Dans le cadre de la gestion des ressources informatiques au sein d’une organisation, il peut être nécessaire d’accéder aux ressources d’un employé absent. Cependant, cela doit être fait de manière à respecter la confidentialité et la protection des données. Pour cela, une procédure structurée a été mise en place pour l’accès à l’ordinateur d’une personne absente.
La procédure commence par l’identification du besoin d’accéder à la ressource informatique. Si l’accès n’est pas nécessaire, la procédure s’arrête ici. Si l’accès est nécessaire, une demande formelle doit être faite par le responsable hiérarchique ou le responsable du service. Cette demande doit être documentée et justifiée.
La demande est ensuite examinée par le responsable de la sécurité des systèmes d’information (RSSI) ou le délégué à la protection des données (DPO). Ils ont la responsabilité de vérifier la légitimité de la demande.
Si la demande est validée, l’employé concerné est généralement informé de la demande d’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès. L’accès à la ressource informatique peut alors être accordé, tout en respectant la confidentialité des données autant que possible.
Toutes les actions effectuées lors de l’accès à la ressource sont documentées, y compris qui a accédé à la ressource, quand, pourquoi et quelles actions ont été effectuées. Une fois que l’accès n’est plus nécessaire, il est immédiatement fermé et l’employé est informé.
Enfin, un audit est effectué pour vérifier que la procédure a été correctement suivie et que toutes les actions ont été correctement documentées. Cela garantit que l’entreprise respecte ses propres politiques et les lois sur la protection des données.
Cette procédure permet d’assurer un équilibre entre la nécessité d’accéder aux ressources informatiques pour le fonctionnement de l’entreprise et le respect de la confidentialité et de la protection des données de l’employé.
Exemple de la procédure
Exemple de procédure proposée par DPO partage, Dpo externalisé
- Identification du besoin : Cette étape consiste à déterminer si l’accès à la ressource informatique de l’employé absent est absolument nécessaire. Cela pourrait être le cas si l’employé a des informations cruciales pour le fonctionnement de l’entreprise sur son ordinateur ou dans sa messagerie électronique. Si l’accès n’est pas nécessaire, la procédure s’arrête ici pour respecter la vie privée de l’employé.
- Demande formelle : Si l’accès est jugé nécessaire, une demande formelle doit être faite. Cette demande doit être faite par une personne ayant l’autorité nécessaire, comme le responsable hiérarchique de l’employé ou le responsable du service. La demande doit être documentée et justifiée, expliquant pourquoi l’accès est nécessaire et quelles informations sont recherchées.
- Validation de la demande : La demande est ensuite examinée par le responsable de la sécurité des systèmes d’information (RSSI) ou le délégué à la protection des données (DPO). Ces personnes ont la responsabilité de vérifier la légitimité de la demande, en s’assurant qu’elle est conforme aux politiques de l’entreprise et aux lois sur la protection des données.
- Notification à l’employé : Si la demande est validée, l’employé concerné doit être informé de la demande d’accès à sa ressource informatique. Cela permet à l’employé d’être au courant de la situation. Cependant, si informer l’employé pourrait compromettre l’objectif de l’accès (par exemple, dans le cadre d’une enquête sur des activités suspectes), l’employé peut ne pas être informé.
- Accès à la ressource : Si la demande est validée et que l’employé a été informé (si cela est approprié), l’accès à la ressource informatique peut être accordé. Cela doit être fait de manière à respecter la confidentialité des données autant que possible. Par exemple, si seul un certain fichier est nécessaire, seul ce fichier devrait être accessible.
- Documentation de l’accès : Toutes les actions effectuées lors de l’accès à la ressource doivent être documentées. Cela comprend qui a accédé à la ressource, quand, pourquoi et quelles actions ont été effectuées. Cette documentation est importante pour la transparence et pour assurer que l’accès a été effectué de manière appropriée.
- Clôture de l’accès : Une fois que l’accès n’est plus nécessaire, il doit être immédiatement fermé. Cela aide à protéger la confidentialité des données de l’employé. L’employé concerné doit être informé de la clôture de l’accès, sauf si cela compromet l’objectif de l’accès.
- Audit : Enfin, un audit doit être effectué pour vérifier que la procédure a été correctement suivie et que toutes les actions ont été correctement documentées. Cela permet de s’assurer que l’entreprise respecte ses propres politiques et les lois sur la protection des données.
Exemple de raisons spécifiques
Voici une liste de raisons spécifiques pour lesquelles l’accès aux ressources informatiques d’un employé pourrait être nécessaire et conforme au Règlement Général sur la Protection des Données (RGPD) :
- Nécessité opérationnelle : Si l’employé détient des informations essentielles pour le fonctionnement de l’entreprise et qu’il n’est pas disponible pour une raison quelconque, l’accès peut être nécessaire pour assurer la continuité des opérations.
- Enquête interne : Si l’employé est soupçonné de comportement inapproprié ou illégal, l’accès peut être nécessaire pour mener une enquête interne. Cela doit être fait en conformité avec les lois locales et les politiques de l’entreprise.
- Conformité légale : Dans certains cas, l’accès peut être nécessaire pour se conformer à une obligation légale, comme une demande d’accès aux informations par une autorité judiciaire.
- Sécurité de l’information : Si l’employé est soupçonné de compromettre la sécurité de l’information de l’entreprise, l’accès peut être nécessaire pour enquêter et résoudre le problème.
- Transfert de tâches : Si l’employé quitte l’entreprise ou change de poste, l’accès peut être nécessaire pour transférer ses tâches à un autre employé.
Il est important de noter que même si une raison spécifique peut justifier l’accès, cela doit toujours être fait de manière à respecter la confidentialité et la protection des données de l’employé. De plus, l’accès doit être le plus limité possible pour atteindre l’objectif. Par exemple, si seul un certain fichier est nécessaire, seul ce fichier devrait être accessible.
Politique d’Accès aux Ressources Informatiques
Objectif
L’objectif de cette politique est de définir les règles et procédures pour l’accès aux ressources informatiques d’un employé en son absence, tout en respectant la confidentialité et la protection des données.
Portée
Cette politique s’applique à tous les employés, sous-traitants, consultants et autres travailleurs de l’organisation, y compris tous les personnels affiliés à des tiers.
Politique
3.1. L’accès aux ressources informatiques d’un employé en son absence n’est autorisé que dans des circonstances exceptionnelles où il est nécessaire pour le fonctionnement de l’entreprise.
3.2. Toute demande d’accès doit être formellement faite par le responsable hiérarchique de l’employé ou le responsable du service. La demande doit être documentée et justifiée.
3.3. Toutes les demandes d’accès sont examinées par le Responsable de la Sécurité des Systèmes d’Information (RSSI) ou le Délégué à la Protection des Données (DPO). Ils ont la responsabilité de vérifier la légitimité de la demande.
3.4. Si la demande est validée, l’employé concerné est généralement informé de la demande d’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès.
3.5. L’accès à la ressource informatique est accordé de manière à respecter la confidentialité des données autant que possible.
3.6. Toutes les actions effectuées lors de l’accès à la ressource sont documentées.
3.7. Une fois que l’accès n’est plus nécessaire, il est immédiatement fermé et l’employé est informé.
3.8. Un audit est effectué après chaque accès pour vérifier que la procédure a été correctement suivie.
Non-respect
Le non-respect de cette politique peut entraîner des mesures disciplinaires, y compris, mais sans s’y limiter, des avertissements, des suspensions, des licenciements ou des poursuites judiciaires.
Révision
Cette politique sera révisée et mise à jour régulièrement pour s’assurer qu’elle reste conforme aux lois sur la protection des données et aux meilleures pratiques de l’industrie.
Approbation
Cette politique a été approuvée par [Nom du Responsable/Directeur/CEO] le [Date].
Signature
[Nom du Responsable/Directeur/CEO]
Date
[Date]
Formulaire de Demande d’Accès aux Ressources Informatiques pour un accès à l’ordinateur d’une personne absente
Informations sur le demandeur :
Nom du demandeur : _________________________________________
Poste du demandeur : ________________________________________
Département : _______________________________________________
Date de la demande : _________________________________________
Informations sur l’employé absent :
Nom de l’employé : ___________________________________________
Poste de l’employé : _________________________________________
Département : _______________________________________________
Date de l’absence : __________________________________________
Détails de la demande :
Ressources informatiques requises (par exemple, email, fichiers, etc.) : ________________________________________________________________________________________
Raison de la demande (expliquer pourquoi l’accès est nécessaire et quelles informations sont recherchées) : ________________________________________________________________________________________
Validation de la demande :
La demande a-t-elle été approuvée ? (Oui/Non) : ___________________________________________
Si oui, nom du RSSI/DPO qui a approuvé la demande : ______________________________________
Date de l’approbation : _________________________________________________________________
Signature du demandeur :
Signature du RSSI/DPO :
Veuillez noter que toutes les informations fournies dans ce formulaire seront traitées de manière confidentielle et conformément à la politique de protection des données de l’entreprise. Le non-respect de cette politique peut entraîner des mesures disciplinaires.
Registre des Demandes d’Accès aux Ressources Informatiques pour un accès à l’ordinateur d’une personne absente
| N° de la demande | Nom du demandeur | Poste du demandeur | Département du demandeur | Date de la demande | Nom de l’employé absent | Poste de l’employé absent | Département de l’employé absent | Ressources informatiques requises | Raison de la demande | Demande approuvée (Oui/Non) | Nom du RSSI/DPO qui a approuvé la demande | Date de l’approbation |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | ||||||||||||
| 2 | ||||||||||||
| 3 |
Ce registre doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.
Registre des Accès aux Ressources Informatiques
| N° de l’accès | Nom de la personne ayant accédé | Poste de la personne ayant accédé | Département de la personne ayant accédé | Date de l’accès | Nom de l’employé absent | Poste de l’employé absent | Département de l’employé absent | Ressources informatiques accédées | Raison de l’accès | Actions effectuées lors de l’accès | Date de clôture de l’accès |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | |||||||||||
| 2 | |||||||||||
| 3 |
Ce registre doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.
Notification d’Accès aux Ressources Informatiques lors d’un accès à l’ordinateur d’une personne absente
[Date]
Cher(e) [Nom de l’employé],
Nous vous écrivons pour vous informer qu’en raison de [raison spécifique], une demande d’accès à votre [ressource informatique spécifique, par exemple, email, fichiers, etc.] a été faite le [date de la demande] par [nom du demandeur].
Cette demande a été examinée et approuvée par notre Responsable de la Sécurité des Systèmes d’Information (RSSI) / Délégué à la Protection des Données (DPO), [nom du RSSI/DPO], conformément à notre Politique d’Accès aux Ressources Informatiques.
Nous tenons à vous assurer que cet accès sera effectué de manière à respecter la confidentialité de vos données autant que possible et que toutes les actions effectuées lors de cet accès seront documentées.
L’accès à votre [ressource informatique spécifique] sera fermé dès que [raison spécifique] sera résolu(e) et vous serez informé(e) de la clôture de cet accès.
Si vous avez des questions ou des préoccupations concernant cette notification, veuillez contacter [nom du contact] à [adresse email/numéro de téléphone].
Nous vous remercions de votre compréhension et de votre coopération.
Cordialement,
[Nom du Responsable/Directeur/CEO] [Poste] [Signature]
Rapport d’Audit d’Accès aux Ressources Informatiques
Informations sur l’audit :
Numéro de l’audit : ___________________________________________
Date de l’audit : _____________________________________________
Nom de l’auditeur : ___________________________________________
Poste de l’auditeur : __________________________________________
Département de l’auditeur : ____________________________________
Informations sur l’accès audité :
Numéro de l’accès : ___________________________________________
Nom de la personne ayant accédé : ______________________________
Poste de la personne ayant accédé : ____________________________
Département de la personne ayant accédé : ______________________
Date de l’accès : _____________________________________________
Nom de l’employé absent : ______________________________________
Poste de l’employé absent : ____________________________________
Département de l’employé absent : ______________________________
Ressources informatiques accédées : ____________________________
Raison de l’accès : ___________________________________________
Actions effectuées lors de l’accès : ___________________________
Date de clôture de l’accès : ___________________________________
Résultats de l’audit :
La procédure a-t-elle été correctement suivie ? (Oui/Non) : ______
Si non, décrire les écarts : ____________________________________
Toutes les actions ont-elles été correctement documentées ? (Oui/Non) : ____
Si non, décrire les écarts : ____________________________________
Recommandations :
Signature de l’auditeur :
Date :
Ce rapport d’audit doit être conservé de manière sécurisée et confidentielle, et doit être accessible uniquement aux personnes autorisées. Il doit également être régulièrement revu et mis à jour pour s’assurer qu’il reste conforme aux politiques de l’entreprise et aux lois sur la protection des données.
Politique de Clôture d’Accès aux Ressources Informatiques lors d’un accès à l’ordinateur d’une personne absente
- ObjectifL’objectif de cette politique est de définir les règles et procédures pour la clôture de l’accès aux ressources informatiques d’un employé, afin de garantir la confidentialité et la protection des données.
- PortéeCette politique s’applique à tous les employés, sous-traitants, consultants et autres travailleurs de l’organisation, y compris tous les personnels affiliés à des tiers.
- Politique3.1. Une fois que l’accès à la ressource informatique d’un employé n’est plus nécessaire, il doit être immédiatement fermé. Cela doit être fait de manière à respecter la confidentialité des données autant que possible.3.2. L’employé concerné doit être informé de la clôture de l’accès à sa ressource informatique, sauf si cela compromet l’objectif de l’accès.3.3. Toutes les actions effectuées lors de la clôture de l’accès à la ressource doivent être documentées.3.4. Un audit doit être effectué après chaque clôture d’accès pour vérifier que la procédure a été correctement suivie.
- Non-respectLe non-respect de cette politique peut entraîner des mesures disciplinaires, y compris, mais sans s’y limiter, des avertissements, des suspensions, des licenciements ou des poursuites judiciaires.
- RévisionCette politique sera révisée et mise à jour régulièrement pour s’assurer qu’elle reste conforme aux lois sur la protection des données et aux meilleures pratiques de l’industrie.
- ApprobationCette politique a été approuvée par [Nom du Responsable/Directeur/CEO] le [Date].
Signature
