PRÉAMBULE

Le présent règlement intérieur établi en application de la loi n° 82-689 du 4 août 1982, relative aux libertés des travailleurs dans l'entreprise a pour objet de traiter exclusivement :

• des mesures concernant l'application de la réglementation en matière d'hygiène et de sécurité,

• des règles générales et permanentes relatives à la discipline,

• des dispositions se rapportant aux sanctions et à la procédure disciplinaire.

Les dispositions du présent règlement sont portées à la connaissance de l'ensemble du personnel par affichage conformément aux dispositions de l'article R. 122-12 du code du travail.

Chaque salarié de l'organisme doit s'y conformer sans restrictions, ni réserves, sous peine de sanctions disciplinaires.

DISPOSITIONS EN MATIÈRE D'HYGIÈNE ET DE SÉCURITÉ

Le personnel de l'organisme doit respecter toutes les prescriptions applicables en matière d'hygiène et de sécurité.

- HYGIENE

MEDECINE DU TRAVAIL

Le personnel est tenu de se soumettre aux différents examens prévus par la législation sur la médecine du travail aux dates et heures qui lui seront indiquées et doit à son retour présenter au service du personnel l'avis qui lui a été remis par le service médical.

VESTIAIRE

Le vestiaire mis à la disposition doit être conservé dans un constant état de propreté et utilisé que pour l'usage auquel il est destiné.

BOISSONS ALCOOLISÉES

Nul ne peut introduire de boissons alcoolisées dans l'organisme sauf autorisation exceptionnelle de la Direction.

INTERDICTION DE FUMER DANS DES LIEUX AFFECTES A UN USAGE COLLECTIF

« En application du décret n°2006-1386 du 15 novembre 2006 fixant les conditions d’application de l’interdiction de fumer dans des lieux affectés à un usage collectif, l’interdiction de fumer s’applique dans des lieux fermés et couverts qui accueillent du public ou qui constituent des lieux de travail. » (Article R. 3511-1 du Code de la santé publique).

En cas de non-respect, les sanctions sont celles prévues par le présent Règlement intérieur.

En outre, l’article R. 3512-1 du Code de la santé publique prévoit une pénalité par une

ème

amende telle que définie pour les contraventions de 3 classe.

RESTAURATION

Un réfectoire est à la disposition du personnel de l'organisme qui peut y prendre ses repas de midi, entre 11 h 30 et 14 h. Ces horaires de fréquentation liés à l'horaire de travail, doivent être respectés.

II est interdit de prendre ses repas dans l'entreprise en dehors des locaux affectés à cet usage.

Toutefois, pendant toute la période de pandémie Covid-19 et afin de respecter les règles de distanciation sociales, il est toléré que la prise de repas se fasse dans les bureaux.

CONDITIONS D'USAGE DES LOCAUX DE TRAVAIL

Outre le maintien de l'ordre et la propreté des locaux, il convient, en les quittant, de vérifier :

• les fermetures des portes et fenêtres,

• l'hiver, que les stores intérieurs et extérieurs soient bien fermés, dans le cadre des économies d'énergie.

Des appareils distributeurs de boissons sont mis à la disposition du personnel par le Comité d'entreprise en accord avec l'employeur. Ils doivent être utilisés avec tact et mesure.

- SÉCURITÉ

PRÉVENTION

Conformément aux dispositions de l'article L 231-3-1 du code du travail, le personnel doit bénéficier d'une information adaptée sur la sécurité.

En vue d'assurer leur propre sécurité et leur santé, les agents doivent, à titre préventif, se conformer en particulier aux consignes suivantes :

• ne pas bloquer les portes coupe-feu ou à fermeture automatique,

• ne pas encombrer les issues et voies de circulation,

• éviter les causes de feu (interdiction de fumer),

• replacer documents et papiers dans les tiroirs à la fin du travail,

• maintenir ordre et propreté dans les locaux de travail,

• en quittant les locaux de travail, en refermer soigneusement les portes.

Le personnel désigné pour intervenir en cas d'incendie doit impérativement assister aux séances d'instruction organisées à cet effet.

Le personnel doit impérativement participer aux exercices d'évacuation dans les conditions prévues par note de service.

PROCÉDURE D'ALERTE

Tout salarié qui aura un motif raisonnable de penser qu'une situation de travail présente un danger grave et imminent pour sa vie ou sa santé devra en avertir immédiatement la personne désignée à cet effet par note de service.

Aucune sanction, aucune retenue de salaire ne peut être prise à l'encontre d'un salarié ou d'un groupe de salariés qui se sont retirés d'une situation de travail dont ils avaient un motif raisonnable de penser qu'elle présentait un danger grave et imminent pour la vie ou la santé de chacun d'eux.

Si un représentant du personnel au Comité Social et Economique (CSE) constate qu'il existe une cause de danger grave et imminent, notamment par l'intermédiaire d'un salarié qui s'est retiré d'une situation de travail dans les conditions définies précédemment, il en avise immédiatement l'employeur ou son représentant, et il consigne cet avis par écrit dans des conditions fixées par voie réglementaire.

L'employeur ou son représentant est tenu de procéder sur-le-champ à une enquête avec le membre du CSE qui lui a signalé le danger et de prendre les mesures nécessaires pour y remédier.

UTILISATION DE MOYENS DE PROTECTION

Les dispositions visant à l'observation des prescriptions légales et réglementaires relatives à la sécurité du personnel et à la prévention des accidents et des maladies professionnelles sont réglées par note de service en ce qui concerne les dispositifs de protection installés sur les machines utilisées par certaines catégories de personnel. Ceux-ci sont tenus d'utiliser tous les moyens de protection individuels ou collectifs mis à leur disposition et de respecter strictement les consignes particulières données à cet effet.

LES SOINS D'URGENCE

Appeler dans tous les cas, le Département des Ressources Humaines.

Tout accident survenu au cours du travail doit être déclaré par le salarié le jour même ou au plus tard dans les 24 heures, dans les conditions prévues par note de service.

CONSIGNES GÉNÉRALES EN CAS D'INCENDIE

Conformément aux dispositions du code du travail, si un fait anormal se manifeste (fumée, odeur de brûlé, incendie, etc.), il convient de prendre toutes les mesures nécessaires en la matière et de se conformer aux consignes exposées dans la note précitée.

CONSIGNES EN CAS D'ÉVACUATION

Au cas où l'évacuation s'avérerait nécessaire, le personnel est tenu de suivre scrupuleusement les consignes d'évacuation portées à sa connaissance par voie d'affichage.

SÉCURITÉ DES BIENS PERSONNELS

Afin de se prémunir contre les vols de biens personnels (sacs, vêtements...), les précautions nécessaires doivent être prises par leur propriétaire, notamment en ce qui concerne la fermeture des vestiaires et des véhicules garés dans les parcs de stationnement.

RÈGLES GÉNÉRALES ET PERMANENTES RELATIVES À LA DISCIPLINE

La réalisation d'objectifs au sein d'un organisme ne peut se concevoir sans le respect d'un nombre de règles indispensables à leur bon accomplissement.

Le personnel est tenu de se conformer aux instructions et recommandations faites par tout responsable de service, aux consignes ou prescriptions portées à sa connaissance par voie d'affichage ou note de service.

Le non-respect de ces règles et d'une façon générale tout fait considéré comme fautif par l'employeur pourra être sanctionné dans le respect des droits du salarié consignés dans la partie n° 3 de ce règlement.

SECRET PROFESSIONNEL

L'obligation du respect de secret professionnel s'impose à tout le personnel. En conséquence, toute divulgation par un agent à un tiers, de renseignements dont il aurait eu connaissance à l'occasion de l'exercice de ses fonctions, sera considérée comme une faute grave, voire lourde, sans préjudice des dispositions du code pénal.

HORAIRE DE TRAVAIL

Tout salarié est tenu de respecter l'horaire hebdomadaire de travail de l'organisme, dans les conditions définies par note de service.

Les heures supplémentaires qui pourront être effectuées sont soumises à la réglementation en vigueur compte tenu des dispositions conventionnelles.

La présence sur les lieux de travail en dehors des horaires prévus n'est autorisée que pour des raisons de service, sous réserve des droits des représentants du personnel.

ENTRÉE, SORTIE, ABSENCE

Toute entrée et sortie de l'organisme donne lieu à enregistrement dans les conditions fixées par note de service.

Toute absence du poste de travail doit être justifiée ou donner lieu à autorisation.

Les demandes de mises en congé, telles que définies par les articles 38, 40, 45, 46 et 46 bis de la convention collective donnent lieu à établissement d'un imprimé adapté : dûment signé par le responsable hiérarchique et par l'agent.

Par ailleurs, une absence pour raison de santé, quelle qu'en soit la durée, doit être justifiée par la production d'un certificat médical à faire parvenir 48 heures au plus tard à l'organisme.

De plus, en cas d'absence inopinée, le salarié doit prévenir ou faire prévenir son responsable hiérarchique dans les meilleurs délais.

Le responsable hiérarchique doit être informé en temps utile des absences au titre d'une part des heures de fonction attribuées aux représentants du personnel et d'autre part des articles 12 et 39 alinéas 1 et 2 de la convention collective.

Tout retard doit être justifié auprès du responsable hiérarchique. Tout retard non justifié est passible de l'une des sanctions prévues par le présent règlement.

II en est de même de toute sortie anticipée sans motif légitime ou sans autorisation.

DÉPLACEMENT A TITRE PROFESSIONNEL

Tout déplacement hors du lieu où s'exerce normalement le travail doit donner lieu à l'établissement d'un ordre de mission.

Dans le cas où l'agent serait autorisé à utiliser pour ce faire, son véhicule personnel, l'ordre de mission devra être adressé en ce sens et l'intéressé devra obligatoirement apporter la preuve qu'il a souscrit l'assurance nécessaire à l'utilisation dudit véhicule dans ces conditions et qu'il est en règle vis-à-vis de sa compagnie.

ACCÈS AUX LOCAUX DE L'ORGANISME

Sous réserve des dispositions prévues aux articles L. 412-10 et L. 431-7 du code du travail, l'accès aux locaux de l'organisme et le séjour dans ces mêmes locaux aux personnes ne faisant pas ou plus partie du personnel est réglementé par note de service.

MATÉRIEL DE TRAVAIL

L'accomplissement du travail suppose la mise à disposition d'instruments et moyens matériels au personnel par l'organisme afin de lui permettre soit directement, soit indirectement, de remplir la mission qui lui est confiée.

Le matériel doit être gardé en bon état par le personnel qui l'utilise.

II est interdit d'emporter hors du lieu de travail, sans autorisation, des objets appartenant à l'organisme ou de les utiliser pour son propre compte.

Tout sinistre concernant le matériel doit être immédiatement signalé au responsable hiérarchique.

L'utilisation des postes téléphoniques est limitée aux seuls besoins professionnels.

Les communications téléphoniques personnelles sont admises seulement à titre exceptionnel et avec l'accord du responsable hiérarchique.

Au départ définitif d'un salarié de l'organisme, les moyens mis à sa disposition devront être restitués.

PRINCIPE DE LAICITE ET OBLIGATION DE NEUTRALITE

Le principe constitutionnel de laïcité de la République et l’obligation de neutralité qui lui est associée imposent à tout agent qui contribue à une mission de service public un comportement de nature à garantir son bon fonctionnement. Ces dispositions sont pleinement applicables au service public assuré par la CPAM du Cher, tant en interne que dans la relation avec les assurés, les professionnels de santé, les employeurs et tout tiers.

Les convictions philosophiques, politiques ou religieuses du personnel de la CPAM du Cher ne peuvent faire l’objet de manifestations au sein de l’organisme, notamment par le port ostentatoire d’un signe destiné à marquer une appartenance à une philosophie, à un groupe politique ou à une religion ou par l’expression d’une adhésion à des convictions philosophiques, politiques ou religieuses ou par l’exercice de pratiques religieuses dans les locaux de l’organisme, qui conduirait directement à troubler le fonctionnement interne, à perturber ses relations avec les tiers ou à donner une image de celui-ci contraire au respect des principes de neutralité et de laïcité du service public.

Le fait pour un salarié de manifester ses convictions philosophiques, politiques ou religieuses dans le cadre de sa contribution au service public constitue une entorse aux dispositions du présent règlement intérieur, dont le degré de gravité est apprécié par l’employeur au regard des circonstances particulières de chaque cas d’espèce.

PROTECTION CONTRE LE HARCELEMENT SEXUEL OU MORAL DANS LES RELATIONS DE TRAVAIL

Application des articles L 122-46, L 122-47 et L 122-49 du Code du Travail.

Aucun salarié ne peut exercer sur un autre salarié une forme quelconque de harcèlement (physique, moral, sexuel ou autre) constituant une atteinte aux droits des personnes ou aux libertés individuelles.

Selon l’article L 122-46 du Code du travail, « aucun salarié ne peut être sanctionné ou licencié pour avoir subi ou refusé de subir les agissements de harcèlement sexuel de toute personne dont le but est d’obtenir des faveurs de nature sexuelle à son profit ou au profit d’un tiers, et les agissements répétés de harcèlement moral ayant pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel.

Bénéficie de la même protection le salarié ayant témoigné des agissements de harcèlement sexuel ou moral ou les ayant relatés.

Toute disposition ou tout acte contraire est nul de plein droit. »

La personne coupable de harcèlement est passible de sanctions disciplinaires. En conséquence, lorsqu’il sera prouvé qu’une personne se sera livrée à de tels agissements, elle fera l’objet de l’une des sanctions énumérées dans le paragraphe suivant, cette sanction étant précédée de la procédure décrite dans la partie n° 3 dudit règlement.

SANCTIONS

Tout fait contraire aux règles prescrites par le présent règlement appelle sanction dans les conditions fixées par la partie n° 3 de ce texte.

Constitue une sanction toute mesure, autre que les observations verbales, prise par l'employeur à la suite d'un agissement du salarié considéré par lui comme fautif, que cette mesure soit de nature à affecter immédiatement ou non la présence du salarié dans l'entreprise, sa fonction, sa carrière ou sa rémunération.

Les sanctions disciplinaires applicables sont celles énumérées à l'article 48 de la convention collective, à l'exclusion de toute amende ou autre sanction pécuniaire.

(1)

La liste des sanctions disciplinaires est la suivante

• avertissement,

• blâme,

• suspension sans traitement avec maximum de 7 jours ouvrables,

• rétrogradation,

• licenciement avec ou sans indemnité.

Aucune de ces sanctions, antérieure de plus de trois ans à l'engagement des poursuites disciplinaires, ne peut être invoquée à l'appui d'une nouvelle sanction.

(1)

Cette liste ne comporte pas de gradation, chaque sanction devant avoir sa motivation

spécifique.

- PROCÉDURE DISCIPLINAIRE

Conformément à la loi du 4 août 1982, aucune sanction ne peut être infligée au salarié sans que celui-ci soit informé dans le même temps et par écrit des griefs retenus contre lui.

1. L'avertissement et le blâme sont prononcés par la Direction sur le rapport écrit établi par le responsable hiérarchique compétent après un complément d'enquête au cours duquel l'agent en cause est entendu en présence des Délégués du personnel. L'agent peut se faire assister par une personne de son choix appartenant au personnel de l'entreprise.

La sanction ne peut intervenir moins d'un jour franc ni plus d'un mois après le jour fixé pour l'entretien. Elle doit être motivée et notifiée à l'intéressé.

2. Les trois autres sanctions sont soumises à la procédure suivante, sans préjudice des dispositions spécifiques du code du travail pour ce qui concerne le licenciement :

   • Lorsque le Directeur envisage de prendre l'une de ces trois sanctions, il doit convoquer le salarié en lui indiquant l'objet de la convocation. Au cours de l'entretien, l'agent est entendu en présence d’un membre du CSE. II peut se faire assister par une personne de son choix appartenant au personnel de l'entreprise ; l'employeur indique le motif de la sanction envisagée et recueille les explications du salarié.

   • Le Directeur a 5 jours ouvrés maximum à compter du jour de l'entretien pour demander la convocation du Conseil de discipline.

   • Le Conseil de discipline est convoqué par son Secrétariat dans un délai de 8 jours suivant la réception de la demande de convocation du Directeur et doit se réunir dans les 15 jours suivant la réception de cette demande.

   • Pour la réunion du Conseil de discipline, l'agent en cause peut, pour sa défense, être accompagné d'un conseiller de son choix. L'agent doit recevoir communication de son dossier au moins 8 jours avant la réunion du Conseil de discipline.

   • Le Conseil de discipline ne peut valablement délibérer que si le quorum est atteint dans chaque collège et si la parité est assurée. A défaut, le Conseil de discipline se réunit de nouveau dans un délai de 8 jours francs et se prononce à la majorité des membres présents.

   • Les conclusions du Conseil de discipline sont notifiées par écrit dans les 48 heures au Directeur et à l'agent en cause.

   • En tout état de cause, la sanction ne peut intervenir avant que le Conseil de discipline se soit prononcé sur la proposition faite par le Directeur, le délai total de la procédure ne pouvant excéder un mois à compter de la date de l'entretien.

   • Le Directeur prend sa décision, compte tenu des conclusions du Conseil de discipline qu'il devra rappeler en tout état de cause dans la notification qui sera faite à l'agent intéressé. La sanction doit être motivée et notifiée à l'intéressé.

3. En cas de faute professionnelle susceptible d'entraîner le licenciement, le Directeur peut prendre une mesure conservatoire de mise à pied à effet immédiat avec traitement pendant un mois au maximum, en attendant que le Conseil de discipline se soit prononcé, après avoir entendu l'intéressé en présence d’un membre du CSE. Le salarié peut se faire

assister par une personne de son choix appartenant au personnel de l'entreprise. Le Conseil de discipline appréciera s'il y a faute grave.

4. En cas de litige, le Conseil de Prud'hommes intervient le cas échéant, dans les conditions fixées par l'article L. 122-43 du code du travail.

Outre les dispositions susvisées, le décret n° 82-160 du 3 mars 1982 précise :

• La convocation écrite à l'entretien indique l'objet de l'entretien entre l'employeur et le salarié. Elle précise la date, l'heure et le lieu de l'entretien ; elle rappelle que le salarié peut se faire assister par une personne de son choix appartenant au personnel de l'entreprise.

• La convocation est soit remise en main propre contre décharge dans le délai de 2 mois à compter du jour où l'employeur a eu connaissance du fait fautif, soit envoyée par lettre recommandée dans le même délai.

• La décision de la sanction, écrite et motivée, est notifiée au salarié soit sous la forme d'une lettre remise en main propre de l'intéressé contre décharge, soit par l'envoi d'une lettre recommandée.

• Dans les deux cas, la sanction ne peut intervenir moins d'un jour franc ni plus d'un mois après le jour fixé pour l'entretien.

• Le délai maximal d'un mois qui sépare le jour de l'entretien de la notification de la sanction expire à 24 heures le jour du mois qui porte le même quantième ou, à défaut d'un quantième identique, le dernier jour du mois.

• Lorsque le dernier jour de ce délai est un samedi, un dimanche ou un jour férié ou

er

chômé, le délai est prorogé jusqu'au 1 jour ouvrable suivant.

– MESURES LIÉES À LA CRISE SANITAIRE COVID-19

Afin d’assurer la santé des salariés, le protocole sanitaire du 31/08/2020 doit être respecté par tous les salariés et ce, durant toute la période du protocole sanitaire national.

Suite à l’actualisation des connaissances scientifiques sur la transmission du virus par aérosols et compte tenu des recommandations du HCSP en date du 28 aout 2020, le port du masque grand public est systématique au sein des entreprises dans les lieux collectifs clos.

Il est associé au respect d’une distance physique d’au moins un mètre entre les personnes, de l’hygiène des mains, des gestes barrières, ainsi que du nettoyage, de la ventilation, de l’aération des locaux et la gestion des flux de personnes.

Au regard des activités de la CPAM du Cher, tous les salariés exerçant dans des bureaux partagés sont tenus de porter un masque couvrant la bouche et le nez.

Seuls les collaborateurs exerçant dans un bureau individuel sont autorisés à ne pas porter de masques. Cependant, s’ils sont amenés à recevoir un ou plusieurs collaborateurs dans leur bureau, le masque est obligatoire.

DATE D’EFFET

Le présent règlement, auquel est annexée la Charte Informatique, entre en vigueur à compter du 01/05/2021.

Il annule et remplace le précédent entré en vigueur le 1^er octobre 2020.

ANNEXE

• Charte Informatique de l’Assurance Maladie : version mise à jour 2020 (avis du CSE en date du 15/09/2020)

Charte informatique

de l’Assurance Maladie

Table des matières

1. PREAMBULE 4

2. CHAMP D’APPLICATION DE LA CHARTE 4

   1. PERSONNES CONCERNEES 5

   2. DIFFUSION 5

3. REGLES D’UTILISATION DU SYSTEME D’INFORMATION 6

   3. REGLES GENERALES 6

   4. UTILISATION PRIVEE RESIDUELLE ET NOMMAGE DES DONNEES PRIVEES 6

   5. DROITS D’ACCES AUX DONNEES 7

4. ATTRIBUTION ET RETRAIT DU DROIT D’ACCES AU SYSTEME D’INFORMATION 8

   6. ATTRIBUTION 8

   7. GESTION DES ABSENCES 8

   8. GESTION DES DEPARTS 9

5. LA PROTECTION DU SYSTEME D’INFORMATION 9

   9. PROTECTION DES RESSOURCES ET DES INFORMATIONS 9

   10. VIRUS INFORMATIQUES ET AUTRES EVENEMENTS MALVEILLANTS 9

   11. UTILISATION DES SUPPORTS AMOVIBLES 10

   12. CHIFFREMENT 11

6. UTILISATION DES MOYENS DE COMMUNICATION, OUTILS COLLABORATIFS, INTRANET, INTERNET 12

   13. LES OUTILS COLLABORATIFS (MESSAGERIE, ESPA ES COLLABORATIFS, RESEAUX SOCIAUX D’ENTREPRISE, MESSAGERIE INSTANTANEE, SMARTPHONES, …) 12

   14. INTRANET 12

   15. INTERNET 12

7. MOBILITE ET MATERIELS MIS A DISPOSITION PAR L’ORGANISME 14

8. LES OBJETS CONNECTES 15

9. DONNEES PERSONNELLES 15

10. PROPRIETE INTELLECTUELLE 16

11. ANALYSE ET CONTROLE DE L’UTILISATION DES RESSOURCES DU SYSTEME D’INFORMATION 16

    16. PRINCIPE DIRECTEUR 16

    17. ACTIONS DES ADMINISTRATEURS DU SYSTEME D’INFORMATION 16

12. SAUVEGARDE ET ARCHIVAGE 16

    18. DONNEES GENERALES 16

    19. DONNEES TECHNIQUES 17

    20. ARCHIVAGE ET DESTRUCTION 17

13. CONTROLE DE L’APPLICATION DE LA CHARTE 17

14. JOURNAUX D’EVENEMENTS 18

15. SANCTIONS 18

16. DISPOSITIONS SPECIFIQUES LIEES AUX ORGANISATIONS SYNDICALES 18

17. SUIVI DE LA MISE EN APPLICATION DE LA CHARTE 18

18. ENTREE EN VIGUEUR 18

1. Préambule

L’organisme met à la disposition des utilisateurs, dans le cadre de leur activité professionnelle, des

ressources informatiques et responsabilité.

de communication électronique,

dont l’usage est source de

Il est important de rappeler que le statut

des personnels de l'organisme ne

protège en aucune

manière l’utilisateur d’une mise en cause de sa responsabilité civile ou pénale en cas d’utilisation illicite de ces moyens.

Compte tenu de la présomptio de caractère professionnel des données présentes sur le poste de

travail, la présente charte vise à informer et sensibiliser chaque salarié de l’Assurance Maladie sur ses droits et obligations dans l’usage des Technologies et l’Information et la Communication (TIC).

L’usage correct des ressources informatiques et de communication électronique permet de garantir l’intégrité et la disponibilité du système d’information pour une utilisation conforme à son objet.

Il participe au respect du secret professionnel (et/ou médical) et de la confidentialité des données. Enfin, il permet de préserver l’image de marque de l’organisme en évitant de porter atteinte à sa réputation.

Champ d’application de la charte

La présente charte s'applique à l'outil professionnel que constitue le Système d'Information de

l’organisme et à l'infrastructure associée. L’organisme est responsable de toutes les ressources mises à disposition des utilisateurs :

‐ les équipements informatiques (stations de équipements réseaux,… ,

travail, ordinateurs

portables,

serveurs,

‐ les logiciels et leurs mises à jour exigences de sécurité,

conformes aux préconisations CNAM et répondant aux

‐ les moyens

de communication (téléphone,

smartphone, messageries électronique et

instantanée, Internet, Visio conférence, accès à distance tel que le télétravail, …),

‐ les fichiers, informations, données…,

‐ les périphériques externes (Imprimantes, Scanner, Fax, les supports de stockage type clés USB, …).

L’organisme doit en encadrer l’usage, notamment en cas de travail en dehors des locaux (télétravail, nomadisme) en restreignant ou interdisant l’accès aux données sensibles.

Cette charte veille au respect des règles du Système d’Information et des dispositions relatives à la protection des données dans et en dehors des locaux de l’organisme.

Toute ressource ou moyen de communication connecté au réseau de l’Assurance Maladie utilisé à

des fins professionnelles mais appartenant aux utilisateurs est inte dit, sauf dérogation ex la Direction après réalisation d’une analyse de risque.

resse de

Personnes concernées

Les obligations décrites dans la présente charte s'appliquent de droit aux utilisateurs de l’Assurance

Maladie

et assimilés mais aussi, à titre exceptionnel, aux tiers accédants qui doivent

tiliser le

système d’information mis à leur disposition.

‐ Les utilisateurs : Agents de l’assurance maladie amenés à créer, consulter, modifier et/ou mettre en œuvre les ressources informatiques et de communication électronique.

‐ Les personnels assimilés : personnes en situation de mise à disposition ou détachement dans l’Assurance Maladie.

‐ Les administrateurs : Agents de l’assurance Maladie pour lesquels il convient de se référer aux conditions d’utilisation des droits administrateur imposés par le Système d’information de l’Assurance Maladie.

A titre

exceptionnel, les tiers

d’entités extérieurs à

l’organism

(prestataires notamment) qui

peuvent avoir accès aux ressources informatiques et de communication électronique ou traiter des informations extraites du système d’information.

Diffusion

La diffusion de la charte sera réalisée par voie de note de service après modification du Règlement Intérieur pour ce qui concerne les organismes du réseau.

3. Règles d’utilisation du système d’information

   3. Règles générales

Les ressources informatiques

et moyens

de communication électronique mis à disposition des

utilisateurs doivent être utilisé dans la stricte application de la charte. Toute modification de la

ressource ou d’un élément du SI ne peut être réalisée que par du personnel habilité.

Les utilisateurs du SI doivent être vigilants par rapport à la sécurisation des équipements qui leur

sont confiés. L’utilisation des

ressources informatiques et des moyens

de communication

électronique est limitée à un usage professionnel.

Utilisation privées

privée

résiduelle et nommage

des données

L’utilisation des moyens de communication électroniques (messagerie et Internet) à titre privé est tolérée dans le cadre d’un usage raisonnable.

L’utilisateur doit supprimer toute mention relative à l’employeur (signature de mail…) ou indication qui pourrait laisser croire que le message est rédigé dans le cadre de son exercice professionnel au

nom de son employeur. De mê e il doit s’abstenir de tout commentaire de nature à porter atteinte

à la vie privée ou à la réputation d’une personne physique ou morale, y compris de l’employeur.

Un employé a le droit, même au travail, au respect de sa vie privée et au secret de ses

correspondances privées.

Un employeur ne peut pas librement consulter les courriels personnels de ses employés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles.

Les messages personnels doivent être identifiés comme tels, par ex mple :

‐ en précisant dans leur objet « Personnel » ou « Privé »,

‐ en les stockant dans un répertoire intitulé « Personnel » ou « Privé ».

Les courriers ne seront pas considérés comme personnels du simple fait de leur classement dans le répertoire « mes documents » ou dans un dossier identifié par les in tiales de l’employé.

L’Organisme se réserve la possibilité de se retourner contre l’utilisateur si sa responsabilité venait à être engagée.

Sauf autorisation expresse de la direction, la participation au nom de l’employeur à un service de type communautaire, en particulier forums, réseaux sociaux… est interdite.

L’utilisateur peut stocker des

données privées dans

un répertoire nommé

« PERSONNEL» ou

« PRIVE » en veillant toutefois à ce que la taille du dossier reste dans les limites d’une volumétrie raisonnable et qu’il ne comporte pas de données professionnelles.

En cas d’abus, l’organisme se réserve le droit de prendre toute sanction appropriée.

Droits d’accès aux données

Les dossiers, fichiers y compris sur supports amovibles (même personnels qui par ailleurs ne sont pas

autorisés) créés par un salarié grâce à l’ordinateur mis à sa disposition par son employeur pour

l’exécution de son contrat de travail sont présumés avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors de sa présence, sauf si le salarié les a identifiés comme étant personnels.

L’employeur n’est autorisé à accéder aux fichiers personnels de ses salariés qu’en sa présence ou par une décision de justice ou par une autorité habilitée (police, gendarmerie, douanes, Cnil, Direction générale de la concurrence, de la consommation et de la répression des fraudes, etc.) ou en présence d’un risque avéré en termes notamment de sécurité, de continuité de service, d’un risque grave de voir sa responsabilité engagée, ou en cas de suspicion d’acte malveillant pouvant impacter le SI. Les modalités et les circonstances d’accès ainsi que les données accédées sont notifiées par écrit au salarié.

Par défaut, les fichiers ont un caractère professionnel et l’employeur peut y accéder librement.

Lorsque les fichiers sont identifi s comme « personnels » ou « privés », l’employeur peut y accéder :

‐ en présence de l’employé ou après l’avoir informé,

‐ en cas de risque ou évènement particulier, qu’il appartient aux juridictions d’apprécier.

Les courriels adressés ou reçus par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé sauf s’ils sont identifiés comme personnels.

Les conditions d’accès par l’employeur à la messagerie électronique professionnelle des agents sont précisées dans la Charte de messagerie.

4. Attribution et retrait du droit d’accès au système d’information

   6. Attribution

Chaque utilisateur reçoit un droit d'accès individuel, personnel et confidentiel qui se matérialise par un ou plusieurs moyen(s) d’authentification (identifiant, mot de passe, carte avec ou sans code PIN) qui ne doit(vent) pas être communiqué(s).

La carte agent doit faire l’objet d’une attention particulière dans le cadre de l’activité professionnelle.

A ce titre, elle ne

doit donc

pas être prêtée à un

tiers, même appartenant au personnel de

l’organisme, et elle momentanée.

doit être

systématiquement enlevée du lecteur en cas d’absence, même

L’utilisateur s’engage à respecter la politique de gestion des mots de passe (changement régulier,

complexité…) énoncée au nivea national.

Celui‐ci devra donc signaler à

on responsable la perte ou le vol de sa carte

de même que tout

événement faisant suspecter un usage frauduleux, afin de dégager sa responsabilité.

La protection de ces moyens est placée sous la responsabilité d l'usage de son droit d'accès peut engager sa responsabilité.

l'utilisateur, qui reconnaît que

L’identifiant est strictement confidentiel. Cela emporte pour conséquence que l’accès aux ressources informatiques et de communication électronique via cet identifiant est réputé avoir été réalisé par le titulaire, qui devra donc assumer la responsabilité d’usage non conforme, sauf à démontrer avoir demandé, préalablement, une suspension ou une suppression de son droit d’accès.

L’utilisateur ne doit accéder qu’aux seules informations nécessaires à son activité professionnelle au titre du «besoin d’en connaître».

Il est interdit d'user, par quelque moyen que ce soit, de l’identité et du droit d’accès d'un autre utilisateur.

Gestion des absences

En cas d’absence prolongée, l’organisme « suspend » le droit d’usage et/ou d’a ccès d’un utilisateur. Pour des raisons de service, la Direction de l’organisme se réserve le droit d'accéder directement aux fichiers et/ou messages professionnels (cf. Modalités d’accès aux données au §3.3).

Gestion des départs

Au moment de son départ de l’organisme, il appartient à l’utilisateur de :

‐ détruire son répertoire PERSONNEL ›› et tous les messages de nature privée,

‐ restituer l’ensemble des informations professionnelles, des moyens d’accès informatiques et

de communications électroniques, nationale de sortie du personnel.

y compris

les matériels nomades,

selon la procédure

A son départ, l’utilisateur perd tout droit d’accès au système d’information.

5. La protection du système d’information

   9. Protection des ressources et des informations

L'utilisateur doit systématiquement verrouiller son momentanée.

poste de travail en cas d'absence, même

Les utilisateurs doivent signaler tout incident de sécurité, toute suspicion de compromission d’une information, toute tentative d’intrusion extérieure sur le SI, de falsi ication, d’usurpation de droit ou

de présence de virus selon les modalités incidents de sécurité.

décrites dans la procédure nationale de gestion des

L’utilisateur ne doit pas, sauf autorisation préalable de la Direction de l’organisme :

‐ communiquer à des tiers toute information du système d’information,

‐ modifier les configurations informatiques,

‐ déroger aux consignes d’utilisation des outils informatiques,

‐ désactiver ou contourner le dispositif technique de sécurité.

Virus informatiques et autres évènements malveillants

Le poste de travail

est équip

d'un logiciel antivirus

et d’autres dispositifs de lutte

contre la

malveillance dont le paramétrage ne doit pas être modifié. De plus, son fonctionnement ne doit pas

être entravé ou arrêté. L'utilisation des applications commun cantes (navigateur Internet et

messagerie en particulier) et des supports de stockage externes peut provoquer la transmission et l'installation, de programmes ou de fichiers, qui altèrent ou suppriment les données et logiciels du poste.

Si un utilisateur suspecte ou constate un dysfonctionnement de l’anti‐virus sur son poste de travail, il

doit cesser toute activité sur le poste et organisme.

avertir le service informatique et

le MSSI/RSSI de son

Utilisation des supports amovibles

Il existe de nombreux supports informatiques amovibles capables de se connecter aux ordinateurs : clés USB, CD‐ROM, baladeurs numériques, mémoires flash, appareils photos, assistants personnels numériques, clés U3, téléphones, smart phones, tablettes…

Ces supports présentent un risque pour

le système

d’information car ils peuvent contenir des

logiciels malveillants (virus, logiciels espions, logiciels de prise de contrôle à distance).

Par conséquent, la connexion d Maladie est interdite.

supports amovibles personnels à un poste de travail de l’Assurance

Toutefois, l’utilisation de supports amovibles professionnels est tolé ée sous certaines conditions :

‐ le support,

de préférence sécurisé

est fourni

par l’organisme (ou par les circuits de la

Diffusion Nationale), ou son utilisation a o l’organisme (RSSI ou MSSI),

tenu l’accord de la fonction sécurité de

‐ le support apporté par un tiers doit être utilisé de façon exc ptionnelle et avec la plus grande vigilance (un avis du MSSI / RSSI est recommandé).

Recommandations d’utilisation de supports amovibles :

‐ Faire un examen systématique à l'antivirus lors de l’utilisation d’un support amovible.

‐ Procéder au chiffrement des données sensibles au regard de la classification.

‐ Sauvegarder utilisation.

les documents nécessaires dans un espace sécurisé après chaque

‐ Effacer les données et déconnecter le support du poste d doit servir qu’au transport des données.

travail, le support amovible ne

Toute connexion de supports amovibles extérieurs à l’organisme su le poste de travail est interdite.

Toutefois, si la connexion est indispensable pour des raisons de service, il convient de prendre les précautions complémentaires suivantes :

‐ Ne jamais utiliser de support amovible dont l’origine ne peut être garanti.

‐ Ne pas double‐cliquer sur les documents, mais les ouvrir à partir des logiciels de son poste de travail (par exemple : exécuter Word puis menu fichier/ouvrir un fichier Word sur la clé),

‐ Ne pas exécuter de logiciels situés sur le support (.exe, .jar, .bat etc.), et de manière générale ne pas double‐cliquer sur des fichiers inconnus ni les importer sur le poste de travail.

Dans tous les cas il convient d’être prudent et vigilant, de signaler tout incident ou anomalie et de ne pas hésiter à se rapprocher du service informatique, ou du MSSI /RSSI de l’organisme pour connaître la conduite à tenir.

Chiffrement

La transmission en interne ou en externe de données sensibles (données classées « secret » et

« confidentiel ») doit impérativement répondre aux préconisations des documents de référence portant sur la « Classification des informations ».

L’utilisation d’outils

de chiffrement est

encadrée par le service informati que et le

MSSI de

l’organisme dans le respect des préconisations de la CNAM.

Tout autre moyen de chiffrement est interdit, même s’il se trouve en libre accès sur internet.

Toutes précisions sur ces sujets peuvent être demandées au MSSI /RSSI.

Utilisation des intranet, internet

oyens

de communication, outils collaboratifs,

13. Les outils collaboratifs (messagerie, espaces collaboratifs,

réseaux sociaux d’entreprise, messagerie smartphones, …)

instantanée,

Elle fait

l’objet d’une charte spécifique qui définit les droits et

obligations

que l’organisme et

l'utilisateur s'engagent à respecter, notamment les conditions de contrôles portant sur l'utilisation de la messagerie électronique ainsi que le cadre légal dans lequel s'inscrit son usage.

Elle précise les sanctions prévues en cas de non‐respect des règles é ablies.

Elle est complétée d’un guide de bonnes pratiques auquel chaque utilisateur doit se référer.

Intranet

L’organisme met à la disposition de chaque agent un site Intranet avec les inf ormations e services

nécessaires à l'exercice de son activité (règlement intérieur, réglementation liée aux règlements des prestations, circulaires, modes opératoires, processus qualité, information assurés, SSI,…) et à la vie dans l'entreprise (projet d'entreprise, actualités, vacances de poste, réservation de salles en ligne...). Il s'agit d'un outil d'information et de travail.

Les responsabilités et les engagements de chaque agent avec l’Intranet sont les suivants :

‐ Seuls les documents classifiés « publics » peuvent être diffusés en externe.

‐ Les contributions à cara tère diffamatoire, discriminatoire ou incorrect sont interdites.

Internet

L’Internet est un espace à risques dans lequel sont présentes de nombreuses sources de menaces pouvant porter atteinte à l’organisme mais également à la vie privée de l’utilisateur. La loi précise

que « la sécurité

est un droit fondamental et l’une

des conditions de l’exercice des

libertés

individuelles et collectives ».

L’obligation de protection de ses personnels pesant sur l’organisme justifie les règles de conduite et les interdictions édictées par la charte d’utilisation du système d’information.

L’accès à Internet est soumis à autorisation pour l’ensemble des utilisateurs.

La Direction du Système d’Information, s’autorise le droit d’opérer tout filtrage nécessaire pour protéger le système d’information, garantir la disponibilité du réseau informatique et respecter la législation en vigueur.

De par le droit du travail, l’utilisateur ne doit pas accomplir d'opérations susceptibles de re résenter

un manquement aux obligations professionnelles ou à la préservation des ressources informatiques mises à sa disposition comme :

‐ la consultation, l'importation, la diffusion et l'exploitation d'informations de nature à porter atteinte individuellement ou collectivement au respect de la personne humaine et de sa dignité, ainsi qu'à la pro ection des mineurs,

‐ le téléchargement, l'installation/exécution de

scripts, de logiciels

ou de programmes

informatiques sans autorisation préalable de la Direction,

‐ la consultation, le téléchargement, la diffusion ou l’impression de données dont les volumes et/ou les fréquences d'usage risquent de mettre en danger l'intégrité et/ou la disponibilité du réseau,

‐ le téléchargement, la consultation ou la copie à partir d’un site illicite (sites à caractère

pornographique, pédo hile, négationniste, extrémiste, raciste, xénophobe, violent ou

contraire aux bonnes mœurs ou à l’ordre public…) qui revêt le caractère d’une infraction pénale,

‐ la communication d’informations appartenant au patrimoi Maladie sans autorisation préalable,

e informationnel de l'Assurance

‐ le raccordement au poste de travail d’un matériel externe non professionnel ayant sa propre connectique à l’Internet (risque de rebond),

‐ la communication de l'adresse de messagerie professionnelle en dehors des sites Internet de

confiance.

Il est rappelé que les utilisateurs et les

services

des organi mes de

l'Assurance

Maladie utilisent une adresse

de type @assurance‐maladie.fr (exemple:

eric.dupont@assurance‐maladie.fr), qui est une signature institutionnelle susceptible, dans les rapports avec les tiers, d'engager la responsabilité civile et pénale des organismes et de leurs représentants.

La reproduction d’objets issus de sites Internet, (textes, images, sons) n’est possible que dans la

mesure où ils sont libres de droits et diffusés avec l’autorisation de leurs auteurs, et avec indication de leur source, conformément aux lois en vigueur.

En effet, en vertu des règles du Code de la propriété intellectuelle, l'auteur d'une œuvre de l'esprit originale jouit, sur cette œuvre, du seul fait de sa création, "d'un droit de propriété incorporel et exclusif opposable à tous".

La consultation de sites Internet, pour un motif personnel, est tolérée dans la mesure où celle‐ci est exceptionnelle (sauf autorisation expresse et préalable de la Direction) et raisonnable et lorsque le contenu n'est contraire à aucune des prescriptions de cette charte.

Les connexions Internet font l’objet de supervisions, de vérifications et d’audits réguliers directives définies au niveau national.

elon des

Les identifiants et les adresses de connexion sont ainsi enregistrés.

L’historique constitué permet de retracer le trafic Internet et peut être exploité par la Direction à des fins de statistiques, de qualité de service et de sécurité, pour vérifier :

‐ les durées de connexions,

‐ et les sites les plus visités.

Les traces seront conservées pendant une durée maximale de 6 mois, sauf si des dispositions légales ou réglementaires venaient à imposer des délais de conservation différents.

En cas d’utilisation illicite, non conforme aux règles fixées dans la présente charte ou non autorisée par la Direction de l’organisme, l’utilisateur s’expose à des poursuites disciplinaires, civiles et/ou pénales.

Mobilité et matériels mis à disposition par l’organisme

Tout utilisateur qui dispose de matériels nomades est informé des consignes de sécurité particulières lors de la mise à disposition de la ressource.

Seuls les matériels nomades autorisés peuvent être connectés au réseau de l’Assurance Maladie.

L’attention de l’utilisateur est

attirée sur

le fait que l’utilisation de ces matériels nomades à

l'extérieur de l’organisme engage sa responsabilité.

L‘utilisation des matériels nomades impose donc à confidentialité renforcé.

chacun un

niveau de

surveillance et de

Les objets connectés

Les objets connectés (montre,

enceintes

Bluetooth

…) présent nt un risque pour le

système

d’information (virus, logiciels espions…). Ces objets connectés étant par nature peu protégés, ils permettent un accès au matériel auquel il est connecté.

Par conséquent, la connexion de ces supports personnels à un poste de travail de l’Assurance

Maladie est interdite.

Toute Dérogation doit faire l’objet d’une autorisation expresse de la CNAM ou de la Direction de l’organisme.

Données personnelles

De par leur métier, les salariés et éventuels sous‐traitants ont accès à des données personnelles et de santé.

Le respect du secret professionnel et du

droit d’en connaitre (accéder aux

données strictement

nécessaires à la mission confiée) s’applique, et plus généralement toutes les dispositions relatives à la protection des données.

Définition d’une donnée à caractère personnel :

Toute information

se rapportant à une

personne physique identifiée ou

identifiable

(ci‐après

dénommée «personne concernée») est réputée être une «personne physiq ue identifiable» une

personne physique qui peut être identifiée, directement ou indirect ment, notamment par référence

à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un

identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique,

physiologique, génétique, psychique, économique, culturelle ou sociale.

Définition de données de santé :

Toutes données à caractère personnel relatives à la

anté physique ou mentale d'une personne

physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Les données médico‐administratives sont désormais considérées comme données de santé.

Propriété intellectuelle

L’utilisation du système d’information de l’organisme implique le respect des droits de propriété

intellectuelle et notamment de la réglementation relative à la propriété littéraire et artistique.

Analyse et

contrôle de l’utilisation des

ressources du

système d’information

Principe directeur

L’organisme doit s’assurer du bon fonctionnement du système d’information et empêcher son

utilisation dans un cadre non conforme aux règles définies dans la présente Charte.

Actions des administrateurs

du système

d’information

Les administrateurs sont nommément désignés et assurent le bon fonctionnement des moyens

informatiques de l'organisme.

Les administrateurs sont tenus au secret professionnel concernant toute information confidentielle qu'ils pourraient être amenés à consulter et tout particulièrement celles couvertes par le secret de la correspondance privée.

Ils ne contournent pas les procédures de sécurité établies, et en particulier ne désactivent p s de leur

propre initiative les mécanismes de traçabilité, et ne portent pas atteinte à l’intégrité des fichiers de journalisation.

Aucune exploitation à des fins autres que celles découlant de leur mission ne saurait être opérée et tolérée.

12. Sauvegarde et archivage

    18. Données générales

L’utilisateur doit stocker ses fichiers et données électroniques dans des espaces définis par informatique.

e service

La sauvegarde des données locales résidantes sur le disque dur du poste de travail est à la charge de

l'utilisateur. Des moyens d’archivage locaux peuvent être mis l’organisme.

à disposition à cette

fin par

La sauvegarde des données déposées sur les serveurs est à la charge du serviice informatique. Les données à caractère personnel ne doivent pas être conservées sur le poste de travail.

Un stockage sur un serveur partagé interne est à privilégier.

Des dispositions spécifiques au service médical sont à appliquer (serveur sécurisé dédié).

Données techniques

Les données de connexion (statistiques, pendant 6 mois.

Internet, serveurs, applications, e tc.) sont conservées

Archivage et destruction

L’archivage des données est effectué conformément à la réglementation applicable ainsi qu’aux préconisations de la « classification des informations ».

Les données sont exprimé.

détruites

orsque le

besoin de

conservation de l’information n est plus

Contrôle de l’application de la charte

L’organisme doit pour des nécessités de maintenance et de sécurité, procéder périodiquement, par les moyens les plus appropriés, à des audits de contrôle de la bonne application de la présente

charte, dans le respect de la législation applicable et notamment libertés.

e la loi sur l'informatique et les

Les audits peuvent viser le contrôle de tout ou partie de la présente charte.

Dans le cas d’identification d’axes d’amélioration, des plans d’actions correctifs doivent être mis en place.

Journaux d’évènements

Tout accès et utilisation du système d’information génère automatiquement une trace collectée dans

des journaux d’événements qui sont confidentiels et accessibles uni ainsi qu’à la Direction de l’organisme.

uement aux personnels habilités

Cette collecte participe à la garantie d’un bon fonctionnement et d’une utillisation normale des

ressources du système d’information et le cas échéant permet l’identification d’usages illégitimes.

Sanctions

Les sanctions prévues à la convention collective ou à toute autre disposition

conventio

nelle ou

réglementaire existante dans l’organisme charte.

sont applicables en cas de non‐respect de la présente

Dispositions spécifiques liées aux organisations syndicales

La mise à disposition des organisations syndicales qui le souhaitent d’un espace dédié relève de la négociation locale.

Suivi de la mise en application de la Charte

La Direction se charge du respect de la Charte et de son suivi.

Toute difficulté d'application de la Charte doit être signalée au MSSI RSSI.

Toute question spécifique relative aux données personnelles peut être soumise au Délégué à la Protection des Données (D.P.O.) de l’organisme.

Entrée en vigueur

Cette charte fait l’objet d’une publication auprès de l’Inspection du Travail.

Elle entre en vigueur un mois après l’accomplissement des formalités de communication à l'Inspection du travail, de dépôt et de publicité telles que prévues à l’article L 1321 4 du code du travail.

Toute modification ultérieure, adjonction ou retrait de clause de la présente charte sera soumis à la même procédure, conformément aux prescriptions de l’article L 1321 4 du code du travail, étant

entendu

que toute clause de la charte

qui deviendrait contraire aux

dispositions

légales,

réglementaires ou conventionnelles applicables à l’organisme du fait de l’évolution de ces dernières, serait nulle de plein droit.

Chaque personnel de l’Assurance Maladie

et assimilé en est destinataire et

doit s’engager à en

prendre connaissance et à en respecter les termes.

De même, la charte devra être diffusée

aux tiers qui se verro

t doté d’un accès au

Système

d’information et qui s’engagero t à la respecter.