Jump to content

Liste de Mots de Passe dans une entreprise


Recommended Posts

Bonjour à tous

au sein de mon entreprise, ma direction me met la pression pour établir une liste des logins/mdp de chaque utilisateur, je ne comprend pas le pourquoi, j'ai eu beau leur expliquer qu'en tant qu'admin on en avait pas besoin, ils ne veulent rien savoir...

y-a-t-il une législation concernant ce genre de liste, vu que l'on peut s'approprier l'identité d'un utilisateur ?

Perso, je ne trouve pas ça très correct, si quelqu'un a de l'expérience sur le sujet (lois, ...)

:francais:

Link to comment
Share on other sites

il y a un service informatique dans chaque entreprise, c'est lui qui est à même de donner l'accès ou non, en aucun cas un accès de devrait être donné sans son aval, or là, la direction peut à tout moment prendre l'identité d'un employé... surtout qu'au niveau des droits le groupe "direction" à accès sur tous les dossiers déjà... sauf celui concernant le service informatique

Link to comment
Share on other sites

Tu as un document écrit (daté et signé de ta direction) qui te demande une telle chose ?

Ce que je te conseille, c'est de bien faire toutes les recherches au niveau de la législation, de constituer un dossier reprenant toutes les contradictions entre ce que ton patron te demande et la loi et surtout les sanctions qu'il risque si jamais un de ses employés décidait d'intenter une action en justice. C'est déjà quelques chose d'important, qui va généralement le faire refroidir et faire tomber pas mal de préjugés (ex. patron=chef suprême qui fait ce qu'il veut chez lui avec ses employés).

L'avertir de ce qu'il peut faire au niveau légal, le patron a cependant des droits en ce qui concerne l'utilisation du matériel qu'il met à la disposition des employés, et il existe des mesures ( et notamment informatique) qu'il peut prendre pour s'assurer de la bonne utilisation de son matos (ex. dans le cadre de la conservation d'un secret de fabrication) ---->Demander conseil CNIL.

De toute façon quoiqu'il fasse il se doit d'en informer les employés. Et générallement, ceux-ci comprennent que la direction est attentive et cela résoud pas mal de soucis (c'est ce qu'il s'est passé dans mon cas).

Link to comment
Share on other sites

Tu as un document écrit (daté et signé de ta direction) qui te demande une telle chose ?

Ce que je te conseille, c'est de bien faire toutes les recherches au niveau de la législation, de constituer un dossier reprenant toutes les contradictions entre ce que ton patron te demande et la loi et surtout les sanctions qu'il risque si jamais un de ses employés décidait d'intenter une action en justice. C'est déjà quelques chose d'important, qui va généralement le faire refroidir et faire tomber pas mal de préjugés (ex. patron=chef suprême qui fait ce qu'il veut chez lui avec ses employés).

L'avertir de ce qu'il peut faire au niveau légal, le patron a cependant des droits en ce qui concerne l'utilisation du matériel qu'il met à la disposition des employés, et il existe des mesures ( et notamment informatique) qu'il peut prendre pour s'assurer de la bonne utilisation de son matos (ex. dans le cadre de la conservation d'un secret de fabrication) ---->Demander conseil CNIL.

De toute façon quoiqu'il fasse il se doit d'en informer les employés. Et générallement, ceux-ci comprennent que la direction est attentive et cela résoud pas mal de soucis (c'est ce qu'il s'est passé dans mon cas).

non aucun document écrit, aucune information vis à vis des salariés, j'ai été sur le site de la CNIL, mais il n'y a rien de clair, j'ai demandé à un pote qui fait des études de droits, je vais voir aussi avec ça :pleure:

c'est comme pour la liste des téléphones portables ou fixes des employés qu'ils ont fait... il valait mieux leur donner parce qu'après ils te collent la pression...

Link to comment
Share on other sites

Faut dire quand même que le matériel appartient à l'entreprise, et qu'elle est en droit de savoir ce que chacun fait avec son matériel.

Oui et non... "non" surtout en France.

Par exemple, de plus en plus, les emails sont considérés comme du courier privé. Lire les emails de quelqu'un à son insus et assimilé au vol de courier (papier) et c'est passible de correctionel. On peut finir en prison.

Il ne peut pas y avoir de surveillance "nominative" systématique. Une surveillance générale peut être faite et des recherches peuvent être effectuées si des "anomalies" apparaissent dans les stat anonymes.

La notion de vie privée va très très loins en France. Ceci ne veut pas dire que l'employé peut faire ce qu'il veut sur son ordinateur, mais les moyens de controles sont très réglementés.

Obtenir les mots de passes de chacun dans un environement Microsoft (windows, outlook, excel,...) ne peut pas se faire sans "cracker" les protections. Je me demande si ceci n'est pas interdit dans les liscences des logiciels concernés.

Link to comment
Share on other sites

De plus, techniquement c'est ultra galère, faire un john (aller plusieurs djohn, on est pas patient..) pour avoir les mots de passe c'est moyen techniquement voir infaisable en pratique, donc obligé de demander aux utilisateurs, là ca va crier je pense....

Link to comment
Share on other sites

Bonjour à tous

au sein de mon entreprise, ma direction me met la pression pour établir une liste des logins/mdp de chaque utilisateur, je ne comprend pas le pourquoi, j'ai eu beau leur expliquer qu'en tant qu'admin on en avait pas besoin, ils ne veulent rien savoir...

y-a-t-il une législation concernant ce genre de liste, vu que l'on peut s'approprier l'identité d'un utilisateur ?

Perso, je ne trouve pas ça très correct, si quelqu'un a de l'expérience sur le sujet (lois, ...)

:chinois:

Normalement, tu dois avoir un moyen d'identifier la personne et pouvoir modifier son mot de passe facilement si celui-ci le perd. Chose qui doit déjà être en oeuvre, vu que tu es KZR ;) Pour ce qui est d'une liste de mot de passe, j'ai jamais vu d'endroit où il faisait cela. Cela ne sert à rien, sauf à pouvoir entrer sur le poste sans "trace", on s'entend que ça peux se voir mais moins que si un mdp est changé :pleure:

Link to comment
Share on other sites

Ben les users n'ont pas trop le choix, vu que c'est la Direction qui l'impose... ils n'osent pas en fait.

J'ai reçu ma convocation d'ailleurs :

Suite à nos différents entretiens nous avons fait intervenir M. Z afin qu’il procède à l’audit de notre informatique dont nous vous avons remis le compte rendu.

Avec vous et Mme P lors de sa seconde venue soit le 19 décembre 2005, il a fait un second état et terminé la mise en place d’un fichier avec tous les mots de passe de tous les utilisateurs.

Lors de vos congés, le 3/09/2005, nous avons eu besoin de votre poste, afin d’y accéder nous avons regardé la liste des mots de passe.

Surprise !!! vous n’y figuré pas malgré les consignes données.

POURQUOI, il ne peut s’agir d’un oubli car à chaque fois nous avons insisté pour que tout le monde puisse utiliser les postes.

Par téléphone, vous nous donner votre mot de passe et fait encore plus grave il est inexistant, ainsi tout le monde peut aller sur le serveur bureautique et accéder à tous les fichiers confidentiels.

Nous envisageons de prendre une sanction à votre encontre pouvant aller jusqu’au licenciement. Nous vous convoquons à un entretien préalable le mercredi 18 janvier 2006 à 10h00 en nos bureaux.

Au cours de cet entretien, vous aurez la possibilité de vous faire assister par tout membre du personnel appartenant exclusivement à l’entreprise.

Veuillez agréer, Monsieur, l’expression de nos salutations distinguées.

...

Une petite précision, j'ai volontairement enlevé mon MDP avant de partir en congés, et ils ont été obligé de m'appeler pour que je leur donne... de toute façon même sans MDP ils n'ont pas réussis...

La Cour de cassation avait affirmé, en octobre 2001, le droit absolu des salariés au respect de l’intimité de leur vie privée dans le cadre de l’utilisation de leur messagerie électronique professionnelle. Par son arrêt du 17 mai 2005, elle reconnaît le droit de l’employeur d’accéder sous certaines conditions aux fichiers personnels de ses salariés contenus dans le disque dur de leur ordinateur

Par son arrêt « Nikon » du 2 octobre 2001, la chambre sociale de la Cour de cassation avait jugé que « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».

La Haute juridiction avait ainsi affirmé le droit absolu des salariés au respect de l’intimité de leur « vie privée électronique » sur leur lieu de travail.

Par son arrêt du 17 mai 2005, la Cour de cassation reconnaît à l’employeur le droit, dans certains cas, d’accéder aux fichiers personnels d’un salarié enregistrés sur le disque dur de son poste de travail. Elle pose le principe que, désormais, la nature personnelle d’un fichier ne suffit plus à le soustraire à un contrôle de l’employeur mais définit étroitement les conditions d’un tel contrôle.

En l’espèce, la simple découverte de photos érotiques dans un tiroir du bureau du salarié a été jugée comme un motif insuffisant pour justifier l’accès aux fichiers personnels du salarié en l’absence de toute information de ce dernier :

« Attendu que, sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ;

Qu’en statuant comme elle l’a fait , alors que l’ouverture des fichiers personnels, effectuée hors la présence de l’intéressé, n’était justifiée par aucun risque ou événement particulier, la cour d’appel a violé les textes susvisés », à savoir les articles 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, 9 du Code civil, 9 du nouveau Code de procédure civile et L.120-2 du code du travail.

Cette décision étend au domaine informatique la solution dégagée par la Cour de cassation dans un précédent arrêt du 11 décembre 2001 concernant les conditions de contrôle du contenu d’une armoire affectée à un employé :

par principe, l’accès à l’espace réservé à l’employé nécessite la prévision d’un tel accès dans le règlement intérieur ainsi que l’information préalable du salarié (qui doit être présent ou au moins être prévenu) ;

par exception, le contrôle de l’espace réservé est possible sans inscription au règlement intérieur et sans information préalable en cas de « risque ou d’événement particulier ».

Cette exception est d’interprétation nécessairement stricte : la Cour de cassation a ainsi retenu en 2001 que la fouille de l’armoire individuelle ayant permis la découverte de boissons alcoolisées n’était justifiée par aucun risque ou événement particulier.

Link to comment
Share on other sites

Oula ça chauffe KZR. Montre leur l'extrait de loi que tu as trouvé et je ne m'avance pas trop en disant que si tu te fais virer, ça sera un licenciement abusif à la vue du motif et eux vont se faire rappeler à l'ordre par les autorités...

Surprise !!! vous n’y figuré pas malgré les consignes données.

Ils ont quel age pour écrire comme des gamins ?

Link to comment
Share on other sites

C'est bien bien chaud là quand même. Mais c'est plutôt une stratégie d'intimidation. Je ne pense pas qu'ils iront jusqu'au licenciement car dans ce cas là, ils s'exposeraient à bon nombres d'ennuis vu le cas litigieux de l'affaire. Une sanction interne serait plus plausible mais tout aussi inacceptable :transpi:

Tiens nous au courant.

Link to comment
Share on other sites

Si vous lisez bien le droit a la vie privée est reservé au acces personnel du personnel a l'espace nommé qui leur est reservé ainsi qu'a leur correspondance personnelle.

Il n'est pas fait mention des mot de passe fermant ces espaces.

Mais comme il est aussi dit il faut une bonne raison pour que l'entreprise accede aux espaces reservé aux salariés donc avec les mots de passe de ceux-ci.

Dit leur que si ils veulent savoir quelque chose il te le demandent mais en aucun cas il n'aurotn libre acces au dossier.Appuye toi sur ce texte il ne devrait pas chercher tres loin :fou:

On est de tout coeur avec toi pour que ca se passe le mieux possible pour toi :transpi:

Link to comment
Share on other sites

Je ne comprends pas la logique derière tout ça.

Les mots de passes sont là pour protéger des données confidentielles (c'est même eux qui le disent).

Tout le monde doit aller donner son mot de passe dans un fichier commun.

Tout un chacun peut donc voir les mots de passe de tout le monde.

Et on parle bien d'accès à des données confidentielle...

:mdr:

C'est juste moi qui ai cette impresion que la direction est squatée par les Marx Brother ?

Cerise sur le gateau:

Nous avons eu besoin d'aller sur votre poste... Et ils ont besoin de ton user/mot de passe pour ça ?

Il n'y a pas un serveur dans cette boite ?

Que des postes clients ?

Pas très cohérent tout ça...

Link to comment
Share on other sites

C'est vrai que en y pensant :transpi:

Un seul poste qui est capable d'effectuer un travail ou qui contient des dossier necessaire a la marche de la boite c'est pas tres serieux :transpi:

Il devrait y avoir au moins une machine en cas de panne qui est capable de remplacer la tienne :chinois:

Base toi sur ce probleme et propose leur un solution pour que ce genre de desagrament se reproduise mais sans leur donner les mdp :D

Il se peut aussi qu'il ai des soupcon a propos d'un employé sur ce qu'il fait avec son pc qet veulent verifier.J'ai connu un cas similaire ou la police est venue chercher l'ordi sont ce servait un employé pour une affaire grave :arrow:

Si la direction veut les mot de passe "au cas ou..." met en place une solution de serveur centralisé avec sauvegarde.Si c'est pour fouiller les dossier personnel tu est en droit de refuser c'est la loi.amoins qui'l te disent qu'il ont un probleme avec un salarié en particulier...

Bref on verra mercredi prochain

Link to comment
Share on other sites

Une semaine pour chercher tous les documents qui prouvent que tu es dans ton bon droit, il y a un syndicat dans ta boite? Ca pourrait les intéresser cette histoire, enfin à voir si après les textes que tu leur montre ils ne se calment pas.

Bon courage en tout cas.

Link to comment
Share on other sites

Dans ma boite, avec la mise en place d'un proxy http et d'un serveur de mail en interne...Et de leurs traces utilisables par nous (log) :chinois:

Il a fallu en informer le CE qui a de suite relayer aux employés.....

Alors les mots de passe..... Je trouve ca navrant d'oser demander ca....

++

Link to comment
Share on other sites

KzR -> Le message d'intimidation c'est une copie, ou un résumé fait par toi ? Le nombre de fautes qu'il comporte montre leur manque de serieux...j'espère qu'ils n'oseraient pas envoyer une missive en comportant autant à leurs clients...

Sinon, s'ils avaient besoin de ton poste pour bosser...et vu qu'apparement vous disposez d'un système de gestion de mots de passe centralisé, pourquoi ne se logguent-ils pas avec leur compte ? En plus, ils là ils veulent acceder à ton poste sans ton accord et sans que tu soit là, alors qu'à priori, non seulement la loi te protège, mais en plus tu dois avoir des droits particuliers...s'ils avaient lancé une commande qui fout en l'air le SI dans ton dos, en utilisant ton mot de passe et ton nom d'utilisateur...ca aurait pu retomber sur toi...normallement un utilisateur ne doit jamais donner son mot de passe à qui que ce soit (raisons légales et sécurité du SI oblige) et c'est encore plus vrai pour un admin réseau ou système...en plus si tu es admin réseau ou système et que tu as donné un listing user - password à tes patrons et qu'ils s'en servent la faute t'en incombe...sur le plan légal, normallement, l'admin réseau / système est très haut placé...en gros tu as :

- DSI

- admin réseau / système

- technicien réseau / système

- cadres hors service informatique

- employés lambda

Un admin réseau / système doit être un tatou, avoir la peau dure...mais ne doit pas être non plus trop peau de vache :francais:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...