10. Lexique des abréviations

11. Bibliographies

Les Normes minimales de sécurité - BCSS : http://www.ksz-bcss.fgov.be/binaries/documentation/fr/securite/normes_minimales_securite.pdf

La Loi et le code sur le bien-être au travail - Brochure du Service public fédéral Emploi, Travail et Concertation Sociale : http://www.espace.cfwb.be/sippt/Manuels/Code%20BET/6ea1cf54d3e146bfa8ba472a0cb8b0e03.pdf

Sécurité des données transmises par Internet, Bull. Conseil Nat., 84 pg 22 , 20/02/1999 : http://www.ordomedic.be/fr/avis/conseil/s%E9curit%E9-des-donn%E9es-transmises-par-internet

Médecine du travail - Médecine de contrôle - Loi relative aux droits du patient, Bull. Conseil Nat., 127, 24/10/2009 : http://www.ordomedic.be/fr/avis/conseil/medecinedutravailmedecinedecontroleloirelativeauxdroitsdupatient

12. Annexes

1. Politique en matière de sécurité de l'information

2. Formulaire sur l'engagement à la confidentialité

3. Charte informatique : Charte d'utilisation des technologies
de communication interne et externe

Politique en matière de Sécurité de l'information

1. Introduction 

Depuis plus de quarante années, le Cesi collecte et stocke des données sur différents supports. Ces informations ont acquis une valeur importante et stratégique, difficilement chiffrable. C'est un patrimoine essentiel de notre entreprise qu'il faut protéger.

Le bon fonctionnement de notre Service dépend d'un ensemble d'éléments, d'une part, le personnel, son savoir-faire, les informations détenues, d'autre part, l'organisation mise en place et enfin la législation.

Le présent document a pour objet de définir les orientations directrices de la politique que le Cesi entend mettre en oeuvre en matière de sécurité de l'information.

2. Définition :

La sécurité de l'information est instaurée pour préserver la confidentialité, la disponibilité et l'intégrité des informations.

Il est donc primordial que le Cesi accorde une importance particulière à ces éléments et veille à garantir la continuité du service en se protégeant contre tout événement susceptible de l'empêcher de mener à bien sa mission. De limiter les dommages et permettre la poursuite des activités.

3. Objectifs 

Assurer aux affiliés et au personnel du Cesi un niveau adéquat de sécurité pour les informations traitées ce qui implique la disponibilité des systèmes et réseaux, le respect de la confidentialité et de l'intégrité des données traitées.

Prévenir les dommages qui peuvent altérer le bon fonctionnement et la confidentialité des systèmes d'information.

Contribuer à la qualité et assurer la protection du patrimoine informationnel de l'entreprise contre les menaces externes et internes.

4. Obligations légales et normes minimales de sécurité

La sécurité de l'information veillera à l'application aux obligations légales et aux normes minimales de sécurité qui doivent être satisfaites pour la Banque Carrefour de la Sécurité Sociale et pour la protection des données à caractère personnel (Loi sur le respect de la Vie Privée).

5. Approche générale de la sécurité de l'information :

5.1. La portée de la politique de sécurité de l'information

· S'applique à tous les membres du personnel du Cesi et pour l'ensemble des sites.

· S'applique également aux travailleurs indépendants liés contractuellement avec le Cesi ou occupés à durée déterminée, intérimaires ou en stage et aux collaborateurs externes (consultants, fournisseurs,...).

5.2 Organisation de la sécurité de l'information

· La responsabilité de l'organisation et de la bonne application de la politique de sécurité relève de la direction générale.

· Le Comité de sécurité est composé du directeur général, d'un membre du service informatique, du responsable logistique bâtiments, de trois membres du Département Médical, d'un membre de la Gestion des Risques et du coordinateur de sécurité.

· Le Comité de sécurité veille à mener la politique de sécurité.

· Le coordinateur de sécurité assure le secrétariat du comité. Ce dernier assure une gestion efficace et centralisée de la sécurité de l'information au sein du CESI. Il met en oeuvre la politique de sécurité de l'information. Suit les différentes actions et initiatives liées à la sécurité de l'information. Il évalue les risques et leur suivi. Il met en oeuvre le respect des exigences légales et contractuelles liées à la sécurité de l'information et en assure la promotion la sensibilisation au sein du CESI. Il agit comme point de contact unique pour toutes questions et/ou conseils en la matière.

· Le gestionnaire de réseau garantit que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence avec la politique de sécurité définie.

5.3 Sécurité de l'information liée au personnel du Cesi

· Cette politique a pour but de prendre les mesures nécessaires au maintien de la sécurité. Le personnel est informé des risques liés à l'utilisation des données à caractère social, à l'utilisation du mail, de l'accès à internet et des systèmes existants via la charte qui est publiée sur l'intranet.

· Une information relative aux aspects de sécurité dans les descriptions de fonction, règlement de travail et les déclarations de respect de la confidentialité est indispensable.

· Toute personne est tenue de signaler les incidents de sécurité au coordinateur de sécurité de l'information.

· L'utilisation de ressources ICT (Internet, mails, ...) à des fins privées sera limitée à un strict minimum.

· Seules les personnes du service informatique sont habilitées à l'installation de logiciels sur les PC ainsi que leur configuration.

· En cas de départ d'une personne, les droits d'accès et les autorisations sont supprimées le plus rapidement possible et tout le matériel qui lui a été confié est récupéré.

· Les utilisateurs ne peuvent pas utiliser ou tenter d'utiliser le compte d'un tiers. 

· Le non-respect de la politique de sécurité et des procédures de sécurité sera traité suivant un processus formel (à préciser).

5.4 Sécurité physique

· Cette politique vise à empêcher l'accès non autorisé aux informations confidentielles et personnelles contenues soit dans les dossiers, soit dans les fichiers informatiques. D'empêcher la modification, la perte ou le vol d'informations, l'arrêt du travail ou tout événement ayant des conséquences dommageables pour le Cesi.

· L'accès aux salles informatiques (salles serveurs et atelier de réparation et de stockage) sera sécurisé par code électronique ou badge et sera réservé uniquement aux personnes autorisées au sein du service informatique. En cas d'anomalie, un historique des entrées sera conservé et mis à disposition pour consultation par le responsable du service informatique.

· Une politique de protection, détection, l'extinction et l'intervention concernant l'incendie, l'intrusion et les dégâts des eaux sont appliquées.

· La salle informatique doit être munie d'un dispositif protecteur des équipements contre une élévation anormale de la température.

· Une procédure d'évacuation en cas d'incendie, procédure d'intervention, et intrusion sont définies et diffusées à l'ensemble du personnel.

· Un dispositif d'accueil de filtrage et d'accompagnement des visiteurs extérieurs doit permettre d'éviter la présence d'intrus dans les bâtiments et locaux sensibles.

· Un inventaire du matériel informatique et des logiciels (avec numéro de licence) doit être tenu par le Service Informatique et mis à jour de façon régulière. Cette tâche est reprise dans le descriptif du gestionnaire de réseau.

5.5 Gestion interne / opérationnelle

· Des mesures doivent être prises pour prévenir, relever des logiciels nuisibles et en limiter aux mieux les conséquences éventuelles.

· La mise à jour des logiciels de protection des systèmes doit être réalisée régulièrement. Une vérification manuelle est également effectuée afin de vérifier le bon fonctionnement. Une documentation sur les procédures, mise à jour régulièrement sera fournie. Les anomalies seront consignées dans un journal.

· Une attention particulière à l'usage des ordinateurs portables est recommandée aux utilisateurs. Les collaborateurs sont régulièrement sensibilisés sur ce point. Une note à ce sujet a été diffusée et publiée sur l'Intranet.

· Dans la mesure des disponibilités du service informatique et de la faisabilité, celui-ci veillera à effectuer un contrôle annuel sur les ordinateurs portables afin de vérifier les modifications éventuelles.

· Les collaborateurs sont régulièrement invités à ne copier des informations sensibles (dossiers médicaux, rapports d'intervention) sur les portables que dans la mesure où cela est strictement nécessaire pour l'activité à court terme. Celles-ci sont effacées dès que possible.

· Les collaborateurs veilleront également à ne pas connecter sur leur poste de travail ou sur leur portable du matériel, comme des clefs USB, disques externes, PDA, Smartphone, lecteur MP3, qui n'a pas été remis et autorisé par le service informatique.

· Avant l'utilisation, un contrôle sera apporté afin de s'assurer que les procédures de sécurité ont bien été mises en place.

· Des backups d'informations essentielles et de logiciels doivent être effectués régulièrement pour garantir l'intégrité. La fréquence des backups sera déterminée par la criticité des données. Au minimum, une restauration annuelle des données sera également entreprise afin de s'assurer du bon fonctionnement du backup et des supports.

· Les supports de backup doivent être conservés dans un endroit sécurisé et à l'épreuve du feu.

· Une sécurisation des données transitant sur le réseau principal et secondaire doit être mise en place.

· Les utilisateurs sont invités à bloquer l'accès aux équipements qu'il quitte temporairement. Après un certain temps, en cas d'inactivité des équipements non bloqués, un blocage de la session Windows est exécuté par le système.

5.6 Sécurité d'accès logique

· La gestion des mots de passe fait l'objet de règles précises.

· Une procédure écrite définit comment sont délivrés les mots de passe.

· Un cadastre des accès autorisés ou non aux applications, aux réseaux est établi et régulièrement tenu à jour.

· Les responsabilités des utilisateurs sont définies dans un document écrit, communiqué lors de l'engagement et rappelées régulièrement.

· Le service doit disposer d'un système de protection des réseaux via des firewalls, anti-spam, antivirus.

· Les procédures de protection des applications sont établies, tenues à jour et communiquées régulièrement aux utilisateurs.

· Les ordinateurs portables doivent être équipés de protections spéciales qui empêchent l'accès aux données par des tiers (y compris les membres de la famille).

· Seul l'administrateur du réseau peut donner, modifier et supprimer les autorisations d'accès.

· Les tentatives d'accès aux réseaux seront conservées et analysées afin d'y repérer des anomalies ou incidents.

5.7 Développement et maintenance des systèmes

· Lors de la conception de développements informatiques ou de leurs mises à jour, une attention toute particulière sera apportée en matière de sécurité et à l'élaboration de la documentation afin de garantir aux systèmes utilisés la sécurité requise durant le cycle de vie.

5.8 Gestion de la continuité

· Les mesures à prendre en cas de crash informatique doivent être décrites dans un plan de secours (DRP : Disaster Recovery Plan).

· Les applications critiques ainsi que les données des utilisateurs sont localisées sur un ensemble de plusieurs machines vues comme une seule permettant d'obtenir de grandes puissances de traitement et une sécurité accrue dans la continuité dont la partie redondante des machines a été installée dans un Data Center. Les serveurs qui sont en charge notamment des contrôles d'accès ont été doublés dont un se trouve également dans le Data Center.

· L'ensemble des serveurs et machines stratégiques sont couplés avec une alimentation de secours.

· Une cellule de crise avec détermination des rôles doit pouvoir se réunir rapidement pour coordonner les mesures à prendre en cas de panne prolongée du système informatique.

· L'ensemble des procédures et processus de continuité sont documentés et testés périodiquement.

· Un audit externe doit être organisé au moins tous les 4 ans. Les `non-conformités' doivent être signalées au comité de sécurité. Un `résumé' de l'audit doit être transmis au comité de surveillance de la BCSS avec un rapport d'évaluation et un aperçu des mesures prises.

5.9 Respect

· La politique de sécurité intègre les exigences légales et contractuelles en matière de sécurité.

5.10 Contrôle, évaluation et amélioration

· L'amélioration du plan de sécurité sera mise en oeuvre sur base de l'analyse des risques, des contrôles effectués périodiquement, des tests de sécurité et des incidents survenus.

6. Références

ISO/CEI 27001 et 27002 : Technologies de l'information - Techniques de sécurité - Systèmes de gestion de la sécurité de l'information - Exigences

BCSS (Banque Carrefour de la sécurité Sociale) - Sécurité - Information Security Management System.

Vie Privée : Loi du 08 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Arrêté royal du 4 février 1997 organisant la communication des données entre institutions de sécurité sociale.

Droit social : CTT N°81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électronique en réseau.

Protection des programmes informatiques : Loi du 30 juin 1994 sur le droit d'auteurs et les droits voisins. Loi du 30 juin 1994 transposant la directive européenne du 14 mai 1991 sur la protection juridique des programmes d'ordinateur.

Engagement sur le respect de la confidentialité

Nom ...........................................Prénom .........................................

Accuse réception des documents suivants et en ai pris connaissance :

· Déclaration de la politique en matière de sécurité de l'information

· Charte d'utilisation des technologies de communication interne et externe

· Document des recommandations relatives à l'usage des ordinateurs et de la messagerie électronique

· Règles d'accès au dossier médical et administratif informatique du travailleur

Conscient(e) de l'importance du respect de la confidentialité de l'ensemble des données auxquelles j'ai désormais accès et en particulier du respect de la confidentialité des données à caractère médical ou privé des travailleurs examinés dans le cadre de notre mission de la surveillance de santé, je m'engage sur l'honneur à respecter les règles édictées dans ces deux documents et ce tant que j'accède directement ou indirectement à des données du système d'information du CESI.

Je suis conscient(e) que les accès se font sous ma responsabilité en tant qu'utilisateur authentifié. La présence de mon code, dans les enregistrements, équivaut à une signature électronique personnelle des actions et actes que j'ai pris. Dès lors, je m'engage

· à ne jamais transmettre mon code d'accès et mon mot de passe à un tiers,

· à ne jamais utiliser les identifications d'autrui,

· à contribuer à la sécurité générale et

· à assurer une utilisation rationnelle, correcte et respectueuse des ressources mises à ma disposition

De fait, je m'engage à respecter la loi, les droits et les libertés de tous dans l'usage que je fais des données et des ressources informatiques autant internes qu'externes (p.ex. mailing, internet) auxquelles j'ai accès.

En particulier,

Dans ma gestion au quotidien, je m'engage

· à respecter et à faire respecter la protection de la vie privée de toute personne qui se fait examiner ou qui travaille au CESI.

· à n'accéder aux données de santé et administratives que des personnes que je prends en charge dans un contexte professionnel

· à ne pas accéder aux données personnelles, médicales, financières des personnes que je côtoie dans mon travail ("mes collaborateurs" et/ou « mes collègues ») - en dehors des besoins de continuité de gestion.

Dans le traitement des données, je m'engage

· à employer les données et les ressources conformément aux dispositions légales et contractuelles applicables, notamment en ce qui concerne le secret médical, la vie privée et la propriété intellectuelle.

· à anonymiser les informations à caractère personnel dans les documents ou présentations que je suis appelé(e) à produire

· à ne jamais divulguer des informations, à ne pas transmettre à des tiers, à ne pas copier ou transférer des informations sur des supports externes aux CESI (supports personnels (clé USB,...) ou sites externes (hébergement internet,...), sous quelque format que ce soit, en dehors des traitements de gestion autorisés.

Je reconnais également le principe selon lequel le CESI disposent d'un droit de contrôle sur l'outil de travail et sur l'utilisation de cet outil par tout membre du personnel dans le cadre de l'exécution de ses obligations contractuelles, y compris lorsque cette utilisation relève de la sphère privée, compte tenu des modalités d'application prévues par la loi. En outre, je suis informé(e) que le CESI opère un monitoring sur le trafic internet par un suivi des volumes de téléchargement - obligation légale de surveillance. Je sais que l'ensemble des URL des sites web visités sont stockés centralement et que, le cas échéant, il est possible de remonter vers l'utilisateur final et ce dans le respect de la protection de la vie privée.

Je reconnais avoir pris connaissance de l'ensemble des dispositions et en particulier des dispositions en cas d'abus et de non-respect des règles dans les documents précités.

Fait à Bruxelles, le ...........................

En autant de copie qu'il y a de parties

Nom et Signature pour accord

Précédé de la mention « lu et approuvé »

ANNEXE N°5 :

Charte d'utilisation des technologies
de communication interne et externe

Article 1 Utilisation du courrier électronique

La destination première du courrier électronique est professionnelle.

L'employeur permet toutefois l'usage exceptionnel à des fins privées à condition que cet usage soit occasionnel et n'entrave pas la performance du réseau informatique et de sa sécurité.

S'il fait usage de cette faculté, l'utilisateur indiquera dans le sujet du message que celui-ci a un caractère privé. En outre, il supprimera, dans le corps du message, toute mention relative à l'entreprise (telle que la signature automatique) et toute indication qui pourrait laisser croire à son destinataire que le message est rédigé par l'utilisateur dans le cadre ou à l'occasion de l'exercice de ses fonctions.

Le collaborateur supprimera définitivement les messages à caractère privé.

En aucun cas, le courrier électronique ne pourra être utilisé à l'une des fins prohibées décrites dans le point 4 ci-dessous.

Article 2 - Utilisation d'Internet

L'entreprise fournit à l'utilisateur, selon les modalités qu'elle détermine, l'accès à Internet à des fins professionnelles.

Une consultation exceptionnelle des sites Internet pour un motif personnel est tolérée mais ne peut en rien porter atteinte au bon fonctionnement du réseau et à sa sécurité.

L'accès à Internet ne peut être utilisé à des fins prohibées décrites à l'article 4 ci-dessous.

Article 3 - Protection du réseau

La protection et la performance du réseau dépendent du respect des règles suivantes :

- L'utilisateur s'interdit de modifier le matériel informatique, la configuration Hardware et Software et d'installer des logiciels.

- En partant du réseau auquel l'utilisateur serait connecté, il s'engage à prendre toutes les précautions utiles pour ne pas introduire dans son matériel informatique des virus ou des programmes de destructions des données, des logiciels ou des fichiers.

- L'employeur fournissant les logiciels utiles à la bonne exécution de la mission du collaborateur, celui-ci s'interdit de charger des exécutables.

- Le mot de passe est strictement personnel et confidentiel.

Article 4 - Activités prohibées

Il est strictement interdit d'utiliser le système de courrier électronique, l'accès à Internet et, plus généralement, l'infrastructure informatique de l'entreprise en vue de

- La diffusion d'informations confidentielles ou préjudiciables au CESI, à ses partenaires ou à ses collaborateurs.

- La diffusion ou téléchargement de données protégées par le droit ou la propriété intellectuelle en violation aux lois applicables.

- La participation à une activité professionnelle annexe et à la recherche du gain ou la poursuite d'un but de lucre.

- Le transfert ou la retransmission de messages électroniques à un grand groupe de destinataires (le forwarding) en l'absence de but professionnel légitime, dans des circonstances de nature à porter .préjudice au CESI ou à l'auteur du message originel

- L'envoi de messages ou la consultation de sites Internet dont le contenu est susceptible de porter préjudice à la dignité d'autrui : l'envoi de messages ou consultation de sites à caractère érotique ou pornographique, révisionniste, prônant la discrimination sur base du sexe, de l'orientation sexuelle, du handicap, de la religion, de la race ou de l'origine ethnique ou nationale, ou des convictions politiques ou religieuses d'une personne ou d'un groupe de personnes.

- La participation à des chaînes de lettres et le spamming (envoi massif de messages non sollicités par leurs destinataires)

- L'accès à une boîte aux lettres personnelle par Internet du type « Webmail »

- La participation au départ de l'infrastructure informatique du CESI à un forum de discussion ou `newsgroup' relatif à un sujet non professionnel.

- L'achat de biens et services aux frais du CESI sans son autorisation préalable et écrite.

Article 5 Modalités et finalités du contrôle

Le CESI est attaché au principe du respect de la vie privée des utilisateurs sur le lieu de travail. Il exerce toutefois un contrôle de l'usage des techniques de communication électroniques en réseau, dans le respect des dispositions légales applicables, notamment la loi du 8 décembre 1992 et la convention collective de travail n°81 du 26 avril 2002.

Le contrôle effectué s'inscrit dans le respect des principes communément retenus

- Principe de transparence

Les données réunies en vue d'assurer le respect de la charte d'utilisation des technologies de communication interne et externe le sont dans le cadre d'une information des personnes concernées. Toute modification de cette charte fera l'objet d'une communication préalable aux utilisateurs.

- Principe de finalités

Les finalités de ce contrôle sont, notamment, les suivantes :

· La prévention et la répression de faits illicites ou diffamatoires, de faits contraires aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d'autrui, ainsi que la répression de ces faits.

· La protection des intérêts économiques et financiers de l'entreprise, auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires.

· La sécurité et/ou le bon fonctionnement technique des systèmes informatiques et du réseau de l'entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise.

· Le respect de bonne foi des principes et règles d'utilisation des technologies en réseau, tels que définis par les présentes directives.

- Principe de proportionnalité

L'employeur s'engage à ne traiter que les données nécessaires au contrôle. Au regard de la finalité légitime poursuivie par le contrôle, l'ingérence est la plus réduite dans la sphère privée du travailleur.

Article 6 - Mesures de contrôle et d'individualisation

- Mesures de contrôle

· Contrôle de l'utilisation d'Internet

L'entreprise maintient automatiquement une liste générale des sites Internet consultés via le réseau de l'entreprise, indiquant la durée et le moment des visites. Elle est régulièrement évaluée par l'entreprise.

Lorsque, à l'occasion de ce contrôle général ou au départ d'autres sources d'information, l'entreprise constate une anomalie, elle se réserve le droit, dans le cadre de la poursuite des finalités décrites à l'article 5 ci-dessus, de procéder à l'identification d'un travailleur, conformément à la procédure d'individualisation décrite ci-dessous.

· Contrôle du courrier électronique

Les messages électroniques sont stockés sur le serveur de l'entreprise. L'archivage des messages est assuré par l'utilisateur.

Sur base d'indices généraux tels la fréquence, le nombre, la taille, les annexes, ... des messages électroniques, certaines mesures de contrôle pourront être prises par l'entreprise vis-à-vis de ces messages, dans le cadre de la poursuite des finalités décrites à l'article 5 ci-dessus.

Si l'entreprise présume un usage anormal ou interdit du système de courrier électronique, il procédera, dans le cadre de la poursuite des finalités décrites à l'article 5 ci-dessus, à l'identification du travailleur concerné, dans le respect de la procédure d'individualisation décrite à l'article ci-dessous.

- Mesures d'individualisation

Par "individualisation", on entend le traitement des données collectées lors d'un contrôle en vue de les attribuer à un travailleur identifié ou identifiable.

· Individualisation directe

L'entreprise procédera à une individualisation directe du travailleur si elle suspecte ou a constaté :

1. la commission de faits illicites ou diffamatoires, de faits contraires aux bonnes moeurs ou susceptibles de porter atteinte à la dignité d'autrui

2. la violation des intérêts économiques, commerciaux et financiers de l'entreprise, auxquels est attaché un caractère de confidentialité

3. une menace à la sécurité et/ou au bon fonctionnement technique des systèmes informatiques et du réseau de l'entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise.

Le cas échéant, les sanctions appropriées seront prises à l'encontre de ce travailleur. Ces sanctions peuvent aller de l'avertissement au licenciement. Elles peuvent porter sur une limitation ou une interdiction de l'usage d'Internet et/ou du courrier électronique.

· Individualisation indirecte

Si elle suspecte ou constate un manquement aux présentes directives, l'entreprise en avertira l'ensemble des utilisateurs par le biais du courrier électronique.

Article 7 -: Droits du travailleur

- Droit d'accès aux données

Le travailleur a le droit de prendre connaissance de toute information le concernant ayant fait l'objet d'un enregistrement par l'entreprise.

Le travailleur a le droit de recevoir une copie des données enregistrées le concernant dans un délai d'un mois après qu'il en a formulé la demande écrite auprès de l'entreprise.

- Droit de rectification

Le travailleur a le droit d'obtenir la rectification de toute donnée enregistrée inexacte le concernant.

Dans le mois qui suit l'introduction de la demande écrite, l'entreprise communiquera sa position ou, le cas échéant, les rectifications apportées aux données relatives au travailleur.

- Droit de suppression

Le travailleur a le droit d'obtenir la suppression de toute donnée enregistrée le concernant qui, compte tenu des finalités du traitement est inexacte, ou dont l'enregistrement, la communication ou la conservation sont légalement interdits, ou qui a été conservée au-delà d'une période raisonnable, prenant fin un an après la fin des relations de travail entre les parties.

Dans le mois qui suit l'introduction de la demande par écrit, l'entreprise communiquera au travailleur la suite qui a été donnée à sa demande.

Article 8- Divers

- Responsable du traitement

Le responsable du traitement des données de télécommunication en réseau visées par les présentes directives est le responsable du service informatique. Il rapporte directement à la direction générale et exerce sa mission en toute confidentialité.

- Questions et plaintes

Chaque utilisateur peut s'adresser au responsable du service informatique pour toute question concernant l'application de ces instructions et/ou pour prendre connaissance des informations enregistrées le concernant.

La personne de contact traite également les plaintes concernant l'usage d'Internet et du courrier électronique au sein de l'entreprise. Les utilisateurs qui s'estiment victimes d'actes prohibés par les présentes directives peuvent s'adresser à cette personne.

- Helpdesk - contact technique

Chaque utilisateur peut contacter le gestionnaire du parc informatique pour des questions techniques concernant l'utilisation d'Internet et du courrier électronique.

- Courriels à l'attention du Conseil d'entreprise et Comité PPT

L'employeur s'engage à ne pas opérer de contrôle sur le contenu des boîtes mails du Conseil d'entreprise et Comité PPT.

Bruxelles, le 23 mai 2005,

Pour la délégation du personnel Pour la délégation de l'employeur

au Conseil d'entreprise au Conseil d'entreprise