Protection des données personnelles - Sia Partners vous accompagne !
6
1. Charte de bons usages et de droits afférents aux Accès octroyés aux
Prestataires au Système d’Information du Groupement des
Mousquetaires.
-1-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
2. SOMMAIRE
CHAPITRE I : DISPOSITIONS GENERALES ................................................................................................. - 2 -
Article 1-1 : Définitions.................................................................................................................. - 2 -
Article 1-2 : Objet........................................................................................................................... - 2 -
Article 1-3 : Contrôle du respect de cette Charte...................................................................... - 3 -
CHAPITRE II : REGLES D’USAGE .............................................................................................................. - 4 -
Article 2-1 : Accès aux ressources informatiques et réseaux .................................................. - 4 -
Article 2-2 : Obligations................................................................................................................. - 4 -
Article 2-3 : Adresse IP Source .................................................................................................... - 5 -
Article 2-4 : Identifiants................................................................................................................. - 5 -
Article 2-5 : Demandes de connexion ......................................................................................... - 5 -
Article 2-5-1 : Connexions temporaires ...................................................................................... - 5 -
Article 2-5-2 : Connexions permanentes .................................................................................... - 6 -
Article 2-6 : Restrictions des connexions.................................................................................... - 6 -
Article 2-7 : Sécurité chez le Prestataire..................................................................................... - 6 -
Article 2-8 : Intervention sur le Système d’Information........................................................... - 6 -
Article 2-9 : Sous traitants du Prestataire .................................................................................. - 7 -
Article 2-10 : Signaler les failles de sécurité .............................................................................. - 7 -
CHAPITRE III : DISPOSITIONS GENERALES ............................................................................................... - 7 -
Article 3-1 : Intrusion et maintien non autorisé ........................................................................ - 7 -
Article 3-2 Contrôles, Règles et Infractions................................................................................ - 7 -
Article 3-3 Confidentialité .............................................................................................................. - 8 -
Article 3-4 Contrefaçon.................................................................................................................. - 8 -
Article 3-5 Survivance .................................................................................................................... - 8 -
Version juillet 2007
-1-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
3. CHAPITRE I : DISPOSITIONS GENERALES
Article 1-1 : Définitions
Adresse IP : Nombre binaire de 32 bits permettant d’identifier de manière unique à une ressource informatique
connectée à un réseau IP.
Client Final : désigne le Groupement des Mousquetaires et / ou une société exploitant une enseigne du
Groupement des Mousquetaires.
Enseignes du Groupement des Mousquetaires : chacune des enseignes du Groupement des Mousquetaires
comprenant notamment Intermarché, Bricomarché, Netto, Roady, Véti, Ecomarché…
Groupement de Mousquetaires : la STIME et l’ensemble des sociétés filiales directes et indirectes d’ITM
Entreprises détenues à plus de 30% par cette dernière, ainsi que toute société exploitant à titre d’enseigne une
marque propriété d’ITM Entreprises. ITM Entreprises est la société holding de STIME au sens des dispositions de
l’article 145 du code général des impôts.
Identifiants : Compte et mot de passe personnels accordés au Prestataire permettant de s’authentifier sur le
Système d’Information.
Internet : Réseaux de nombreux serveurs situés en divers lieux à travers le monde et reliés entre eux à l’aide
de réseaux de communications.
Prestataire : Société autorisée à accéder au Système d’Information afin d’effectuer des Prestations pour
lesquelles le Prestataire a demandé un droit d’accès.
Prestations : tous services à l’occasion desquels le Prestataire à besoin d’avoir accès au Système d’Information.
Société exploitant une enseigne du Groupement des Mousquetaires ou Point de Vente : toute société
exploitant à titre d’enseigne une marque propriété d’ITM Entreprises
STIME : SAS - siège social 24 rue Auguste Chabrières - 75737 Paris Cedex 15, filiale informatique du
Groupement des Mousquetaires.
Système d’information : Le système d’information du Groupement des Mousquetaires tel qu’il est administré
et géré directement ou indirectement par la Stime et qui représente l'ensemble des éléments participant à la
gestion, au stockage, au traitement, au transport et à la diffusion de l'information.
Article 1-2 : Objet
L’objet de cette charte est de décrire les conditions d’usage et d’utilisation des accès à distance, par les
Prestataires, dans le cadre des Prestations sur le Système d’Information.
La charte s’adresse au Prestataire, à la maîtrise d’ouvrage du Groupement des Mousquetaires et aux
administrateurs techniques de la STIME en charge de délivrer le service d’accès.
Le service délivré par la STIME permet aux Prestataires de se connecter au Système d’Information dans le strict
respect des règles de sécurité définies dans le cadre de cette charte.
-2-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
4. Toute personne pouvant s’authentifier sur le Système d’Information est subordonnée au respect de la présente
charte. Le Prestataire accepte les présentes conditions générales d’utilisation.
Le Prestataire doit s’assurer, avant connexion, de disposer de l’autorisation du Client Final.
Il est rappelé que tous les éléments constituants le Système d’Information et /ou qui transitent via le Système
d’Information sont des Informations confidentielles au sens de l’article 3-3 ci-après. Toute récupération et /ou
utilisation de ces informations et / ou d’éléments physiques constituant le support des-dites informations est un
acte de Contrefaçon et ou un acte de non respect de l’obligation de confidentialité. De plus le Prestataire
s’engage à ne pas porter atteinte à un quelconque droit de propriété de la Stime ou d’un tiers.
L’engagement du Prestataire à respecter chacune des dispositions du présent article constitue une condition
essentielle et déterminante du consentement de la Stime à mettre à disposition l’accès au Système d’Information.
En cas de non respect, le Prestataire s’engage a réparer le complet préjudice subit par la Stime et /ou toute
autre entité du Groupement des Mousquetaires.
Article 1-3 : Contrôle du respect de cette Charte
La STIME, ou toute autre entité de la maîtrise d’ouvrage du Groupement des Mousquetaires, se réserve de droit
de vérifier auprès du Prestataire la bonne application de cette Charte en commanditant un contrôle tel que défini
à l’article 3-2.
-3-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
5. CHAPITRE II : REGLES D’USAGE
Article 2-1 : Accès aux ressources informatiques et réseaux
L’utilisation des ressources informatiques partagées et la connexion d’un équipement sur le réseau ne sont pas
des droits, mais sont soumises à autorisation.
Ces autorisations :
sont strictement personnelles et uniques, elles ne peuvent en aucun cas être cédées, même
temporairement à un tiers ;
ne valent que pour des activités conformes à la législation en vigueur et dans le cadre exclusif de
l’activité professionnelle de leurs bénéficiaires ;
peuvent être retirées à tout moment, toute autorisation prend fin lors de la cessation, même provisoire,
de l’activité professionnelle qui l’a justifiée.
sont soumises à l’appréciation, au cas par cas, des responsables du bénéficiaire qui auront à répondre
de la bonne utilisation de ces moyens.
L’attribution d’un compte doit respecter la procédure suivante, mise en place lors de l’ouverture du service et à
laquelle se conformeront les Prestataires, les maîtrises d’ouvrage du Groupement des Mousquetaires ainsi que
les administrateurs techniques de la STIME :
1. La demande est formulée par une maîtrise d’ouvrage du Groupement des Mousquetaires aux équipes
STIME ayant en charge l’administration technique.
2. L’équipe réseau STIME s’assure de l’origine de la demande.
3. Le Prestataire communique, à la demande de la STIME, les informations requises pour l’ouverture du
service (noms des collaborateurs, voir article 2-4 et adresse IP source, voir article 2-3).
4. Les administrateurs de la STIME vérifient l’ensemble des pré-requis du point 3 ci-dessus. Si ces derniers
sont conformes, les droits d’accès sont activés. La STIME communique les Identifiants au Prestataire.
Aucun accès ne sera activé sans avoir la validation formelle et préalable de la charte.
Article 2-2 : Obligations
Chaque Prestataire est responsable de l’emploi des ressources informatiques et des réseaux auxquels il se
connecte. Il a pour devoir de contribuer, à son niveau, à la sécurité générale.
Il doit :
appliquer les recommandations de sécurité émises dans la présente charte,
garder secret les mots de passe, et ne les communiquer en aucun cas à des tiers,
signaler dans les plus brefs délais toute tentative de violation de son compte, et, de façon générale,
toute anomalie qu’il peut constater ou supposer,
s’engager à ne pas mettre à la disposition d’utilisateurs non autorisés un accès aux systèmes ou aux
réseaux à travers des matériels dont il a l’usage.
Il ne doit pas :
utiliser d’autres moyens informatiques que ceux dûment dédiés, sans quoi, ils pourraient représenter un
vecteur de failles,
quitter son poste de travail sans se déconnecter en laissant des ressources ou services accessibles,
accéder aux informations du Système d’Information (fichiers, bases de données...) sauf s’il en a la
prérogative,
utiliser ou essayer d’utiliser des comptes autres que le sien ou de masquer son identité,
tenter de lire, modifier, copier ou détruire d’autres fichiers que ceux auxquels il est autorisé à accéder,
désactiver ou chercher à contourner les dispositifs de sécurité mis en œuvre,
tenter d’accéder sur des ressources informatiques autres que celles auxquelles il est strictement autorisé.
-4-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
6. En particulier, il est interdit de prendre connaissance d’informations détenues par d’autres utilisateurs quand
bien même ceux-ci ne les auraient pas explicitement protégées.
Article 2-3 : Adresse IP Source
Pour chaque connexion sur le Système d’Information, la STIME contrôle l’Adresse IP source du Prestataire. Cette
Adresse IP doit être impérativement fixe, les connexions à partir d’Adresses IP sources dynamiques ne sont pas
autorisées.
Le Prestataire devra informer la STIME avant tout changement de son Adresse IP source permettant de
l’identifier sur le Système d’Information. La STIME dispose d’un délai de 5 jours ouvrés pour prendre en compte
ce changement, délai pendant lequel elle ne pourra pas être imputée d’éventuels problèmes de connexion.
Article 2-4 : Identifiants
Le Prestataire doit communiquer à la STIME le nombre d’Identifiants, et noms des personnes, strictement
autorisés à accéder au Système d’Information. Un Identifiant ne peut être octroyé qu’à une seule personne, afin
de conserver unitairement les traces de connexion.
Le Prestataire, sous sa responsabilité vis-à-vis de la STIME et de tiers, s’engage à communiquer, de manière
confidentielle, les Identifiants personnels à ses utilisateurs désignés à se connecter sur le Système d’Information.
Le Prestataire doit sensibiliser ces dits utilisateur sur leurs droits et obligations, dès lors qu’ils sont bénéficiaires
d’un Identifiant valide, et notamment les informer de cette présente charte d’utilisation.
La STIME communiquera au Prestataire, dans un délai d’une semaine, les Identifiants permettant d’accéder au
Système d’Information. A tout moment, la STIME pourra révoquer ou changer ces Identifiants et notamment en
cas de suspicion d’intrusion ou d’intrusion avérée.
Le Prestataire doit demander immédiatement à la STIME un changement d’Identifiants dès lors qu’il a
connaissance qu’au moins un identifiant ait été divulgué à d’autre(s) personne(s) que le bénéficiaire.
Le Prestataire s’engage à demander à la STIME un changement ou une révocation d’Identifiants, lorsque que le
ou les collaborateurs habilités pour se connecter changent de fonction ou quittent l’entreprise. Le Prestataire
veillera à mettre en œuvre, dans sa société, une procédure permettant à la STIME d’être informée de ces
changements.
A tout moment, la STIME se réserve le droit de désactiver ou de supprimer des Identifiants.
En cas de non respect de cet article, dont les clauses sont essentielles, la STIME sera en droit de réclamer à la
partie défaillante l’entier préjudice.
Article 2-5 : Demandes de connexion
Chaque connexion sur le Système d’Information doit faire l’objet d’une demande du Prestataire ou de la STIME.
Article 2-5-1 : Connexions temporaires
Pour des connexions sur le réseau Aval, c'est-à-dire sur un Point de Vente, elles doivent être approuvées
et acquittées par le Point de Vente.
Pour les connexions sur le réseau Amont, c'est-à-dire autre que sur un Point de Vente, le Prestataire doit
en faire la demande à la STIME. La STIME autorisera temporairement et pour une durée qu’elle
estimera nécessaire, l’accès au Système d’Information. En aucun cas l’autorisation de connexion ne sera
supérieure à 24 heures.
-5-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
7. Article 2-5-2 : Connexions permanentes
Pour des connexions sur le réseau Aval, c'est-à-dire sur un Point de Vente, elles doivent être approuvées
par le Point de Vente.
Pour les connexions sur le réseau Amont, c'est-à-dire autre que sur un Point de Vente, le Prestataire doit
en faire la demande à la STIME et / ou avoir l’autorisation de la filiale concernée.
Article 2-6 : Restrictions des connexions
Sauf stipulation contractuelle, ou en cas d’un besoin de maintenance justifié, les connexions ne sont autorisées
que pendant les heures ouvrées :
Pour une application Amont : du lundi au vendredi de 09h à 18h.
Pour une application Aval (connexion sur un Point de vente) : du lundi au samedi de 07h à 21h et le
dimanche de 07h à 13h.
Par Identifiant, une seule connexion simultanée est autorisée. De même, la STIME met fin automatiquement à
toute connexion après 15 minutes d’inactivité.
Article 2-7 : Sécurité chez le Prestataire
Les équipements du Prestataire doivent :
être exempts de virus, être équipés d’un anti-virus dont les signatures anti-virales sont à jour et mises
en oeuvre
appliquer et en vérifier l’application, dès leur publication, les correctifs de sécurité relatifs aux
applications et systèmes d’exploitation installés,
être protégés par un système de pare-feu correctement configuré, avec une politique du tout interdit
sauf les flux strictement nécessaires au service.
Le Prestataire doit prendre des mesures de protections physiques et logiques afin d’autoriser l’accès auxdits
équipements.
Article 2-8 : Intervention sur le Système d’Information
Sous réserve d’une autorisation préalable et écrite de la STIME, le Prestataire s’interdit de :
Modifier ou installer ou des programmes ou fichiers.
Réaliser des mises en production.
Intervenir sur le Système d’Information.
Accéder aux données, programmes et fichiers du Système d’Information.
Collecter des données, programmes et fichiers du Système d’Information.
Stocker des données, programmes et fichiers du Système d’Information.
Traiter des données du Système d’Information.
Diffuser des programmes ou fichiers sur et du Système d’Information.
Effectuer toute action non expressément et préalablement autorisée par la STIME.
-6-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
8. Article 2-9 : Sous traitants du Prestataire
Au cas où le Prestataire fait appel à des sous-traitants, le Prestataire doit en informer au préalable et par écrit la
STIME. Chaque sous-traitant, sous la responsabilité du Prestataire, est soumis au respect de cette même charte
et devra la signer avant même d’accéder au service.
Même en cas de sous-traitance dûment connue par la STIME, le Prestataire demeure entièrement responsable
des Prestations qui lui incombent.
Article 2-10 : Signaler les failles de sécurité
Si le Prestataire observe ou soupçonne une faille de sécurité, il se doit de la signaler à la STIME dans les plus
brefs délais, sans tenter de la démontrer.
CHAPITRE III : DISPOSITIONS GENERALES
Article 3-1 : Intrusion et maintien non autorisé
Il est rappelé que l’intrusion ou le maintien non autorisé dans tout système informatique et notamment dans
celui du Groupement des Mousquetaires est pénalement sanctionné par les dispositions de l’article 323-1 du
Code pénal aux termes duquel :
« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de
traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit
une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de
45000 euros d'amende ».
Article 3-2 Contrôles, Règles et Infractions
Le Prestataire est informé et accepte expressément que la STIME procède à des contrôles sur la bonne
utilisation du service. En cas de manquement du Prestataire aux obligations telles qu’énoncées précédemment,
la STIME peut être amenée à suspendre ou interdire l’accès au Système d’Information...
Le Prestataire accepte que la STIME prenne des mesures d’urgence, incluant la décision de limiter ou
d’interrompre temporairement ou définitivement l’accès des utilisateurs pour préserver la sécurité, et notamment
en cas d’incident, dont la STIME aurait eu connaissance.
Les applications logicielles et les matériels utilisés pour délivrer l’accès au Système d’Information du Groupement
des Mousquetaires génèrent naturellement des fichiers de journalisation. Les événements ainsi recueillis
pourront servir à établir de façon manifeste les cas de dysfonctionnements constatés du service (détection de
pannes, engorgement de trafic, utilisation mal intentionnée...).
Toute infraction aux dispositions du code pénal pourra donner lieu à des poursuites civiles et ou pénales et
notamment à la mise en mouvement de l’action publique à l’initiative du Procureur de la République, de la
STIME, d’ITM Entreprises ou de tout tiers victime intéressé, avec constitution de partie civile le cas échéant et
sans préjudice de l’engagement éventuel d’actions en réparation devant les juridictions civile ou administrative.
Les obligations définies par la présente Charte correspondent aux obligations essentielles que le Prestataire
s’engage à respecter.
-7-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007
9. L’attention du Prestataire est toutefois appelée sur le caractère non limitatif des obligations définies dans la
présente charte, qui s’appliquent sans préjudice du respect des lois, textes ou usages en vigueur.
Le Prestataire est informé et accepte expressément que la STIME modifie à tout moment la présente Charte,
notamment pour tenir compte des évolutions législatives ; ces modifications lui seront notifiées.
Article 3-3 Confidentialité
Toute information recueillie ou issue du Système d’Information présente un caractère confidentiel, et ce quelque
soit la nature et le support de l’information.
Le Prestataire conservera les informations secrètes et confidentielles et s'abstiendra de les divulguer sauf à des
employés ou à des préposés responsables qui, astreints au secret professionnel, en auront besoin pour
l’accomplissement des Prestations et ce, dans la limite des besoins desdites Prestations.
Article 3-4 Contrefaçon
Le Prestataire garantira LA STIME et les autres entités du Groupement des Mousquetaires, contre les
conséquences financières de toute réclamation formulée par tout Client et ou tiers en relation une violation par
le Prestataire de ses engagements au titre de la présente Charte.
La responsabilité du Prestataire est cependant expressément exclue si la réclamation résulte d’actes de la STIME
ou l’une des entités du Groupement des Mousquetaires.
Article 3-5 Survivance
Les obligations du Prestataires en matière de Confidentialité et de Propriété intellectuelle continueront de
s’appliquer 5 ans après la dernière Prestation.
Le Prestataire STIME SAS
Nom : Nom :
Prénom : Prénom :
Fonction : Fonction :
Société :
reconnaissent avoir pris connaissance de la présente charte et s’engagent à en respecter tous les termes dans
le cadre de l’accès au Système d’Information.
Date : Date :
Signature :
Signature :
-8-
Document confidentiel Propriété de la STIME
Ver. Juillet 2007