Discussion :

[andlio]

Bonjour,

Votre avis m'intéresse concernant une demande récente de ma DRH.

Je suis responsable informatique d'une petite société (env. 25 salariés). Étant le seul informaticien de la société, je suis en charge du développement, de l'administration, et du support des utilisateurs.
Voilà pour le contexte.

Maintenant rentrons dans le vif du sujet !
Ma DRH a suivi une formation récemment durant laquelle le formateur lui a conseillé de récupérer tout les mots de passe de session des utilisateurs. Ceci dans le but que le responsable légal (le président de la société) puisse avoir accès à tous les ordinateurs du parc et se protéger légalement d'éventuelles dérives (fuites...).

Je lui ai répondu que les mots de passes des sessions étaient personnels. Par contre dans le coffre fort, j'avais mis sous enveloppe le mot de passe de l'administrateur du domaine. Et qu'à partir de là, il avait éventuellement accès à tous les ordinateurs et au serveur de la société.

Ok... sauf qu'apparemment il faut qu'il ait accès aux emails des salariés...
Et là c'est plus compliqué, puisqu'il faut se connecter sur le serveur et faire quelques manip' sur Exchange pour modifier les droits (à priopri pas d'autres solutions...). Mais là il faut des compétences en administration qu'il n'a pas.
J'ai donc dis que dans ce cas il faudrait passer par moi, ou bien par la société qui m'assiste dans la gestion du parc. Mais apparemment ce n'est pas possible puisqu'il faut qu'il puisse être "autonome"...

Je n'ai pas spécialement envie qu'il bidouille Exchange et qu'il foute en l'air le serveur (après ça va me retomber dessus...). Mais je n'ai pas envi non plus de lui donner mon mot de passe de session.

D'où toutes mes questions ci-dessous :

1. Peux-t-il nous obliger à lui donner nos mots de passes de session ?
2. A-t-il le droit de consulter les emails des salariés sans les avertir ?
3. Le fait qu'il ait le mot de passe de l'administrateur du domaine suffit-il pour qu'il ait la maîtrise du parc ? Ou faut-il, comme il le prétend, qu'il soit autonome ?

[Isythiel]

Il me semble que techniquement, il peut lire toutes les informations (mails, fichiers...) des postes qui appartiennent à l'entreprise, à l'exception de ceux intutilés "Personnel" ou "Confidentiel". Je dis ça de mémoire, j'avais posé la question à une juriste spécialisée dans le droit informatique et le droit du travail.

Donc je dirais que tu peux / dois lui donner les accès. Après tu n'es pas pour autant responsable des dérives de sa part que ça peut engendrer...

[andlio]

Oui je suis quasi certain qu'il a le droit d'accès aux dossiers et aux mails exceptés les dossiers personnels.

Devons-nous pour autant lui donner nos mots de passes personnels ? Sachant qu'il existe des comptes administrateurs...

[Louis-Guillaume Morand]

Oui je suis quasi certain qu'il a le droit d'accès aux dossiers et aux mails exceptés les dossiers personnels.

Devons-nous pour autant lui donner nos mots de passes personnels ? Sachant qu'il existe des comptes administrateurs...

il n'a PAS à connaitre le mot de passe de session, pas plus que l'administrateur système. d'ailleurs pour changer un mot de passe d'utilisateur, l'admin systeme défini un mot de passe en cochant "l'utilisateur doit changer son mot de passe à la prochaine ouverture de session" parce que ce mot de passe, EST personnel. elle est pas là pour faire joli cette option de l'AD

en plus, ca serait pire que tout. le patron pourrait se logguer sous le compte d'un salarié envoyer un mail ou faire qqchose d'illégal et devant un tribunal, les logs montreront que l'employé a fait cette action.

donc ton patron n'a pas à les connaitre et il n'a surtout pas à les exiger. s'il est nul en informatique, il paie des gens qui surveilleront et feront les audits, c'est tout.

[Invité]

Bonjour,

Sur l'accès aux mails, tu peux regarder la fiche qui se trouve sur le site de la CNIL.

http://www.cnil.fr/fileadmin/documen...ideTravail.pdf

A priori, tout mail écrit du poste de travail est réputé "professionnel", sauf mention explicite du contraire. En ce sens, l'employeur a le droit de les consulter (comme c'est professionnel, cela ne porte pas atteinte à la vie privée du salarié). Il peut également en restreindre l'utilisation, par exemple en interdisant l'usage du mail à des fins personnelles.

Sur l'accès aux postes, je ne crois pas que tu puisses refuser de donner à ton employeur l'accès à ton poste de travail professionnel. Cela peut être justifié par les 'nécessités du service' (accéder aux dossiers de tel ou tel en cas d'urgence). On peut le voir comme indélicat (et encore...), mais ce n'est pas illégitime.

En tant que DSI (de facto), tu es censé faciliter la tâche de ta direction. Je ne vois pas très bien comment tu vas motiver ton refus... Tu peux bien sûr proposer une autre solution, expliquer l'effet désagréable sur la motivation des équipes, et le fait qu'il faut au minimum (cf CNIL) prévenir les salariés de toute mesure de surveillance particulière (mais je ne suis même pas certain qu'il s'agit d'une obligation dans ce cas précis: tu n'établis pas de fichier, ni d'enregistrement), mais t'y opposer?

(et le lui refuser au motif qu'il pourrait mal agir, ca s'appelle un procès d'intention, et c'est pas bien...)

Francois

[Louis-Guillaume Morand]

il y a une différence entre accéder à ton poste de travail et connaitre ton mot de passe!

[Invité]

il y a une différence entre accéder à ton poste de travail et connaitre ton mot de passe!

Dans un environnement professionnel, je ne suis pas sûr de voir laquelle. L'enjeu de l'accès à ton poste de travail, c'est d'avoir accès à tous tes dossiers, autant que possible dans la même configuration que la tienne.

Donc, à moins de mettre en place un système compliqué de gestion des "infos personnelles", auquel l'employeur n'aurait pas accès, avec le risque que ca devienne une procédure de contournement de cet accès à ton poste de travail, je ne suis pas certain de comprendre la différence en pratique...

Francois

[andlio]

Merci pour le lien, je l'ai juste parcouru mais je pense qu'il me sera utile.

Je lis ça et je pense que je reviendrai vers rapidement pour une autre série de questions ;-)

[Invité]

Les deux problèmes que je vois, (outre l'aspect légal où je ne suis pas compétent) c'est de :
1) tenir à jour une liste des mots de passe et de faire comprendre à la personne de ne pas la punaiser sur un mur.
2) la personne qui détient cette liste doit être responsable et techniquement compétent pour ne pas faire de dégât sur les postes.

Perso, mon mot de passe est du genre de mon pseudo et c'est un bel outil de dissuasion...

[Louis-Guillaume Morand]

Dans un environnement professionnel, je ne suis pas sûr de voir laquelle. L'enjeu de l'accès à ton poste de travail, c'est d'avoir accès à tous tes dossiers, autant que possible dans la même configuration que la tienne.

Donc, à moins de mettre en place un système compliqué de gestion des "infos personnelles", auquel l'employeur n'aurait pas accès, avec le risque que ca devienne une procédure de contournement de cet accès à ton poste de travail, je ne suis pas certain de comprendre la différence en pratique...

Francois

je le repète, le mot de passe est une donnée PERSONNELLE. le mot de passe de l'utilisateur doit toujours être stockée de façon cryptée et personne n'est censée y avoir accès. Le développeur ou l'admin qui ne fait pas cela est en tord, c'est non professionnel et intrusif.

En entreprise, un admin a TOUS les droits sur le poste de travail, la config, le registre, les dossiers. Combien même bien tu cryptes un dossier, meme en utilisent EFS (le système de cryptage ultra sécure et non decryptable), un admin réseau peut à l'avance définir un agent de recouvrement qui pourra le décrypter. bref, un admin système a déjà TOUTES LES CLES pour obtenir à n'importe quelle information du poste de travail.


la seule et j'ai bien dit la seule obligation (légale cette fois), qui peut forcer l'utilisateur à fournir son mot de passe à l'entreprise, c'est dans le cas où ce mot de passe est le seul moyen de continuer l'activité de l'entreprise (genre mot de passe d'un site Web, ou d'un logiciel ou d'un compte admin reseau). y a une jurisprudence (société union mutuelle ou un truc du genre) pour ce cas qui d'ailleurs précise de mémoire que si les admins réseaux peuvent récupérer ce mot de passe ou le remplacer sans l'action de l'utilisateur, alors l'utilisateur n'a pas l'obligation de communiquer son ancien mot de passe.

[Invité]

NB. Louis-Guillaume, ne prend surtout pas ces commentaires pour des critiques... Je suis très intéressé par ce que tu dis.

bref, un admin système a déjà TOUTES LES CLES pour obtenir à n'importe quelle information du poste de travail.

Je dois me tromper, mais j'ai l'impression que tu suggères que la meilleure solution serait de donner au patron, ou la DRH, pas informaticiens, des droits administrateurs sur les postes?

Le remède me parait pire que le mal...

la seule et j'ai bien dit la seule obligation (légale cette fois), qui peut forcer l'utilisateur à fournir son mot de passe à l'entreprise, c'est dans le cas où ce mot de passe est le seul moyen de continuer l'activité de l'entreprise (genre mot de passe d'un site Web, ou d'un logiciel ou d'un compte admin reseau).

Là j'ai deux problèmes...

1- quid des mots de passe "non utilisateurs"? Dans les petites entreprises, la distinction n'est pas toujours claire entre "la machine de Francois", et "le poste calcul numérique au second". C'est parfois encore pire quand on parle de "postes stagiaires" ou de "libre service".
2- la force majeure (continuation de l'activité de l'entreprise) ne peut elle pas s'appliquer dans un grand nombre de cas? Une fois de plus, on est ici dans une PME où une personne unique gère l'informatique. A moins de la doubler par un incompétent à qui on donnera des droit admin (mauvaise idée...) on risque de se retrouver souvent (tiens lundi prochain par exemple) dans une situation ou l'informaticien n'est pas joignable, le salarié en vacances... Et un client énooorme qui menace de te planter...

Francois

[nathieb]

Bonjour,

Effectivement, un mot de passe est personnel, un répertoire, un mail identifié personnel ou privée doivent être respecté, mais cela n'enlève pas la possibilité d'accès de la hiérarchie au poste.
La meilleure solution est de figer les mots de passe par l'admin, car ils ne sont donc plus personnel. Après, on se doit de respecter la vie privée. ( chimère humaine)
mais dans toute politique de sécurité, le plus important est de prévenir les personnes sur les accès possibles.

http://www.cnil.fr/fileadmin/documen...ideTravail.pdf

Olivier

[Louis-Guillaume Morand]

NB. Louis-Guillaume, ne prend surtout pas ces commentaires pour des critiques... Je suis très intéressé par ce que tu dis.

no soucy. j'ai le verbe acerbe mais c'est un défaut de ma part. t'inquiète, je ne prends jamais rien mal

Je dois me tromper, mais j'ai l'impression que tu suggères que la meilleure solution serait de donner au patron, ou la DRH, pas informaticiens, des droits administrateurs sur les postes?

Le remède me parait pire que le mal...

non, je suggère que si le patron a à un moment besoin donné de faire une enquête, alors il peut demander à l'admin de l'assister pour aller vérifier ces choses sur les postes utilisateurs

1- quid des mots de passe "non utilisateurs"? Dans les petites entreprises, la distinction n'est pas toujours claire entre "la machine de Francois", et "le poste calcul numérique au second". C'est parfois encore pire quand on parle de "postes stagiaires" ou de "libre service".

c'est pour cela qu'il existe des comptes dit d'application ou de service. un compte dédié à l'admin d'un serveur par exemple.
y a pas de distinction à faire si c'est bien fait. on a des comptes utilisateurs et nominatifs (et donc persos) et des comptes de services. et si c'est mal fait, bah faut corriger

2- la force majeure (continuation de l'activité de l'entreprise) ne peut elle pas s'appliquer dans un grand nombre de cas? Une fois de plus, on est ici dans une PME où une personne unique gère l'informatique. A moins de la doubler par un incompétent à qui on donnera des droit admin (mauvaise idée...) on risque de se retrouver souvent (tiens lundi prochain par exemple) dans une situation ou l'informaticien n'est pas joignable, le salarié en vacances... Et un client énooorme qui menace de te planter...

ca c'est la faute des gens qui font le pont les gros vilains!!!

ensuite, nonle nombre de cas n'est pas si grand, parce que meme si c'est une PME, la jurisprudence parle bien du cas où ca empeche l'activité de l'entreprise et des ponts, y en a tout le temps, tout comme des congés, et les entreprises survivent. donc pour moi, la réponse au posteur du thread,

Peux-t-il nous obliger à lui donner nos mots de passes de session ?

non il peut pas. sauf si ce mot de passe est le SEUL moyen de faire une action particulière.

A-t-il le droit de consulter les emails des salariés sans les avertir ?

oui mais je pense que s'il veut pas de soucis, il doit les prévenir qu'il se réserve le droit de le faire.

Le fait qu'il ait le mot de passe de l'administrateur du domaine suffit-il pour qu'il ait la maîtrise du parc ? Ou faut-il, comme il le prétend, qu'il soit autonome ?

un admin système dans un parc informatique windows peut TOUT faire! Après, c'est son délire perso de vouloir être autonome mais son entreprise n'est pas lui et inversement, donc il ne pourra jamais rien exiger en ce sens.

[Invité]

non, je suggère que si le patron a à un moment besoin donné de faire une enquête, alors il peut demander à l'admin de l'assister pour aller vérifier ces choses sur les postes utilisateurs

Je crois que le problème n'est pas là... Si quelque chose survient qui demande enquête (une malversation, par exemple), on dispose d'un arsenal assez complet. On peut saisir des postes, faire des mises à pied conservatoire.

La question, me semble-t-il, c'est de pouvoir "garder la main" sur l'activité, dans un contexte de petite (voire très petite) entreprise. Cela veut dire pouvoir régler un problème le week-end, un soir quand tout le monde est parti, ou contourner un salarié qui a une vision un peu maladive de la sécurité de son poste de travail (c'est à dire qui n'aura aucun complexe à enfermer à clef une donnée importante de l'entreprise, afin de protéger sa dernière correspondance avec EDF...).

On peut bien sur se dire qu'avec une autre organisation informatique, un réseau, un DSI, des sauvegardes, des procédures, etc... Tout fonctionnerait mieux. C'est certain... Mais alors on ne serait plus dans une très petite entreprise...

le nombre de cas n'est pas si grand, parce que meme si c'est une PME, la jurisprudence parle bien du cas où ca empeche l'activité de l'entreprise et des ponts, y en a tout le temps, tout comme des congés, et les entreprises survivent.

N'est ce pas justement parce que dans toutes les petites entreprises (et pas mal de grosses) les mots de passe utilisateurs sont généralement accessibles aux patrons (ou collègues)? J'ai connu des grandes entreprises où les logins/pw étaient sur des post it collés sur les écrans (avec la bénédiction tacite de l'informatique, qui s'évitait ainsi de se faire déranger à pas d'heure quand une urgence arrivait, c'est à dire, dans une grosse structure, à peu près tout le temps).

son entreprise n'est pas lui et inversement

Ce n'est pas exact dans une toute petite entreprise, où le patron a généralement mis ses sous dans l'affaire, n'a pas de chomage si ca se plante, et est parfois personnellement responsable d'une partie des pertes...

La façon dont ces toutes petites structures fonctionnent (et la motivation de leurs dirigeants) est très différente de celle des cadres salariés de grandes enterprises. Malheureusement, ce type d'organisation est assez mal connu des prestataires informatiques (qui souvent travaillent dans des grands groupes), comme des politiques d'ailleurs...

Francois

[ManusDei]

Je dois me tromper, mais j'ai l'impression que tu suggères que la meilleure solution serait de donner au patron, ou la DRH, pas informaticiens, des droits administrateurs sur les postes?

Le remède me parait pire que le mal...

Ou tu ne leur donne pas les droits, mais tu crées un compte particulier pour ça (pour chacun d'eux).
Obligation de se déconnecter/reconnecter pour y accéder, donc ça devrait éviter pas mal de soucis (c'est chiant à faire, ils le feront pas souvent). En plus, avec les logs il sera possible en cas de pépin de savoir qui a fait une boulette.

Autre possibilité, peux-tu leur donner des droits de lecture, mais pas d'écriture ? Comme çà ils ont accès à tout, mais ne peuvent rien casser.

[David_g]

Dans tout les cas, débrouille toi pour avoir une demande écrite ou une correspondance mail pour te couvrir en cas de problème futur.

Cela évitera que s'il y a un problème, cela retombe sur l'admin qui est le "seul" à avoir les mots de passe.
"Ha mais non moi j'y connais rien en informatique, ça doit être l'admin système qui regardait les mails de ses camarades"

[gangsoleil]

Bonjour,

Pour ajouter mon grain de sel :

Le mot de passe est personnel, et ne dois pas être communique a un tiers, quel qu'il soit. Par ailleurs, la recommandation est que le mot de passe soit suffisamment complexe, et changé régulièrement.
Le PDG doit cependant pouvoir accéder au contenu d'un ordinateur appartenant a la société, mais ça ne veut pas dire qu'il doit pouvoir le faire seul. Comme dit précédemment, cela demande des compétences d'administration dont dispose, par exemple, l'administrateur.
Si le PDG sent le besoin, un jour ferie a 4h du matin, de se plonger dans l'une des machines, on peut se demander quel est le besoin, et s'il va bien, ou non, respecter la vie privee du salarie. En ca, le fait d'etre assiste d'un temoin lors de ses recherches ne pourra qu'etre benefique au PDG, qui montrera ainsi sa bonne foi.

En resume : Oui, le PDG a des droits, mais le salarie aussi. Et pour les cas de force majeurs (douannes par exemple), je suis certain que le fait de reveiller l'administrateur systeme pour avoir le mot de passe root pour le communiquer a un expert informatique ne sera pas un soucis.

[jack_x4]

Donc en réalité :

il peux te demander d'ouvrir ta session si le PC t a été fourni par l'entreprise.
Il peux te demander de lui remettre ton agenda si celui ci t a été fourni par l'entreprise.
Il peux te demander d'ouvrir tes armoires.
il peux aussi de faire ouvrir ton véhicule si celui ci t a été fourni par l'entreprise.

en réalité il à open bar sur le matériel de l'entreprise.

[andlio]

Je suis plutôt d'accord avec toi gangsoleil. C'est d'ailleurs ce que j'ai essayé d'expliquer, mais ce n'est pas évident à faire comprendre.

Je me mets de son point de vu, et je comprends qu'il veuille se protéger. En même temps je ne pense pas que cela doit se faire au détriment du salarié, ni mettre en péril la relation de confiance patron/salarié.

Bref, on a pas fini d'en discuter avant de trouver une solution satisfaisante.

Voilà ce qui est prévu pour le moment :

• Décrire la procédure de partage de boîte exchange.
• Stocker la procédure dans l'espace réservé à l'informatique. Le PDG y a accès, ainsi qu'à toutes les autres espaces (normal d'après moi)
• Modifier la charte informatique pour prévenir les salariés que le PDG se réserve le droit de consulter les boîtes de messageries des collaborateurs (hors "privée" blablabla).

En parallèle, je vais demander une réunion avec le PDG et l'avocat de la société. Notamment pour décrypter cette phrase (extrait du GUIDE
POUR LES EMPLOYEURS ET LES SALARIÉS de la CNIL) :

Les mots de passe constituent des mesures de sécurité visant à protéger les données figurant dans les postes informatiques par les salariés. Ils doivent être fréquemment modifiés et ne peuvent être portés à la connaissance de tiers que dans certaines conditions bien particulières.

[Isythiel]

Un article qui peut vous intéresser, en rapport avec le sujet :

http://www.lepoint.fr/high-tech-inte...1412789_47.php