Rechercher
S'inscrire
  • Accueil
  • Conformité
    • Privacy by designSensibilisationcookiesconsentementcompatible RGPDProcédures. RGPD
  • Métiers
    • télétravailSPSTOffre socleCertification SPSTiCSEexpert comptable
  • Cybersécurité
    • SécuritéSauvegardesCyberattaquephishing ou hameçonnageSIIV
  • Nos ouvrages
  • DPO Externalisé
  • Logiciel RGPD
  • 🇬🇧

RGPD accès à l’ordinateur d’une personne absente, comment faire ?

Conformité RGPD

RGPD accès à l’ordinateur d’une personne absente, comment faire ?

Article rédigé par DPO Partagé

Le

Dans le cadre de la gestion des ressources informatiques au sein d’une organisation, il peut être nécessaire d’accéder aux ressources d’un employé absent. Cependant, cela doit être fait de manière à respecter la confidentialité et la protection des données. Pour cela, une procédure structurée a été mise en place pour l’accès à l’ordinateur d’une personne absente.

La procédure commence par l’identification du besoin d’accéder à la ressource informatique. Si l’accès n’est pas nécessaire, la procédure s’arrête ici. Si l’accès est nécessaire, une demande formelle doit être faite par le responsable hiérarchique ou le responsable du service. Cette demande doit être documentée et justifiée.

La demande est ensuite examinée par le responsable de la sécurité des systèmes d’information (RSSI) ou le délégué à la protection des données (DPO). Ils ont la responsabilité de vérifier la légitimité de la demande.

Si la demande est validée, l’employé concerné est généralement informé de la demande d’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès. L’accès à la ressource informatique peut alors être accordé, tout en respectant la confidentialité des données autant que possible.

Toutes les actions effectuées lors de l’accès à la ressource sont documentées, y compris qui a accédé à la ressource, quand, pourquoi et quelles actions ont été effectuées. Une fois que l’accès n’est plus nécessaire, il est immédiatement fermé et l’employé est informé.

Enfin, un audit est effectué pour vérifier que la procédure a été correctement suivie et que toutes les actions ont été correctement documentées. Cela garantit que l’entreprise respecte ses propres politiques et les lois sur la protection des données.

Logiciel RGPD

Cette procédure permet d’assurer un équilibre entre la nécessité d’accéder aux ressources informatiques pour le fonctionnement de l’entreprise et le respect de la confidentialité et de la protection des données de l’employé.

Exemple de la procédure

Exemple de procédure proposée par DPO partage, Dpo externalisé

  1. Identification du besoin : Cette étape consiste à déterminer si l’accès à la ressource informatique de l’employé absent est absolument nécessaire. Cela pourrait être le cas si l’employé a des informations cruciales pour le fonctionnement de l’entreprise sur son ordinateur ou dans sa messagerie électronique. Si l’accès n’est pas nécessaire, la procédure s’arrête ici pour respecter la vie privée de l’employé.
  2. Demande formelle : Si l’accès est jugé nécessaire, une demande formelle doit être faite. Cette demande doit être faite par une personne ayant l’autorité nécessaire, comme le responsable hiérarchique de l’employé ou le responsable du service. La demande doit être documentée et justifiée, expliquant pourquoi l’accès est nécessaire et quelles informations sont recherchées.
  3. Validation de la demande : La demande est ensuite examinée par le responsable de la sécurité des systèmes d’information (RSSI) ou le délégué à la protection des données (DPO). Ces personnes ont la responsabilité de vérifier la légitimité de la demande, en s’assurant qu’elle est conforme aux politiques de l’entreprise et aux lois sur la protection des données.
  4. Notification à l’employé : Si la demande est validée, l’employé concerné doit être informé de la demande d’accès à sa ressource informatique. Cela permet à l’employé d’être au courant de la situation. Cependant, si informer l’employé pourrait compromettre l’objectif de l’accès (par exemple, dans le cadre d’une enquête sur des activités suspectes), l’employé peut ne pas être informé.
  5. Accès à la ressource : Si la demande est validée et que l’employé a été informé (si cela est approprié), l’accès à la ressource informatique peut être accordé. Cela doit être fait de manière à respecter la confidentialité des données autant que possible. Par exemple, si seul un certain fichier est nécessaire, seul ce fichier devrait être accessible.
  6. Documentation de l’accès : Toutes les actions effectuées lors de l’accès à la ressource doivent être documentées. Cela comprend qui a accédé à la ressource, quand, pourquoi et quelles actions ont été effectuées. Cette documentation est importante pour la transparence et pour assurer que l’accès a été effectué de manière appropriée.
  7. Clôture de l’accès : Une fois que l’accès n’est plus nécessaire, il doit être immédiatement fermé. Cela aide à protéger la confidentialité des données de l’employé. L’employé concerné doit être informé de la clôture de l’accès, sauf si cela compromet l’objectif de l’accès.
  8. Audit : Enfin, un audit doit être effectué pour vérifier que la procédure a été correctement suivie et que toutes les actions ont été correctement documentées. Cela permet de s’assurer que l’entreprise respecte ses propres politiques et les lois sur la protection des données.

Exemple de raisons spécifiques

Voici une liste de raisons spécifiques pour lesquelles l’accès aux ressources informatiques d’un employé pourrait être nécessaire et conforme au Règlement Général sur la Protection des Données (RGPD) :

  1. Nécessité opérationnelle : Si l’employé détient des informations essentielles pour le fonctionnement de l’entreprise et qu’il n’est pas disponible pour une raison quelconque, l’accès peut être nécessaire pour assurer la continuité des opérations.
  2. Enquête interne : Si l’employé est soupçonné de comportement inapproprié ou illégal, l’accès peut être nécessaire pour mener une enquête interne. Cela doit être fait en conformité avec les lois locales et les politiques de l’entreprise.
  3. Conformité légale : Dans certains cas, l’accès peut être nécessaire pour se conformer à une obligation légale, comme une demande d’accès aux informations par une autorité judiciaire.
  4. Sécurité de l’information : Si l’employé est soupçonné de compromettre la sécurité de l’information de l’entreprise, l’accès peut être nécessaire pour enquêter et résoudre le problème.
  5. Transfert de tâches : Si l’employé quitte l’entreprise ou change de poste, l’accès peut être nécessaire pour transférer ses tâches à un autre employé.

Il est important de noter que même si une raison spécifique peut justifier l’accès, cela doit toujours être fait de manière à respecter la confidentialité et la protection des données de l’employé. De plus, l’accès doit être le plus limité possible pour atteindre l’objectif. Par exemple, si seul un certain fichier est nécessaire, seul ce fichier devrait être accessible.

Politique d’Accès aux Ressources Informatiques

Objectif
L’objectif de cette politique est de définir les règles et procédures pour l’accès aux ressources informatiques d’un employé en son absence, tout en respectant la confidentialité et la protection des données.
Portée
Cette politique s’applique à tous les employés, sous-traitants, consultants et autres travailleurs de l’organisation, y compris tous les personnels affiliés à des tiers.
Politique
3.1. L’accès aux ressources informatiques d’un employé en son absence n’est autorisé que dans des circonstances exceptionnelles où il est nécessaire pour le fonctionnement de l’entreprise.
3.2. Toute demande d’accès doit être formellement faite par le responsable hiérarchique de l’employé ou le responsable du service. La demande doit être documentée et justifiée.
3.3. Toutes les demandes d’accès sont examinées par le Responsable de la Sécurité des Systèmes d’Information (RSSI) ou le Délégué à la Protection des Données (DPO). Ils ont la responsabilité de vérifier la légitimité de la demande.
3.4. Si la demande est validée, l’employé concerné est généralement informé de la demande d’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès.
3.5. L’accès à la ressource informatique est accordé de manière à respecter la confidentialité des données autant que possible.
3.6. Toutes les actions effectuées lors de l’accès à la ressource sont documentées.
3.7. Une fois que l’accès n’est plus nécessaire, il est immédiatement fermé et l’employé est informé.
3.8. Un audit est effectué après chaque accès pour vérifier que la procédure a été correctement suivie.
Non-respect
Le non-respect de cette politique peut entraîner des mesures disciplinaires, y compris, mais sans s’y limiter, des avertissements, des suspensions, des licenciements ou des poursuites judiciaires.
Révision
Cette politique sera révisée et mise à jour régulièrement pour s’assurer qu’elle reste conforme aux lois sur la protection des données et aux meilleures pratiques de l’industrie.
Approbation
Cette politique a été approuvée par [Nom du Responsable/Directeur/CEO] le [Date].
Signature

[Nom du Responsable/Directeur/CEO]

Date

[Date]

Formulaire de Demande d’Accès aux Ressources Informatiques pour un accès à l’ordinateur d’une personne absente

Informations sur le demandeur :

Nom du demandeur : _________________________________________

Poste du demandeur : ________________________________________

Département : _______________________________________________

Date de la demande : _________________________________________

Informations sur l’employé absent :

Nom de l’employé : ___________________________________________

Poste de l’employé : _________________________________________

Département : _______________________________________________

Date de l’absence : __________________________________________

Détails de la demande :

Ressources informatiques requises (par exemple, email, fichiers, etc.) : ________________________________________________________________________________________

Raison de la demande (expliquer pourquoi l’accès est nécessaire et quelles informations sont recherchées) : ________________________________________________________________________________________

Validation de la demande :

La demande a-t-elle été approuvée ? (Oui/Non) : ___________________________________________

Si oui, nom du RSSI/DPO qui a approuvé la demande : ______________________________________

Date de l’approbation : _________________________________________________________________

Signature du demandeur :

Signature du RSSI/DPO :

Veuillez noter que toutes les informations fournies dans ce formulaire seront traitées de manière confidentielle et conformément à la politique de protection des données de l’entreprise. Le non-respect de cette politique peut entraîner des mesures disciplinaires.

Registre des Demandes d’Accès aux Ressources Informatiques pour un accès à l’ordinateur d’une personne absente

N° de la demandeNom du demandeurPoste du demandeurDépartement du demandeurDate de la demandeNom de l’employé absentPoste de l’employé absentDépartement de l’employé absentRessources informatiques requisesRaison de la demandeDemande approuvée (Oui/Non)Nom du RSSI/DPO qui a approuvé la demandeDate de l’approbation
1
2
3

Ce registre doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.

Registre des Accès aux Ressources Informatiques

N° de l’accèsNom de la personne ayant accédéPoste de la personne ayant accédéDépartement de la personne ayant accédéDate de l’accèsNom de l’employé absentPoste de l’employé absentDépartement de l’employé absentRessources informatiques accédéesRaison de l’accèsActions effectuées lors de l’accèsDate de clôture de l’accès
1
2
3

Ce registre doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.

Notification d’Accès aux Ressources Informatiques lors d’un accès à l’ordinateur d’une personne absente

[Date]

Cher(e) [Nom de l’employé],

Nous vous écrivons pour vous informer qu’en raison de [raison spécifique], une demande d’accès à votre [ressource informatique spécifique, par exemple, email, fichiers, etc.] a été faite le [date de la demande] par [nom du demandeur].

Cette demande a été examinée et approuvée par notre Responsable de la Sécurité des Systèmes d’Information (RSSI) / Délégué à la Protection des Données (DPO), [nom du RSSI/DPO], conformément à notre Politique d’Accès aux Ressources Informatiques.

Nous tenons à vous assurer que cet accès sera effectué de manière à respecter la confidentialité de vos données autant que possible et que toutes les actions effectuées lors de cet accès seront documentées.

L’accès à votre [ressource informatique spécifique] sera fermé dès que [raison spécifique] sera résolu(e) et vous serez informé(e) de la clôture de cet accès.

Si vous avez des questions ou des préoccupations concernant cette notification, veuillez contacter [nom du contact] à [adresse email/numéro de téléphone].

Nous vous remercions de votre compréhension et de votre coopération.

Cordialement,

[Nom du Responsable/Directeur/CEO] [Poste] [Signature]

Rapport d’Audit d’Accès aux Ressources Informatiques

Informations sur l’audit :

Numéro de l’audit : ___________________________________________

Date de l’audit : _____________________________________________

Nom de l’auditeur : ___________________________________________

Poste de l’auditeur : __________________________________________

Département de l’auditeur : ____________________________________

Informations sur l’accès audité :

Numéro de l’accès : ___________________________________________

Nom de la personne ayant accédé : ______________________________

Poste de la personne ayant accédé : ____________________________

Département de la personne ayant accédé : ______________________

Date de l’accès : _____________________________________________

Nom de l’employé absent : ______________________________________

Poste de l’employé absent : ____________________________________

Département de l’employé absent : ______________________________

Ressources informatiques accédées : ____________________________

Raison de l’accès : ___________________________________________

Actions effectuées lors de l’accès : ___________________________

Date de clôture de l’accès : ___________________________________

Résultats de l’audit :

La procédure a-t-elle été correctement suivie ? (Oui/Non) : ______

Si non, décrire les écarts : ____________________________________

Toutes les actions ont-elles été correctement documentées ? (Oui/Non) : ____

Si non, décrire les écarts : ____________________________________

Recommandations :

Signature de l’auditeur :

Date :

Ce rapport d’audit doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.

Politique de Clôture d’Accès aux Ressources Informatiques lors d’un accès à l’ordinateur d’une personne absente

  1. ObjectifL’objectif de cette politique est de définir les règles et procédures pour la clôture de l’accès aux ressources informatiques d’un employé, afin de garantir la confidentialité et la protection des données.
  2. PortéeCette politique s’applique à tous les employés, sous-traitants, consultants et autres travailleurs de l’organisation, y compris tous les personnels affiliés à des tiers.
  3. Politique3.1. Une fois que l’accès à la ressource informatique d’un employé n’est plus nécessaire, il doit être immédiatement fermé. Cela doit être fait de manière à respecter la confidentialité des données autant que possible.3.2. L’employé concerné doit être informé de la clôture de l’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès.3.3. Toutes les actions effectuées lors de la clôture de l’accès à la ressource doivent être documentées.3.4. Un audit doit être effectué après chaque clôture d’accès pour vérifier que la procédure a été correctement suivie.
  4. Non-respectLe non-respect de cette politique peut entraîner des mesures disciplinaires, y compris, mais sans s’y limiter, des avertissements, des suspensions, des licenciements ou des poursuites judiciaires.
  5. RévisionCette politique sera révisée et mise à jour régulièrement pour s’assurer qu’elle reste conforme aux lois sur la protection des données et aux meilleures pratiques de l’industrie.
  6. ApprobationCette politique a été approuvée par [Nom du Responsable/Directeur/CEO] le [Date].

Signature

Article précédent
Externaliser votre DPO : Simplifiez la conformité à la protection des données avec DPO PARTAGE
Article suivant
Les Obligations des Services de Prévention et de Santé au Travail Interentreprises (SPSTI) : Focus sur les Affichages Obligatoires
DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

DPO Partagé DPO Partagé -
Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

DPO Partagé DPO Partagé -
Logiciels conformité RGPD : La mise en conformité avec...

L’essentiel du rapport annuel RGPD: Une pierre angulaire de la conformité RGPD, un outil pour les DPO

DPO Partagé DPO Partagé -
Le rapport annuel RGPD constitue un élément crucial...

Sanction record pour hubside.store en matière de prospection commerciale

DPO Partagé DPO Partagé -
Le 4 avril 2024, la Commission Nationale de l'Informatique...

A propos de DPO PARTAGE

DPO Partage propose des DPO externalisés et est le premier média français spécialisé dans le RGPD, offrant expertise en conformité aux réglementations et informations sur la sécurité informatique.
Tel. : 01 83 64 42 98

Nos sites

Nos ouvrages

© 2023 DPO PARTAGE. All Rights Reserved.