top of page
Logo sans texte_edited_edited_edited.png

Politique de Sécurité et de 
Protection des Données

1. Objectifs

Flex Energie s’engage à vous fournir des services de qualité, de manière professionnelle tout en protégeant votre vie privée.


Nous nous devons donc de restreindre l’accès aux données confidentielles et sensibles afin d’éviter qu’elles soient perdues ou compromises ; de façon à ne pas nuire à nos clients, à ne pas encourir de sanctions pour non-conformité et à ne pas nuire à notre réputation. Parallèlement, nous devons faire en sorte que les utilisateurs puissent accéder aux données qui leur sont nécessaires pour travailler efficacement.

Il n’est pas attendu de cette politique qu’elle élimine tous les vols de données. Son principal objectif est plutôt de sensibiliser les utilisateurs et d’éviter les scénarios de perte accidentelle, c’est pourquoi elle décrit les exigences de prévention des fuites de données.

2. Champ d’application

2.1. Dans le champ d'application

 

Cette politique de sécurité des données s’applique à toutes les données clients et données personnelles définies comme tel par la RGPD.

Elle s’applique donc à tous les serveurs, bases de données et systèmes informatiques qui traitent ces données, y compris tout appareil régulièrement utilisé pour le courrier électronique, l’accès au Web ou d’autres tâches professionnelles. Tout utilisateur qui interagit avec les services informatiques de l’entreprise est également soumis à cette politique.

2.2. Hors du champ d'application

 

Les informations classées comme publiques ne sont pas soumises à cette politique. D’autres données peuvent être exclues de la politique par la direction de l’entreprise, en fonction d’impératifs spécifiques, par exemple le fait que la protection des données est trop coûteuse ou trop complexe.

3. Politique

3.1. Principes

L’entreprise fournira à tous ses employés l’accès aux informations dont ils ont besoin pour faire leur travail aussi efficacement que possible. Ainsi, les employés pourront transmettre les informations aux partenaires afin qu’ils puissent mettre en place les contrats. Les partenaires n’ont pas accès à la base de données.

3.2. Généralités

Chaque utilisateur est identifié par son identifiant utilisateur, afin que tous puissent être tenus pour responsables de leurs actions.

L’utilisation des identités partagées n’est autorisée que là où elles sont appropriées, par exemple pour les comptes de formation ou les comptes de service.

Chaque utilisateur doit lire la présente politique de sécurité des données, ainsi que les directives de connexion et de déconnexion.

Les enregistrements des accès des utilisateurs peuvent être utilisés comme éléments probants dans le cadre d’une enquête sur incident de sécurité.

Les accès doivent être accordés selon le principe du moindre privilège, ce qui signifie que chaque programme et chaque utilisateur obtiendra seulement les privilèges qui lui sont nécessaires pour effectuer son travail.

3.3. Autorisation de contrôle d'accès

L’accès aux ressources et aux services informatiques de l’entreprise sera accordé par le biais d’un compte d’utilisateur unique et d’un mot de passe complexe. L’administrateur réseau fournis les comptes selon les responsabilités de l’utilisateur.
Chaque mot de passe est choisi par l’utilisateur et respecte des caractéristiques spécifiques afin qu’il soit complexe ; seul l’utilisateur et l’administrateur réseau y ont accès.
Le contrôle d’accès basé sur les responsabilités de chacun sert à sécuriser les accès à toutes les ressources basées sur les Drive ainsi que dans les fichiers.

 

3.4. Accès au réseau

Un accès au réseau est accordé à tous les employés, selon les procédures de contrôle d’accès de l’entreprise et le principe du moindre privilège.

Les accès au réseau sont vérifiés périodiquement, ainsi que la sécurité du réseau.

3.5. Responsabilités des utilisateurs

Tous les utilisateurs doivent verrouiller leur écran chaque fois qu’ils quittent leur bureau, pour réduire le risque d’accès non autorisé.

Tous les utilisateurs doivent veiller à ne laisser aucune information sensible ou confidentielle autour de leur poste de travail.

Tous les utilisateurs doivent tenir leurs mots de passe confidentiels et ne pas les partager.

Tous les utilisateurs veillent à ne pas partager les fichiers auxquels ils ont un accès restreint à des utilisateurs n’ayant pas les autorisations.

3.6. Accès aux applications et aux informations

Tous les employés de l’entreprise bénéficient d’un accès aux données et aux applications nécessaires à leur fonction professionnelle.

Tous les employés ne doivent accéder aux données et systèmes sensibles qu’en cas de nécessité professionnelle et avec l’accord de la direction.

Les systèmes sensibles doivent être physiquement ou logiquement isolés afin d’en restreindre l’accès au personnel autorisé uniquement.

3.7. Accès aux informations confidentielles et restreintes

L’accès aux données classées comme « confidentielles » ou « restreintes » doit être limité aux personnes autorisées dont les responsabilités professionnelles l’exigent, tel que déterminé par la Politique de sécurité des données ou la direction.

La direction est responsable d’instaurer les restrictions d’accès.

4. Directives techniques

Les directives techniques sont mises en place pour contrôler et accorder l’accès aux données.

Elles sont les suivantes :

   - Accès aux données basé sur les rôles et sécurisé via mot de passe

   - Protection des données sensibles avec un mot de passe

Le contrôle d’accès s’applique aux réseaux, serveurs, postes de travail, ordinateurs portables, appareils mobiles, applications Web, sites Web, stockages Cloud et services.

5. Exigences de reporting

Lors d’un incident hautement prioritaire, l’administration se doit de fournir en priorité un compte rendu afin de réparer l’incident.

6. Priorité et responsabilité

Les propriétaires de données sont des employés dont la principale responsabilité est de gérer les informations qu’ils possèdent.

L’administrateur de la sécurité des informations est l’employé chargé par la direction d’assurer un soutien administratif pour l’implémentation, la supervision et la coordination des procédures et systèmes de sécurité, conformément aux ressources informatiques spécifiques.

Les utilisateurs comprennent tous ceux qui ont accès aux ressources informatiques soit les employés.

L’équipe d’intervention en cas d’incident est dirigée par le responsable de Flex Energie, il mobilise les services compétents.

7. Application

Tout utilisateur qui enfreint cette politique est passible de sanctions disciplinaires, pouvant aller jusqu’au licenciement. Tout tiers surpris en infraction peut voir sa connexion au réseau suspendue.

8. Définitions

Base de données : Ensemble organisé de données, généralement stocké et accessible électroniquement depuis un système informatique.

Serveur : Programme ou appareil informatique qui fournit des fonctionnalités à d’autres programmes ou appareils, appelés clients.

9. Historique de révisions

Version     Date de révision              Auteur                      Description des modifications

    1.0               23/10/2024            J.M. Basset, gérant                       Version initiale

Tous droits réservés, 2025 Flex Energie ©

bottom of page