Salut !
 
J'ai une demande de la direction, exigeant l'accès total aux dossiers de tous les services sur le serveur de fichiers (dossiers accessibles seulement par le service propriétaire du dossier).
Cette demande me gênant terriblement, et au lieu d'agir bêtement en faisant le mouton, je cherche à savoir si "légalement" ils peuvent (dans leur droit) (légalement ou autre...).
De mon côté, malgré leur importance dans la société, il est pour moi hors de questions qu'ils accèdent aux informations concernant l'infra informatique.
 
Quel est votre avis ? L'un d'entre vous a déjà rencontré ce genre de demandes ?
 
D'avance, un grand merci !

Nous avons le cas chez nous et la Direction (actionnaires) ont accès à tout, à leur demande insistante. Après tout la société leur appartient :-)
 
Par contre, il faut bien les mettre en garde des risques potentiels d'une telle pratique : perte de données si effacement par erreur, vol/accès à toutes les données de l'entreprise si ils se font voler leur mot de passe,...

Et surtout tu te blindes par écrit sur les risques, et tu ne garantis plus rien en terme de sécurité/mauvaise manip/restauration etc.
Les dossiers personnels c'est une autre chose par contre (à vérifier l'état de la jurisprudence).
PAr contre commence par demander la raison de cette demande, et quel est leur besoin.

Pourquoi ne pas donner accès uniquement en lecture à tout (même aux documents concernants l'infra informatique) ?

Si le PDG veut être au courant de tout dans sa société c'est (je pense) son droit. Je pense pas qu'il puisse justifier une demande lui donnant la possibilité de modifier/supprimer des documents sur lesquels il ne devrait pas intervenir directement. Tu peux justifier ton refus de lui donner l'accès complet en prétextant un risque pour l'intégrité des données (plus il y a de personnes susceptibles de modifier des fichiers, plus il y a de risque d'erreur de manipulation/malveillance etc).

méfiance avec les dossiers perso des utilisateurs

 
 
J'ai du mal à comprendre.
 
La direction veut accéder aux données de la société et tu te demandes quelle est leur légitimité !?

Déjà plusieurs réponses, merci les gars !

Précision, l'entreprise ne lui appartient pas, la demande vient du DG, arrivé il y a quelques mois.

Shongail, effectivement, je tique là dessus. Les données des RH, de notre compta et de la partie info et autres contiennent bcp de données sensibles. Quelque soit son poste, il peut très bien partir avec des données, à la concurrence, etC.
+ le fait que je ne trouve pas normal d'accéder aux données de nos nombreux services, "comme ça".

Au pire tu mets les fichiers sur le share apres les avoir chiffré et zou

Tu demandes confirmation auprès de son supérieur.
Si c'est lui le plus haut, ben tu lui donnes accès en explicitant bien par écrit les tenants et aboutissants de cette ouverture de droit.

Bonjour,  
 
Juste pour info, tout dossier marqué "perso" ou "personnel" sur les éventuels partage de tes utilisateurs ne peuvent etre consulté que par l'utilisateur propriétaire du dossier ou en sa présence (note : un disque dur ou une partition nommé personnel n'est pas considéré comme entrant dans le cadre précédemment cité). source : Cass. soc. 4 juillet 2012 n° 11-12.502 (n° 1831 F-D), Libert c/ Sté Nationale des chemins de fer français
 
Juste pour raisonner tout seul dans mon coin :
Pour l'accès aux documents des différents services, oui cela peut déranger oui certaines infos sont sensibles.  
Mais ces données concernent la société ? Son fonctionnement ? Ont été créé dans le cadre de l'activité de la société ? ... donc elles appartiennent à la société qui appartient à ... la direction non ?
 
Après comme dit dans les messages précédents attention risque de modifications, suppression, ou /et corruptions des données donc couvre toi.
 
En espérant que cela t'aidera
 
Cordialement  

Toutafay!
 
La demande est légitime, mais la question est "est-ce légal"? Si la société emploie un responsable légal (avocat ou autre), la question sera vite tranchée. Attention aussi lors d'un audit, ils demanderont sûrement de justifier cette accès supplémentaire sur ces dossiers (sans compter que dans les petites sociétés... le partage de mot de passe va très très vite...). Ce n'est pas à toi à décider, ne te met pas dans l'embarras pour celà. Si la pression exige l'application directe de ces droits, établis un document "officiel" daté et signé par le responsable, avec l'objet précis de la demande ("accès en lecture seule à...", puis la liste des dossiers)
 
De notre côté nous avons l'habitude de créer un compte ad-hoc pour l'accès total des données (s'il s'agit de domaine\dupont, crée un compte domaine\dupont_admin), plus facile à tracer en cas de soucis. Et lui expliquer qu'il devra se connecter avec ce compte précis lorsqu'il veut consulter des données d'autres services

C'est pas pour dire du mal, mais j'ai déjà eu ce genre de demandes, le DG / PDG qui veut avoir accès à tout... On lui donne et il s'en sert jamais
C'est juste qu'à un instant donné, il a besoin d'une information pis après ils l'utilisent plus et ils oublient même qu'ils ont l'accès...
Pareil que les gens au dessus, je pars du principe que c'est de l'accès "lecture" et argumente qu'il peut tout visualiser, faire des copier s'il a des modifs à faire.

Bonjour,
 
J'ai eu cette demande dans toutes les sociétés par lesquelles je suis passé.
Je l'ai fait, il n'y a jamais eu de problème.
 
Par contre il faut prendre quelques précautions:
- Mettre en place la stratégie AGLDP
- 3 groupes locaux par répertoire partagé, le plus simple: Nompartage_R (lecture seule) / Nompartage_RW (lecture-ecriture) / Nompartage_admin (control total: rien que pour les admin).
Mettre les groupes globaux correspondant aux droits.
Mettre la direction en lecture seule pour commencer (à changer si exigé).
 
Comme le souligne Freedofree, il ne doit pas avoir accès aux repertoires perso.
Il faut donc créer un répertoire spécial (users_perso par ex.), avec en sous répertoire les comptes users, qui se mappe independament des autres.
Avec comme seuls droits à l'utilisateurs (RW) et à l'admin en CT (obligatoire en cas de problème sur le repertoire partagé).
 
En dehors des espaces perso, il est normal que la direction veuille avoir accès aux informations globales de l'entreprise... il faut bien qu'elle puisse gérer la société en connaissance de cause.
Comment ferait elle sans les données comptables, de production, de vente, RH, etc. ?

> Comment ferait elle sans les données comptables, de production, de vente, RH, etc. ?
Chacun son job, elle se tourne vers les services/chefs de service correspondant, on lui mets à dispo des tableaux de bords, des stats, etc.
 
Le sujet est lancé en interne. J'aurai la réponse ce soir normalement.

Qu'on veuille sensibiliser aux besoins réels ou non des demandes, soit.
Qu'on veuille se prémunir à l'écrit des risques pour le système ou juridiques, soit.
Qu'on demande la validation des dirigeants sur certaines demandes, c'est normal.

Mais ce n'est pas à un administrateur info de décider qui a accès aux données de l'entreprise et de s’arroger à lui seul les droits d'accès.

EDIT : c'est même un risque pour l'entreprise.

idem pour moi ...
 
Jey-B > tant qu'il n'y a pas de données persos dans le collimateur comme expliqué, je ne vois pas ce qui empêcherait de donner la permission (au moins) en lecture pour la direction.

 
Finalement, tout a été résumé avec cette phrase  

+1, systématiquement je demande un accord écrit quand il y a une demande de droit d'accès à une ressource que ce soit dossier (R/W) ou imprimante.

Je ne suis pas admin, mais respons info, donc responsable de tout ça.
Au final, il a été décidé (par le président, qui n'était pas au courant), qu'il lui (au DG, pas encore en CDI) était inutile d'avoir accès à tout ça vu tout ce que ça impliquait.

C'est vrai, mais il faussi trouver un équilibre avec des demandes à l'arrache sans expression du besoin (ce qui me semble le cas ici). En cas de pépin le responsable info portera le chapeau.

C'etait peut être l'info la plus importante à donner lorsque tu as poser ta question non?  

non car je ne voulais pas orienter le débat ?

c'est bien le cas.

 
 
Bah on est tous responsables de quelque chose
admin, c'est pas dégradant

Je suis aussi responsable info et le N-1 du DG, donc si le DG me demande de lui donner des accès je me dois de lui donner.
Si un autre directeur me demande la même chose, je ne le fais pas sans l'accord du DG car je ne dépends que de ce dernier.
C'est la hiérarchie, je suis placé comme ça dans l'organigramme et rien dans mon contrat m'indique de ne pas suivre les règles hiérarchiques.

Si le DG est dans le cas que tu cites, tu ne peux lui donner accès aux infos stratégiques sans l'accord de la direction (c'est une question de bon sens quoique légalement je ne sais pas si tu serais en tors de lui donner sans contre ordre... mais là je n'ai pas d'info).

Donc oui, c'est une info primordiale car la DSI n'est pas propriétaire des données de l'entreprise.

Sûr
C'est juste pour indiquer que j'ai bien les responsabilités de la sécurité, protection des données, etc. Le tout en devant prendre du recul, et ne pas simplement exécuter ce qui m'est demandé.

Comme indiqué au dessus, pas proprio, mais responsable de leur "sécurisation".