24 et 25 janvier 2012 : projet de carte professionnelle multiservices

Informations de la Direction :

Choix entre 3 types de cartes :
- identification simple (idem ancienne carte)
- la même plus contrôle d'accès
- idem 2 + certificats d'autenfication sécurisée + chiffrage/déchiffrage mails, PKI + carte cantine
- La décision a été prise que tout le monde ait d'office une carte de niveau 3.

Nos questions/ Notre position :
- La carte résiste t elle au lavage en machine ?
- Le support de la carte ne porte pas de mention indiquant qu'en cas de perte elle doit être envoyée par la Poste à une adresse définie, éventuellement en franchise postale. Pourquoi cette mesure simple et gratuite qui peut éviter la recherche fébrile d'une carte perdue et la multiplication des invalidations et de réémissions de cartes perdues n'a-t-elle pas été retenue ?
- Le coût de modification/ mises à jour / achat des appareils des lecteurs de carte ( Lecteur de badges pour le contrôle d'accès, caisses pour la restauration, lecteur PKI) n'apparaît pas.
- Ce badge est il capable de prendre en compte plusieurs restaurants avec des fournisseurs différents (Elior & Sodexho...) ?
- Le traitement des données restauration sera t il nominatif ? Pourra t on utiliser la CMS dans les distributeurs de boissons ? La modification des caisses est prise sur quel budget ?
- Quelles sont les adaptations techniques nécessaires qui seront réalisées pour avril 2012 (Web services) ? De quoi s'agit-il ?
- Fonction PKI : La présentation indique que les certificats PKI sont stockés dans une puce avec contact:

• Quel est le déploiement prévu pour les lecteurs de cartes associés aux postes de travail informatiques fixes, mobiles ou nomades (PC équipés en business Everywhere notamment). Quelles sont les principales caractéristiques et performances des lecteurs de cartes envisagés (poids, encombrement, autonomie électrique, prix) ?
• Est-il prévu de déployer des postes de travail informatiques en l'occurrence des PC à lecteurs de carte intégré compatibles de la carte multiservice Orange ?
• N'y aura-t-il que des lecteurs périphériques ?
• Quels sont les coûts associés ? (Équipements et volumes)

- Cycle de vie de la carte :
En cas de destruction, perte ou vol, quel objectif se fixe l'entreprise en matière de délai d'invalidation puis de renouvellement de la carte ?
Est-il possible de parvenir à des délais comparables à ceux qui sont réalisables avec les cartes SIM téléphoniques, c'est-à-dire invalidation immédiate à notification et remplacement de la carte en 24 à 48 h ?
Le remplacement des cartes ayant la capacité d'une PKI sera-t-il plus long ? Si oui, quelle peut en être la durée ?
«Les mandataires de certification (MC2) étant chargés d'assurer le transfert des certificats sur la CMS en présence du salarié». (page 9) où aura lieu cette opération ?
Combien de mandataires MC2 y a-t-il ?

 

Quelles mesures sont prises en matière de confidentialité des informations contenues et enregistrées sur la puce ?
L'accès en lecture et écriture doit être limité aux seules personnes autorisées. Par exemple, le crédit disponible pour la prestation de restauration ne doit pas pouvoir être lu par le gestionnaire des droits d'accès aux bâtiments et réciproquement le gestionnaire de cantine n'a pas à connaître les droits d'accès aux bâtiments.
Les gestionnaires de droits informatiques n'ont pas à connaître les éléments liés à la restauration, etc.

Comment le cloisonnement des confidentialités est-il garanti aux salariés ?
Y aura-t-il un gestionnaire des droits ayant connaissance de l'ensemble de ces types de droits d'accès relatifs à la même personne ?
Combien une CMS dispose t elle de puces RFID ?(Note : les DRH, les gestionnaires de cantines, les gestionnaires des accès bâtiments, les gestionnaires des droits informatiques, la DSEC (?) sont ou peuvent/pourraient être tous intervenants sur la carte multiservices)
Des fichiers informatiques nominatifs nouveaux vont-ils être générés pour la gestion des droits d'accès (restauration, accès physiques, accès et certifications informatiques) ?
En cas de création ou de rapprochement de fichiers de gestion des droits, quand la déclaration simplifiée CNIL est-elle prévue ? Le CCUES souhaite avoir communication de cette déclaration.
- Une procédure est-elle prévue pour que les salariés puissent avoir accès, capacité de rectification et de suppression de leurs données du ou des fichiers ?
Les conditions de conservation et de destruction des données (page 25) ne citent pas la possibilité de destruction à la demande du salarié.
- Le CCUES souhaite se voir communiquer la procédure que les salariés devront suivre en cas de destruction, perte ou vol de la carte multiservices. Quand sera-t-elle disponible ?
- Est-il envisagé d'utiliser à terme la CMS comme pointeuse ? (horaires variables)
- De manière plus générale, la protection des salariés n'est elle pas affaiblie avec la mise en place de ces nouveaux dispositifs ?
- L'adoption de ce type de carte multiservices va-t-elle nécessiter une modification du règlement intérieur des établissements ? Si oui quel est le texte de l'amendement que la Direction souhaiterait apporter aux règlements intérieurs.
- L'adoption de ce type de carte multiservices modifiant notablement les conditions de travail et de sécurité devra faire l'objet d'une présentation dans les CHSCT.

Réponses de la Direction :
- lavage en machine - il faut respecter les règles de bon usage, idem n'importe quelle carte bleue.
- Perte de la carte : mention sur la carte d'un renvoi à Alleray (résultat : 2 en 5 ans): les cartes perdues seront perdues.
- Lecteur de carte : cantine, bâtiment, PC, ....  on peut utiliser les infos qui seront sur la carte, sans évaluation du cout des différents lecteurs.
- Prise en compte de différents restaurants ??? OUI, si lecteurs dans tous les restaurants.
Utilisation comme badge : c'est techniquement faisable
- CHSCT : ce projet ne modifie pas la vie des personnes ; au contraire : il y a plutôt une amélioration des conditions de travail et d'amélioration de la Sécurité des salariés.