Règles d’utilisation acceptable de la technologie sur le lieu de travail

Qu'est-ce qu'une règle d'utilisation acceptable (RUA) ?

Quiconque a déjà dirigé (ou travaillé dans) une entreprise, quelle que soit sa taille, a déjà rencontré une règle d'utilisation acceptable. On vous a peut-être demandé d'en créer une. Plus vraisemblablement, on vous a demandé de la lire et de la signer pour attester que vous compreniez le comportement et les actions attendus par votre employeur.

Hors du cadre de la relation employé-employeur, les RUA sont partout. Des contrats de licence de logiciels aux conditions d'accès aux informations d'un site web, les règles d'utilisation acceptable sont monnaie courante. Pratiquées par de nombreuses organisations, elles passent parfois inaperçues, les « petits caractères » ayant tendance à être occultés.

Néanmoins, qu'elles soient lues en diagonale ou dans le détail, les RUA sont des accords contraignants entre le fournisseur d'un produit ou d'un service et ses utilisateurs.

Mais avant de détailler ce qui fait l'importance des RUA et leur contenu, tentons de les définir.

Puisqu'il n'existe pas de définition officielle (dans le dictionnaire, du moins), examinons ses deux éléments de base : « règle » et « utilisation acceptable ».

Le deuxième terme est simple : agréable, satisfaisant, plaisant, bienvenu.

Le premier, règle, est plus riche : ligne de conduite ou une méthode d'action définie, choisie parmi des alternatives et à la lumière de conditions données, pour guider et déterminer les décisions présentes et futures.

Mettons les deux ensemble pour avoir une idée de base ce que signifie « Règle d'utilisation acceptable » : ensemble de directives qui limitent la façon dont un produit ou un service peut être utilisé tout en fixant des recommandations sur son usage.

Dans bien des cas, les RUA incluent une formulation qui met en évidence des comportements et des actions spécifiques et limitent l'usage qui peut être fait du produit.

Lorsqu'elles encadrent l'utilisation des technologies sur le lieu de travail, les RUA sont rédigées à l'intention des entreprises, des écoles et des fournisseurs de services (FAI, applications cloud, sites web, etc.), souvent pour :

• Réduire la responsabilité en cas de poursuites
• Maintenir la qualité de service (QoS)
• Définir les attentes en matière d'utilisation
• Se conformer à la surveillance réglementaire
• Appliquer les pratiques de l'entreprise et assurer la continuité des activités

Exemple de RUA : données et streaming

Une organisation vient de migrer vers un environnement de télétravail. Elle a besoin que ses employés restent productifs pour poursuivre ses activités. Elle leur a donc fourni des ordinateurs portables Macbook Pro et des iPhone, dans le cadre d'un modèle de propriété COPE qui autorise les utilisateurs finaux à faire un usage personnel de ces appareils.

Dans le cadre des forfaits cellulaires d'entreprise, les pools de données sont couramment partagés entre tous les employés. Si un employé utilise 50 % des données allouées pour le mois en regardant des vidéos toute la journée, cela pose deux problèmes :

1. Il peut ne pas accomplir la charge de travail qui lui a été confiée parce qu'il regarde des vidéos pendant ses heures de bureau ;
2. L'utilisation excessive de la bande passante peut épuiser les pools de données plus tôt que prévu, privant de connexion les autres utilisateurs qui s'efforcent de rester productifs.

Dans cet exemple, en exigeant de tous les utilisateurs qu'ils lisent et acceptent les règles en signant une RUA évite ces problèmes :

1. En limitant l'accès aux plateformes de streaming pendant les heures de travail ;
2. En détaillant le fonctionnement des pools de données et en indiquant à chaque employé sa limite théorique.

Que doit-on inclure dans une RUA ?

Tout ! Bon, peut-être pas tout, mais certainement tout ce qui peut la rendre efficace. Il n'existe pas de RUA « taille unique ». Des modèles de RUA peuvent servir de point de départ, mais chaque organisation a ses propres besoins et donc des règles spécifiques à établir.

Cela dit, voici quelques lignes directrices pour rédiger des RUA concises et efficaces :

• Donnez des exemples et/ou des alternatives autorisées
• Couvrez aussi bien les violations intentionnelles qu'accidentelles
• Expliquez comment vous surveillez le respect des règles
• Détaillez les mesures de correction et les conséquences en cas de violation
• Incluez tous les types d'utilisateurs, sans exception
• Décrivez les choses à faire et à éviter sur les réseaux sociaux
• Adaptez-la précisément à votre organisation
• Soyez très clair dans votre formulation – ne laissez rien à l'interprétation

Quelques points supplémentaires à couvrir dans votre RUA

CYOD et COPE

Votre organisation fournit-elle des appareils aux employés pour leur usage professionnel ? L'utilisation personnelle est-elle autorisée ? Si oui, à quel degré ?

BYOD

Les appareils personnels des employés doivent-ils être inscrits dans la MDM de l'entreprise ? Quels types de commandes les administrateurs pourront-ils exécuter sur les appareils personnels ?

Confidentialité

Comment la confidentialité de l'utilisateur final est-elle traitée ? À quelles données l'organisation a-t-elle accès ? Où les stocke-t-elle, et pendant combien de temps ?

Environnements de travail

Votre organisation a pleinement adopté le télétravail et les pratiques hybrides, ou prévoit de le faire ? Pensez à préciser les modalités d'application des règles quand les utilisateurs travaillent depuis différents emplacements et dans d'autres pays. N'oubliez pas que certaines régions ont des lois plus strictes que d'autres : cela aura un impact direct sur la précision et l'efficacité de votre RUA.

Considérations internationales

Si votre organisation travaille avec des données provenant d'Europe, par exemple, vous pouvez être soumis au RGPD. En utilisant un logiciel qui n'est pas certifié RGPD, un utilisateur peut se retrouver en infraction, où que se trouve le siège de votre entreprise.

Conformité

Votre organisation, comme ses employés, peut être soumise à des lois locales, nationales, fédérales et régionales. Elle peut être amenée à se conformer à diverses réglementations spécifiques à sa localisation ou son secteur. Vous devez avoir une parfaite connaissance des implications de toutes ces règles pour éviter des défauts de conformité aux lourdes conséquences civiles ou pénales.

Pourquoi les RUA sont-elles importantes pour les employés ?

Comme on l'a vu, l'organisation qui gère un produit ou un service rédige des RUA. Elle le fait principalement pour protéger ses intérêts. Mais une RUA correctement rédigée ne se contente pas d'expliquer, dans un langage clair et concis, les attentes entourant l'utilisation d'un produit ou d'un service. Elle offre également un certain niveau de protection à l'utilisateur, ou dans notre cas, à l'employé.

Les RUA sont indispensables pour un cadre robuste de sécurité de l'information. En identifiant clairement les droits, les devoirs et les interdits des utilisateurs, la RUA les aide à éviter des situations potentiellement néfastes pour eux (et pour l'entreprise). Elle les protège ainsi des mesures administratives, voire juridiques, que ces situations pourraient entraîner.

Comment mon organisation peut-elle faire respecter les RUA ?

Reprenons le scénario ci-dessus : l'employé a signé un document détaillant les utilisations acceptables. Les directives sont claires et faciles à comprendre. Et ensuite ? Est-ce que la RUA l'empêche vraiment de regarder des vidéos en streaming pendant les heures de travail et d'épuiser le pool de données partagé ?really

En un mot, non. Toutefois, comme c'est souvent le cas en informatique, on peut combiner des contrôles pour faire respecter les règles de gestion. Il en va de même pour les RUA, excepté qu'elles fournissent des directives écrites expliquant le comportement attendu des utilisateurs, leurs obligations et les interdits.

Les administrateurs informatiques peuvent les associer à un logiciel de filtrage du contenu et de plafonnement des données comme Jamf Data Policy. Des contrôles de sécurité vont ainsi encadrer l'accès à certains sites web, conformément aux règles d'utilisation acceptable. Et quand un employé atteint – sciemment ou non – un seuil prédéfini de données consommées, les administrateurs reçoivent une alerte. La solution peut ensuite bloquer automatiquement l'accès aux ressources en ligne ou réduire la vitesse de sa connexion cellulaire.

Quel est l'intérêt, pour mon entreprise, d'un logiciel qui fait respecter les RUA ?

• Évitez les lourdes factures due à la surconsommation de bande passante
• Définissez des plafonds de données afin de limiter les excès de consommation
• Obtenez une journalisation granulaire de l'utilisation
• Limitez l'accès aux sites web illicites et non conformes
• Aidez les employés à rester productifs
• Proposez des notifications en temps réel aux utilisateurs et aux administrateurs.
• Donnez au service informatique la possibilité de modifier les configurations, en cas de besoin

Pour conclure, le contenu de votre RUA et les modalités d'encadrement de son application dépendent uniquement de votre organisation – ses besoins, les produits et services que vous fournissez, et le comportement qui est attendu des employés. Soyez particulièrement attentif à la localisation vos différents sites, mais aussi à celle des utilisateurs finaux et de vos clients. Prenez le temps d'examiner tous les détails qui sont essentiels au fonctionnement de vos produits et services, et ceux qui font la spécificité de votre organisation.