que tu sauvegardes des données, que  
> tu en violes la confidentialité. ce n'est pas antinomique.
> Les usagers ont tendance à nous penser tout puissant sur le réseau  
> et que toute donnée nous est de fait connue, comme si nous n'avions  
> que cela à faire que de regarder les mails qu'ils écrivent à leur  
> tante Bertha.
> Si tu exerces ta profession avec professionnalisme, bon sens, et  
> discrétion, il ne peut t'être reproché de faire tout ce qui est en  
> ton pouvoir pour sécuriser l'activité de ton entreprise.
> J'ai un recueil sur la sécurité informatique de l'entreprise, je  
> vais regarder si je trouve des références légales à ce sujet.
> Cdt,
> Jean-Luc
>>
>>
>> -- 
>> Jayce Piel
>> MosX.org
>> la renaissance.....
>>
>>
>> _______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml