Sécurité IntraParis : protéger ses données d’agent de la Ville de Paris

La charte des utilisateurs du système d’information de la Ville de Paris, dans sa version d’août 2024, redéfinit les obligations de chaque agent sur IntraParis. Ce cadre ne se limite pas à un rappel de bonnes pratiques : il engage la responsabilité individuelle sur la manipulation des données, les accès aux applicatifs métier et l’usage de la messagerie professionnelle.

Charte informatique Ville de Paris : ce que la version août 2024 change concrètement

La mise à jour d’août 2024 de la charte des utilisateurs du système d’information structure trois points que les versions précédentes traitaient de façon plus floue. Le périmètre d’application couvre désormais tous les outils numériques internes, IntraParis compris, ainsi que les accès distants via extranet ou VPN.

A lire aussi : Identification du propriétaire d'un hôtel : procédures et astuces

L’accent porte sur la traçabilité des accès aux applicatifs métier. Chaque connexion à une ressource sensible (données RH, dossiers agents, documents budgétaires) fait l’objet d’une journalisation. Les profils habilités sont définis nominativement, ce qui signifie qu’un agent ne peut accéder qu’aux périmètres de données correspondant strictement à ses missions.

Nous observons que cette granularité des habilitations pose un problème opérationnel lors des mobilités internes. Un agent muté d’une direction à une autre conserve parfois des droits résiduels sur des bases auxquelles il ne devrait plus accéder. La charte prévoit une revue périodique des habilitations, mais la fréquence et les modalités restent à la discrétion de chaque direction.

A lire en complément : Responsable sécurité : Qui endosse la première responsabilité ?

Technicien informatique municipal gérant la sécurité des données dans un centre de données parisien sécurisé

Authentification et accès distant à IntraParis : failles courantes

L’accès à IntraParis depuis l’extérieur du réseau municipal repose sur un mécanisme d’authentification qui constitue le premier maillon faible en cas de négligence. Le partage d’identifiants entre collègues, pratique encore répandue dans certains services, annule toute traçabilité et expose l’agent prêteur autant que l’emprunteur.

Trois erreurs reviennent systématiquement dans les incidents remontés aux équipes sécurité :

  • Enregistrement du mot de passe IntraParis dans le navigateur d’un poste partagé ou d’un ordinateur personnel non chiffré, rendant les identifiants accessibles à tout utilisateur de la machine
  • Utilisation du même mot de passe pour IntraParis et pour des services personnels (messagerie privée, réseaux sociaux), ce qui expose le compte professionnel en cas de fuite sur un site tiers
  • Absence de verrouillage de session lors d’un déplacement, même bref, dans un open space ou un accueil de mairie

Un mot de passe compromis sur un service externe suffit à ouvrir l’accès au SI municipal. La charte 2024 rappelle l’interdiction formelle de réutiliser un mot de passe professionnel ailleurs, mais le contrôle technique reste limité côté employeur.

Données personnelles des agents sur IntraParis et cadre RGPD

La direction des ressources humaines de la Ville de Paris est responsable du traitement des données collectées via les services numériques internes. Les articles 12, 13 et 14 du RGPD imposent une information préalable des agents sur la nature des données collectées, leur finalité et leur durée de conservation.

Sur IntraParis, les données personnelles d’un agent comprennent ses coordonnées administratives, son historique de carrière, ses évaluations, ses demandes de formation et ses candidatures internes via la plateforme Travailler pour Paris. Ces données sont collectées avec le consentement de l’agent et saisies directement par ses soins lors de la formalisation d’une candidature ou d’une démarche RH.

Durée de conservation et droit d’accès

La politique de conservation suit le principe de minimisation : les données ne sont conservées que le temps nécessaire à la finalité déclarée. Pour une candidature interne non retenue, la suppression intervient après un délai défini par la DRH.

Tout agent dispose d’un droit d’accès, de rectification et de suppression de ses données personnelles. La procédure passe par une demande auprès du délégué à la protection des données de la collectivité. Nous recommandons de formaliser cette demande par écrit, en précisant les catégories de données concernées, pour obtenir une réponse exploitable.

Sécurité numérique au quotidien : les réflexes qui protègent un agent municipal

La protection des données sur IntraParis ne repose pas uniquement sur l’infrastructure technique. La majorité des incidents de sécurité impliquent une action humaine, qu’il s’agisse d’un clic sur un lien de phishing ou d’un transfert de document sensible vers une messagerie personnelle.

Le phishing ciblant les agents municipaux a gagné en sophistication. Les messages imitent désormais les notifications IntraParis ou les convocations RH avec une fidélité qui piège même des utilisateurs avertis. Le réflexe à acquérir : vérifier systématiquement l’adresse d’expédition et ne jamais saisir ses identifiants IntraParis après avoir cliqué sur un lien reçu par courriel.

Documents et pièces jointes sensibles

Le téléchargement de documents RH (bulletins de paie dématérialisés, attestations, arrêtés) sur un terminal personnel non sécurisé crée une copie hors du périmètre contrôlé par la Ville. La charte 2024 encadre cette pratique : tout stockage de documents professionnels sur un appareil personnel doit respecter les règles de chiffrement définies par la DSIN.

En pratique, le moyen le plus sûr reste de consulter ces documents directement sur IntraParis sans les télécharger, ou de les stocker sur l’espace professionnel sécurisé mis à disposition.

  • Ne jamais transférer un document contenant des données d’agents (noms, matricules, évaluations) via une messagerie non professionnelle
  • Supprimer les pièces jointes sensibles du dossier « Téléchargements » après usage si le téléchargement était nécessaire
  • Signaler immédiatement toute réception suspecte de données d’un autre agent à l’équipe sécurité SI

La vigilance individuelle reste le complément indispensable des dispositifs techniques. Un agent qui maîtrise les règles de la charte informatique et applique les réflexes de base en matière d’authentification, de gestion des documents et de signalement des anomalies réduit considérablement le risque de fuite de données. La version août 2024 de la charte fournit un socle clair : il appartient à chaque direction de s’assurer que ses équipes l’ont effectivement lue et intégrée.

Ne ratez rien de l'actu