Dans mon service informatique d'une petite PME familiale, la direction a demandé a un stagiaire (sans en parler aux vrais responsables SI) de lui filer login/mdp d'un salarié avec lequel il y a un. au minimum une négociation, au pire un contentieux.  
Ceci en cahcette, saud que le salarié en question a trouvé le post-it sur son bureau un matin (et fait identifié l'ecriture par la copine du stagiaire) ...
La seule explication qu'on ( moi en tant que resp du service, et le maitre de stage) a eu c'est qu'on (la direction générale) lui a demandé de vérifier que tous les pcs étaient accessibles - et on y croit pas trop - mais j'ai pas trop envie de mettre le stagiaire (contrat pro en fait, on parle pas d'un stage de 15 jours) en porte a faux, sa situation est pas facile.
Effectivement, y a eu des turbulences graves dans l'entreprise y a un an, et sur cet occasion  on a demandé au SI de garder la liste de tous les mots de passe Windows.
Du coup, mes questions :
- est ce qu'un responsable SI peut être incriminé si un mot de passe est communiqué à la direction (la CNIL dit bien que les mots de passes sont des données personnelles).
- est ce qu'un responsable SI doit toujours donnér un mdp a sa direction (sans aucune justification de la part de celle-ci, on n'est pas dans le cas du salarié en vacace, la l'accès s'est fait en cachette, en dehors des heures de bureau..)
- est ce qu'on a pas juste merdé en acceptant la demande initiale d'avoir une liste de tous les mots de passe ? Mais bon sur le coup, la situation était particulière - j'etais pas responsable, et  maintenant, ca va être compliqué de revenir en arrière).
 
Pour info, ma direction ne m'a pas du tout communiqué avec moi après coup sur le sujet - alors qu'ils savent qu'on sait...

C'est sûr que la liste de tous les mots de passe n'est pas forcément la meilleure idée.
Pourquoi ne pas demander aux utiliser de tous modifier leur mot de passe pour ne plus être confronté à ce genre de problème ?

On va sans doute faire cela, même si je crains que cela veuilel dire qu'on nous demande ensuite de filer les droits admin a un membre de la direction pour que celui puisse les réinitialiser pour y acceder. Et puis, y a la question "humaine" : quelque part si on "s'auto-cache" les mots de passe, c'est contredire la demande de la direction d'il y a 12 mois...
 
Mais bon, c'est plutot les implications legales qui m'intriguent la. Est ce que j'ai le droit de refuser de donner un mdp  (hors d'une justification-validé-par-la-cnil)? Et est ce que si je le donne, ou si je ne protége pas suffisamment la lsite, le salarié peut il m'assigner en justice ? (je caricature la).

A mon avis cette liste n'est pas légale.
L'employeur a le droit d’accéder à la machine de l'employé si cela est indispensable au fonctionnement de l'entreprise.
Il peut accéder aux mails pro mais pas à ceux qui sont indiqués comme perso.

Hello,
 
Je ne suis pas expert mais : si ta direction nie le fait d'avoir demandé l'accès au poste, c'est ton service qui est incriminé.
Il te faut une trace écrite d'une telle demande, pour vous couvrir.
 
Pour moi la liste de mot de passe utilisateur c'est pas légale.
 
Si ça peut te donner une piste de réflexion, nous on fonctionne de la sorte. On ne connait aucun mot de passe, et on accepte de donné l'accès au compte seulement après une validation écrite soit de l'employé en question, soit de la DRH.

Pourquoi ta direction veut accéder aux sessions/PCs des salariés ?
Que veulent-ils contrôler ?

Personnellement, je trouve cette demande de la direction un peu.....(très) pas top. Je ne suis pas légiste, mais je dirais même illégale. Les mots de passes utilisés par tes users pouvant être ceux de leur compte perso, n° de CB, etc, etc, ils sont strictement personnels.  
- Réinitialiser un mdp, ça, c'est possible. Du coup, obligatoirement, l'utilisateur est au courant.
- en cas de contentieux sérieux (comme on a déjà eu chez nous) on bloque tous les accès. (VPN, messagerie, réseau) sur demande écrite de la RH, qui a bien sur suivi les procédures légales au préalable. (ou en tout cas identifié un problème grave nécéssitant l'isolation pouvant être soutenu lors de procédure prudhomme, etc) Voir même sur commission judiciaire. Mais jamais sans un écrit. (jamais)
- un user donne son mdp à ses collègues, c'est de sa responsabilité.
- En aucun cas on ne doit conserver un fichier de mdp user. Ou alors, il est blindé. (déclaré, sécurisé,  utilisateur averti, signature de charte claire sur le sujet, etc) si vous en conservé un en clair (excel, etc) et que vous transmettez les données à la direction sans que l'utilisateur en soit conscient........c'est pas bon.
 
En gros, donner en cachette un mdp d'un user à la direction sur demande orale......ça peut générer des emmerdes de ton côté. La cnil n'a rien à décider ni à autoriser. Il est de ton devoir de refuser de donner un mdp à la direction (mais de leur expliquer que tu peux le reseter) Si ils ne sont pas capable de le comprendre, il te faut assurer tes arrières.......la législation est un peu plus souple que par un temps pour les employeurs, mais on est très très loin des pleins pouvoirs.... il faut au plus tôt rétablir une situation normale sur cette politique, sans quoi, c'est sur ta tête que les ennuis peuvent tomber....

Y a un an, que les des employés en partance ou en désaccord ne "trahissent" pas la boite, en sortant des informations, ou en faisant de la rétention de documents qui seraient sur leur poste. Le discours officiel était d'assurer la continuité de travail quand sur quatre mois on a perdu 20% des gens sur départ volontaire...
Dans ce cas présent, il est possible qu'ils cherchaient des choses compromettantes (le gars en question étant graphiste et faisant parfois des photomontages a distribution très limitée .. )  
 
Effectivement, je devrais mettre les points sur les I avec la direction, mais j'aimerai bien avoir une excuse légale pour lancer une discussion qui va être mal reçue par mon interlocuteur... le souci des petites PME, c'est qu'on est tous soit-disant amis...
 

Mais en quoi a t'on techniquement besoin d'ouvrir la session d'un user pour accéder aux données sur son profil ?
On peut y accéder via réseau avec un compte membre du groupe admin local.

Oui, nous on sait ça, mais pas la direction, ni le contrat pro apparemment

De mon avis (je ne suis pas juriste) la demande me parait tout à fait illégale. Pour moi tu ne peux pas accéder aux documents/mails relatifs à la session d'un utilisateur sans décision de justice. Tout le personnel ayant des droits administrateurs sur un domaine d'entreprise se doit de signer une charte de confidentialité / non divulgation d'informations, je ne vois pas en quoi cela ne s'appliquerait pas à la direction...

 
Je pense que tu devrais par écrit :
 
1. l'indiquer à ta direction et leur faire valoir que leur méthode actuelle pourrait être très mal perçue lors d'un contentieux aux Prud'hommes.
2. obliger les users à changer leurs MDP et leur indiquer de ne pas le divulguer à quiconque; que ce n'est pas utile techniquement même en cas d'absence ou d'impératif quelconque.
3. Se rapprocher d'un juriste pour créer une Charte Informatique.

 
Bien sur que si.
 
La seule chose à laquelle on n'a pas le droit d’accéder sont les documents explicitement marqués comme personnels. Tout le reste appartient à l'entreprise.
 
Le seul et unique point de débat ici est le stockage des mots de passe, qui effectivement devrait plutôt rentrer dans la catégorie "donnée personnelles", mais le reste de l'ordi et de son contenu appartient à l'employeur.
 
https://www.cnil.fr/fr/peut-acceder [...] vacances-0
https://www.village-justice.com/art [...] 18746.html

De toute façon, la limite entre privé / pro est éternellement soumise à interprétation...... je crois qu'on a déjà quelques posts qui trainent sur ce point
 
L'accès aux données est de toute façon possible via reset de mdp, ou accès admin local. Là, le cas est particulier....les mots de passe sont ils perso (choisi par le user) ? Attribués d'office par le SI et non modifiables ? (ou là, les user sont bien au courant que le SI les a... ) y a t'il une charte quelque part sur l'utilisation du matériel ?  
 
la cnil est assez claire sur le sujet , et je t'invite à lire un peu leurs prérogatives => https://www.cnil.fr/sites/default/f [...] privee.pdf  à partir de la page 7 pour l'info, ça permet de voir déjà si vous êtes conformes niveau déclarations (mais le reste peut aussi être intéressant ).
 
Pour le cas des mdp  
=>  
La communication des mots de passe :
Les identifiants et mots de passe (session Windows, mes-
sagerie...) sont confidentiels et ne doivent pas être transmis  
à l’employeur. Toutefois, si un employé absent détient sur  
son poste des informations indispensables à la poursuite  
de l’activité, son employeur peut exiger la communication  
de ses codes si l’administrateur réseau n’est pas en mesure  
de fournir l’accès au poste.  
 
Faut juste prouver que les données étaient essentielles au fonctionnement de la boite, que le gars était "absent" (interprète ça...vacances ? 1h ? 3 jours ?) et que l'admin ne pouvait pas reseter un mdp.....
 
 

Y a quand même un aspect que je retrouve jamais sur le net : ici, quelqu'un ouvre ma session windows, il lance mon chrome, et hop, mon gmail perso accessible !
En dehors du fait que je peux m'en prémunir facilement, ca reste un souci. (et je ne parle pas des gens qui ne savent pas gerer leur cookies/connexions aux sites qu'ils consultent de leur travail)

 
Pas compris. Si on ouvre une session, oui on y retrouve ce qui y est enregistré.
Voilà pourquoi on indique que seul l'utilisateur doit accéder à sa session et qu'à travers une Charte il faut l'informer de ses droits/devoirs et que techniquement les matériels/réseaux de l'entreprise peuvent collecter des données de manière automatisée ou manuelle.
Ainsi, l'user qui veut un haut degré de confidentialité pour ses données persos, il évite juste d'utiliser l'informatique de l'entreprise.
A l'heure des tablettes/smartphones/4g 50Go , ce n'est pas difficile.

 
C'est ton problème à toi.
 
Si tu utilises l'ordi pro à des fins persos, tu ne peux t'en prendre qu'à toi.
 
J'ai le même problème avec des utilisateurs ici, ils confondent le fait que la loi les autorise à le faire, avec le fait que l'entreprise devrait mettre en place, gerer et supporter l'utilisation à usage personnel. Ce sont pourtant deux choses parfaitement différentes.

Attend, j'ai demandé aucun support de mon entreprise pour consulter mes emails persos sur mon ordi pro, et ensuite,  c'est légal. (il est même interdit d'interdire l'envoi d'emails perso pendant les heures de boulot : https://www.cadremploi.fr/editorial [...] -vous.html )
J'en reviens surtout a mon contexte initial : si en tant que RSI, je donne un mot de passe de session d'un utilisateur a un tiers autre, et que ce tiers en profite pour lire un gmail perso, par exemple, est ce que je suis incriminable ?
(concrètement, j'ai pas peur d'etre incriminé par le gars espionné, je cherche surtout une argumentation pour expliquer a ma direction qu'il  faut arrêter de garder une copie des mdp).

 
Ne pas tout confondre.
Il est interdt d'interdire l'envoi de mails persos avec ce qui est mis à disposition pour le boulot.
 
Pour être dans le concret : Si dans ta boite vous utilisez outlook connecté a exchange pour les mails, oui, effectivement, on n'a pas le droit de t'interdire de l'utiliser pour envoyer et recevoir des mails perso.
 
Par contre si on veut interdire gmail, on peut. La loi ne peut pas forcer l'entreprise a rendre disponible gmail, hotmail, facebook et je ne sais quoi.
 
C'est toute la différence entre avoir le droit d'utiliser l'ordi du boulot, et demander à ce que l'entreprise supporte activement l'usage perso.  
C'est exactement ce dont je parle quand je parle de supporter l'utilisation à usage perso. Tu as le droit d'utiliser ce qui est en place (le logiciel de mail etc), mais pas du tout d'exiger plus que ce qui est en place au boulot, pour ton usage perso.
 
Je sais pas si j'arrive à être clair.
 
C'est pareil pour le navigateur et gmail. Si vous avez le droit d'installer chrome et d'aller sur gmail, c'est très bien, mais tu ne peux pas attendre de la boite qu'elle mette quoi que ce soit en place pour proteger cet usage, les données à l'interieur du navigateur etc.
 
Edit : Ou un autre exemple, peut-être plus clair :  
Si ton téléphone de bureau communique avec l'exterieur, tu as le droit de l'utiliser pour passer des appels persos (usage raisonnable toussa), ça aussi c'est dans la loi.
Si ton téléphone de bureau est un téléphone interne uniquement, qui ne peut passer que des appels internes, tu ne peux pas exiger qu'on le fasse communiquer avec l’extérieur afin de pouvoir passer des appels persos.
 
C'est toute la différence entre avoir de droit d'utiliser ce qui est fourni par l'entreprise et demander à l'entreprise de supporter/mettre en place activement l'usage perso.
La loi ne dit pas l'employé doit pouvoir utiliser le matos mis à disposition pour l'usage perso, mais l'employé a le droit d'utiliser pour un usage perso. Ce qui est extrêmement différent.
 
 
J'espère que c'est plus clair avec le téléphone.
 

 
Si le tiers est un superieur à cette personne, non.
Si cette personne va voir les machins persos de l'autre personne, c'est sa responsabilité à elle.

 
Déjà répondu : garder les MDP est techniquement sans intérêt et à fort potentiel d'être considéré comme abusif.
Donc tu indiques par écrit cela et si tu veux tu peux rajouter que tu ne tiens pas à gérer cette liste et que tu laisses ta direction la prendre en charge.

Il faut faire une charte informatique.
La charte informatique est connue par tout le monde.
Les mots de passe sont strictement confidentiels sur un point de vue éthique, moral, sécurité, ...  
 
En revanche, il ne faut pas non plus pénaliser l'entreprise.
Le responsable de service IT ou SI et les administrateurs ont le droit de réinitialiser le mot de passe...  
 
Les administrateurs dans ma charte informatique ont tout les droits d'accéder aux contenus pour des raisons de maintenance mais avec une reglementation imposé par la cnil.
 
Tout document personnel ne doit pas être traité (c'est à dire lu, copié,détruit ...) mais pour cela il faut identifié clairement un document personnel par l'utilisateur. Cela peut être un dossier qui s'appelle privé, personnel, confidentiel...
 
Une boîte aux lettres peut être lu sauf si les mails ont dans leur objet : [privé, personnel, perso , ...
 
Ensuite, tu peux avoir le cas où l'utlisateur est absent mais que tu as besoin d'un dossier sur son profil :  
1) si tu n'as pas de pb avec la personne, un coup de fil est la meilleur solution.
2) en tant que RSI + ta charte info, tu as le droit de récupérer les documents... On ne peut pas non plus bloqué l'activité d'une entreprise sous le pretexte qu'une personne est absente et que ses données sont stockées sur son profil.
 
 

Je ne comprend pas pourquoi tu bloque sur cette notion de support d'usage : j'ai jamais exigé a avoir Facebook quand c'etait bloqué au niveau parefeu .. ni que la boite rajoute une securité biométrique pour s'assurer que seul moi utilise mon facebook sur mon pc du boulot.
Ma question est : mon compte FB personnel est  il protégé de mon supérieur quand je l'utilise sur un ordinateur du travail.
 
De la même facon que l 'est un dossier marqué "Personnel".

Alors, juste : privé et personnel, ok, mais "Confidentiel", a mon avis, non. Vu  
"Si vous stockez des documents personnels, rangez-les dans un répertoire ou un dossier intitulé  "Personnel" ou "Privé". L'intitulé "Mes documents", vos initiales ou votre prénom ne suffisent pas à lui donner un caractère personnel."
Confidentiel indique en rien pour qui c'est confidentiel, par rapport a privé ou personnel
 
La charte info, on y reflechit la en effet.

 
Ici c'est un forum de techos/admins principalement. Donc la réponse va être claire : non ce n'est pas protégé.
Donc si tu as une quelconque crainte, tu n'utilises pas Facebook sur ton ordinateur pro.

Ah les gens sont vraiment accros à Facebook. Mais comment faisions-nous avant?
 
J'ai vu des collègues qui ouvraient leur facebook avant d’ouvrir leur boite mail pro. Et qui laisse l'onglet "facebook" ouvert. Au cas où Tata Augustine annoncerait qu'elle a été pissé 7 fois dans la matinée    
 
Il faut savoir faire la part des choses Boulot / Loisirs

Avant, on telephonait des heures a ses copains par le tel du bureau.
 
Mais bon, j'ai juste cité Facebook pour un exemple simple. J'ai aussi un bout de mon dropbox perso , parceque on me donne ici a la main mon bulletin de salaire, et je le scanne de suite et le range dedans
(svp pas de débat sur la NSA)

Mais bon ça prend un tour bizarre ce topic.
C'est pas toi le chef du SI ?
 
Et puis on discute dans le vide ou il reste une question technique ?

C'est moi le chef du SI, et au final, ca m'ennuie que la direction passe derriere mon dos
C'est effectivement pas technique, mais comme j'ai posé la question dans le sous forum "Management du SI" , je pense pas que ca soit HS...
 
Mais on a sans doute fait le tour.

Il peut s'agir de mails auprès des fournisseurs aussi  
 
Après moi ce qui me dérange (pas lu tout le topic) c'est au début le "un salarié avec lequel il y a un. au minimum une négociation, au pire un contentieux."
S'il y a contentieux entre la direction et l'employé, et que la direction cherche des preuves pour incriminer ou discréditer l'employé, là ça se retourne directement sur le dos de la direction.
Idem, l'employé peut en faire part auprès de la juridiction gérant ce contentieux. S'il s'agit par exemple de travaux effectués (du genre graphisme ou programmation) mais non payé, présents sur l'ordinateur de l'entreprise, oui les données appartiennent à l'entreprise mais n'a pas le droit de les utiliser car non acheté car il s'agit d'un bien qui appartient jusqu'à paiement à son auteur.
S'il s'agit de contacts auprès de fournisseurs, là c'est différent car il s'agit d'heures de travail, il s'agit d'un service.
 
L'alternant ne craint rien, mais en tant que tuteur j'espère que tu as contacté l'organisme de formation (avec copie auprès de la direction) pour leur signaler le problème. Ton alternant il n'y est pour rien, il s'est fait piéger.

Je fais parti de groupes FB qui font tourner des infos internes plus rapidement et plus efficacement que les mails ou le téléphone entre services  
On utilise aussi Yammer pour faire tourner les infos internes de manière bien plus efficace et en zappant certaines couches/personnes (plus récalcitrantes au partage d'infos) afin de savoir ce qu'il se passe.
 
Quand tu as un train en retard à Bordeaux car il y a un problème informatique, qu'à Lyon personne n'est au courant alors que c'est de leur fait mais qu'il faut passer par 4 personnes par mail ou par téléphone pour avoir l'administrateur qui va appuyer sur le bouton pour faire tout repartir à 500km de là, on remercie Yammer. Quand on a des contrôleurs qui repèrent des personnes qui se cachent pour ne pas payer d'un train à un autre, la SUGE remercie Facebook pour pouvoir les chopper à l'arrivée.
Et on utilise du Twitter pour faire passer des alarmes et des stats en temps réel par du bot.

 
Hello !
 
Je trouve ça fou qu'on en arrive à contourner le circuit interne de l'information via des groupes facebook (à moins que ce soit clairement la politique de la boite, auquel cas ça me semble encore pire). Je te jette pas la pierre loin de la, j'ai bien compris que le but est de faire ton boulot correctement.

J'aime bien les "je ne suis pas juriste... mais je vais quand même te donner mon avis"
On ne sais pas, on ne dit rien.

La CNIL n'a rien à voir la dedans.
Si plainte il y a, ce sera au tribunal.

J'ai été confronté à un problème similaire, un client (mutinationale) souhaitais copier les données PC de certains utilisateurs et récupérer les backups.

Devant la pression du client, car je refusais de le faire, j'ai demandé conseil aux juristes de ma boite qui m'ont interdit de faire ça.
MAIS, car il y a un mais... la direction peut avoir accès aux données sous certaines conditions.

La direction à du prévenir les utilisateurs, via le comité d'entreprise.
Une fois la déclaration d'intention officielle, la copie a pu se faire, via un tiers, sachant que les données personnelles ne peuvent être utilisées (et normalement consultées).

Donc un employeur peut consulter les données d'un employé, mais doit respecter des procédures bien définies.
Si la loi n'est pas respecter, l'employeur, mais aussi les employés cadres ayant participer à l'opération, s'exposent à des poursuites judiciaires.

La manière dont s'est fait la chose est illégale et risquée juridiquement pour la boite.

http://www.numerama.com/politique/ [...] prise.html