Discussion :

[andlio]

Bonjour,

Votre avis m'intéresse concernant une demande récente de ma DRH.

Je suis responsable informatique d'une petite société (env. 25 salariés). Étant le seul informaticien de la société, je suis en charge du développement, de l'administration, et du support des utilisateurs.
Voilà pour le contexte.

Maintenant rentrons dans le vif du sujet !
Ma DRH a suivi une formation récemment durant laquelle le formateur lui a conseillé de récupérer tout les mots de passe de session des utilisateurs. Ceci dans le but que le responsable légal (le président de la société) puisse avoir accès à tous les ordinateurs du parc et se protéger légalement d'éventuelles dérives (fuites...).

Je lui ai répondu que les mots de passes des sessions étaient personnels. Par contre dans le coffre fort, j'avais mis sous enveloppe le mot de passe de l'administrateur du domaine. Et qu'à partir de là, il avait éventuellement accès à tous les ordinateurs et au serveur de la société.

Ok... sauf qu'apparemment il faut qu'il ait accès aux emails des salariés...
Et là c'est plus compliqué, puisqu'il faut se connecter sur le serveur et faire quelques manip' sur Exchange pour modifier les droits (à priopri pas d'autres solutions...). Mais là il faut des compétences en administration qu'il n'a pas.
J'ai donc dis que dans ce cas il faudrait passer par moi, ou bien par la société qui m'assiste dans la gestion du parc. Mais apparemment ce n'est pas possible puisqu'il faut qu'il puisse être "autonome"...

Je n'ai pas spécialement envie qu'il bidouille Exchange et qu'il foute en l'air le serveur (après ça va me retomber dessus...). Mais je n'ai pas envi non plus de lui donner mon mot de passe de session.

D'où toutes mes questions ci-dessous :

1. Peux-t-il nous obliger à lui donner nos mots de passes de session ?
2. A-t-il le droit de consulter les emails des salariés sans les avertir ?
3. Le fait qu'il ait le mot de passe de l'administrateur du domaine suffit-il pour qu'il ait la maîtrise du parc ? Ou faut-il, comme il le prétend, qu'il soit autonome ?

[Isythiel]

Il me semble que techniquement, il peut lire toutes les informations (mails, fichiers...) des postes qui appartiennent à l'entreprise, à l'exception de ceux intutilés "Personnel" ou "Confidentiel". Je dis ça de mémoire, j'avais posé la question à une juriste spécialisée dans le droit informatique et le droit du travail.

Donc je dirais que tu peux / dois lui donner les accès. Après tu n'es pas pour autant responsable des dérives de sa part que ça peut engendrer...

[andlio]

Oui je suis quasi certain qu'il a le droit d'accès aux dossiers et aux mails exceptés les dossiers personnels.

Devons-nous pour autant lui donner nos mots de passes personnels ? Sachant qu'il existe des comptes administrateurs...

[Louis-Guillaume Morand]

Oui je suis quasi certain qu'il a le droit d'accès aux dossiers et aux mails exceptés les dossiers personnels.

Devons-nous pour autant lui donner nos mots de passes personnels ? Sachant qu'il existe des comptes administrateurs...

il n'a PAS à connaitre le mot de passe de session, pas plus que l'administrateur système. d'ailleurs pour changer un mot de passe d'utilisateur, l'admin systeme défini un mot de passe en cochant "l'utilisateur doit changer son mot de passe à la prochaine ouverture de session" parce que ce mot de passe, EST personnel. elle est pas là pour faire joli cette option de l'AD

en plus, ca serait pire que tout. le patron pourrait se logguer sous le compte d'un salarié envoyer un mail ou faire qqchose d'illégal et devant un tribunal, les logs montreront que l'employé a fait cette action.

donc ton patron n'a pas à les connaitre et il n'a surtout pas à les exiger. s'il est nul en informatique, il paie des gens qui surveilleront et feront les audits, c'est tout.

[Invité]

Bonjour,

Sur l'accès aux mails, tu peux regarder la fiche qui se trouve sur le site de la CNIL.

http://www.cnil.fr/fileadmin/documen...ideTravail.pdf

A priori, tout mail écrit du poste de travail est réputé "professionnel", sauf mention explicite du contraire. En ce sens, l'employeur a le droit de les consulter (comme c'est professionnel, cela ne porte pas atteinte à la vie privée du salarié). Il peut également en restreindre l'utilisation, par exemple en interdisant l'usage du mail à des fins personnelles.

Sur l'accès aux postes, je ne crois pas que tu puisses refuser de donner à ton employeur l'accès à ton poste de travail professionnel. Cela peut être justifié par les 'nécessités du service' (accéder aux dossiers de tel ou tel en cas d'urgence). On peut le voir comme indélicat (et encore...), mais ce n'est pas illégitime.

En tant que DSI (de facto), tu es censé faciliter la tâche de ta direction. Je ne vois pas très bien comment tu vas motiver ton refus... Tu peux bien sûr proposer une autre solution, expliquer l'effet désagréable sur la motivation des équipes, et le fait qu'il faut au minimum (cf CNIL) prévenir les salariés de toute mesure de surveillance particulière (mais je ne suis même pas certain qu'il s'agit d'une obligation dans ce cas précis: tu n'établis pas de fichier, ni d'enregistrement), mais t'y opposer?

(et le lui refuser au motif qu'il pourrait mal agir, ca s'appelle un procès d'intention, et c'est pas bien...)

Francois

[Louis-Guillaume Morand]

il y a une différence entre accéder à ton poste de travail et connaitre ton mot de passe!