Mots de passe et entreprise

Petite question concernant ma copine. Dans sa boîte, ils ont demandé à tout son service de donner leur mot de passe du domaine, avec comme excuse “oui si vous êtes pas là, on peut se connecter sur votre poste et récupérer votre taf”. Personnellement, je trouve ça très limite, d’abord parce qu’ils peuvent très bien se démerder autrement pour récupérer les fichiers de travail des gens, et ensuite parce qu’il me semble que le mot de passe est personnel est qu’une boîte n’a pas le droit de le demander.

Je me plante peut être complètement, c’est pour ça que je demande ce que vous en pensez, et si jamais c’est illégal, j’aimerais bien connaître l’article de loi qui va avec.

Merci d’avance les geeks.

alors en droit français le bureau ou équivalent et tout ce qui est sur lui y compris le pc est perso et domaine privé, seul cas ou il peut y avoir inspection du tout c’est en cas de procédure pénale (avec gendarmerie et tout le truc) tous les autres cas sont des violations (voir liberté informatique). et les tribunaux ne rigolent pas avec ce genre de truc B) (et mm les fameux papiers de charte informatique n’ont aucune valeur devant un tribunal) si vous laissez quelqu’un ou un patron regarder votre pc ou votre bureau c’est juste par courtoisie B)

Mouais, le service informatique de la boite est assez lamentable. Je ne vois pas en quoi ils ont besoin de ces mots de passe, leurs admins ne sont pas administrateurs de toutes les machines?

Tiens, ça me fait penser que dans mon ancienne boite on ne se gênait pas pour fouiller les disques dur des utilisateurs à distance. On avait écrit des scripts pour rechercher les mp3 et les images de pr0n. On laissait couler pour les premiers tant que ça ne posait pas de problème sur le PC (comprendre tant qu’ils ne leur restait pas 10Mo de disque, le reste rempli par des mp3 B)), par contre pour les images de pingouins ça a couté la place à plus d’un. Certains avaient plusieurs Go d’images cochonnes sur leur disques professionnels.

Mais bon, c’était indiqué dans les contrats de travail que l’utilisation du PC professionnel à des fins privées était toléré jusqu’à un certain stade et que ce genre de choses étaient prohibée et des vérifications seraient faites.

Certainement que le droit Suisse est différent sur ce point.

J’ai tendance à être moins catégorique que toi sur cette question. Une charte informatique permet d’établir clairement les droits et devoirs de chacun. Et un ordinateur est principalement un outil de travail. A ce titre, il est plus que légitime pour l’employeur de vérifier que c’est bien à cette fin que le matériel est utilisé.

J’ai fait passer ma charte d’utilisation de l’informatique en contrôle de légalité à la préfecture et à la CNIL (bah oui, mairie tout ça, forcément la legislation on connait), et on n’a eu aucun retour négatif.

Par contre, effectivement, s’ils ont besoin des pass de tout le monde, sans pouvoir se débrouiller autrement, c’est des boeufs :smiley:

bin j’ai vu des cas où enfin bref si un avocat passe par là B)

Je ne suis pas juriste mais je mettais interessés à cette question il y a 2 ans.

Ce que j’en avait compris :

Le mieux est qu’une charte informatique définisse les regles d’usages.

Si cette charte n’existe pas, la jurisprusdence permet (ai ?) au salarié l’utilisation des moyens informatiques de l’entreprise pour des besoins personnels dans une limitte raisonable (un peu comme le téléphone).
N’ayant pas le droit de regarder le contenu des documents , elle doit s’en tenir à des messures quantitatif (taille de la boite aux lettres, flux sur le reseau) =>L’entreprise, si elle scrute les mels doit en avertir expressement les salariés.

Si vous mettez sur votre disque dur : EspacePrivé[User] par exemple. L’entreprise n’a pas le droit de scruter (par contre elle peut controler le volume et le jugé inaproprié)

BodySplash : C’est quand meme des cretins qu’on pas envie de se prendre la tete mais l’également, ils ont parfaitement le droit.
Il faut que ton amie mettent ses mels perso dans un dossier à part comme ces fichiers.

Elle peut toujours donner son mdp, mais dans ce cas, elle précise qu’elle n’est plus responsable de l’utilisation de son compte (avec tout ce qui en découle). Une petite explication de ce que cela représente (au niveu pénal et économique) au patron de la boite et il devrait changer d’avis.

S’ils veulent une assurance pour remplacer quelq’un, qu’ils le fasse correctement :

  • Droit sur les fichiers de travail (les roles c’est super pour ça)
  • Messagerie de fonction (ou mettre les messages en copies)
  • au cas où, ecrasement d’un mot de passe (écrit dans la charte, en cas de force majeure)

Avec mes colègues non nous echangions nos mots de passe, mais c’était uniquement baé sur la confiance et c’était pour gagner du temps en cas de problème (de toute façon on avait le compte admin du domaine).

Explication du risque pénal :
Si elle envoie des images pédophiles à Sarkozy, le patron de la boite ne peut se retourner contre elle et sera le premier responsable.
De même elle peut envoyer des messages limites à la concurence et ne pas être inquiété (du moins l’enquête va être plus dure)

Si je me souviens bien de mes études en DUT, selon le droit Informatique français, tout ce qui est fait a partir du matériel fournis par l’entreprise appartient a l’entreprise.

Exemple, Si une entreprise vous prête un portable et que vous développez chez vous une application, hors de votre temps de travail… Il lui appartient. Alors après, c’est vrai que les administrateurs ont accès a tous les fichiers de la machine (excepté si le compte est sauvegardé sur une machine commune) et dont les administrateurs ne connaissent pas le fonctionnement (ouille)

Merci pour toutes ces réponses rapides :smiley: J’en profite pour donner quelques précisions.
Ce n’est même pas le service info qui demande les mots de passe, mais le chef du service où elle se trouve (Marketing et relations cliens), et je crois que les informaticiens ne sont même pas au courant de cette demande (et les connaissant très bien pour avoir longtemps bosser là bas, je pense qu’ils en auront rien à foutre de toute manière). Au niveau d’une charte d’utilisation, il n’y en a pas, au moins c’est simple B)

Ensuite, je suis d’accord que le risque d’emprunt d’identité est important, et dans une boîte qui fait de la vente en ligne, j’ai déjà vu des gens fraudés en bidouillant des commandes en prenant le compte d’une autre personne pour ne pas se faire gauler. Cependant, je ne suis pas sûr que ce soit légalement une raison pour refuser de donner son mot de passe.
Le soucis dans l’histoire c’est qu’elle est la seule dans le service a avoir gueulé en disant que c’était n’importe quoi, et du coup, elle se retrouve un peu dans une position délicate; d’où l’intérêt au delà de la pratique et des autres problèmes, de trouver un petit quelque chose juridique qui prouve qu’elle est dans son bon droit.
Sinon je lui ai conseillé d’appeler la CNIL, mais de nouvelles de ce côté pour le moment.

EDIT: Précisions de dernière minute, ceux sont encore plus des buses. Ils ne veulent pas seulement le mdp pour récupérer les fichiers, mais aussi en cas d’absence faire bosser quelqu’un sur ce même compte B) Ca me parait encore plus n’importe quoi du coup. Enfin, je l’ai déjà fait au service informatique entre collègues, un peu comme toi Zontrax, mais bon, on se connait bien et c’était juste entre nous. La c’est limite pour filer le compte à une intérimaire de passage :smiley:

Erm … ils ont qu’à demander un compte informatique itinérant (un truc pour les cas exceptionnel) et le service info te dira non…

Non personnellement, dans ce cas moi le mot de passe je le garde, surtout si il y a rique de fraude.

Elle ne doit pas être dans son droit (enfin je pense). Sinon au cas ou tu fait signer un papier daté ! B)

C’est pas une raison légale pour refuser, mais ça peut faire réflechir le responsable (PDG ou DSI). Après tout, c’est à la DSI de mettre en place les moyens pour répondre aux besoins des employés. Si le chef de service doit bidouiller, c’est que ça va pas trop dans la boite (mais je te rassure, c’est comme ça à pleins d’endroits).

Dans ma boite, pour ce cas là :

  • On n’est pas au courant -> c’est leur problème
  • On est au courant -> suivant la longueur du remplacement, on créé un compte ou on fait signer une procuration à l’employé.

Edit : As-t’elle des badges dans son entreprise ? Si oui est-il autorisé de le preter ?

[quote=“zontrax, post:11, topic: 32161”]C’est pas une raison légale pour refuser, mais ça peut faire réflechir le responsable (PDG ou DSI). Après tout, c’est à la DSI de mettre en place les moyens pour répondre aux besoins des employés. Si le chef de service doit bidouiller, c’est que ça va pas trop dans la boite (mais je te rassure, c’est comme ça à pleins d’endroits).
Dans ma boite, pour ce cas là :

  • On n’est pas au courant -> c’est leur problème
  • On est au courant -> suivant la longueur du remplacement, on créé un compte ou on fait signer une procuration à l’employé.

Edit : As-t’elle des badges dans son entreprise ? Si oui est-il autorisé de le preter ?[/quote]

Effectivement elle a un badge, et en aucun cas elle a le droit de le préter normalement. Ca me fait penser qu’elle pourrait peut être demander au responsable de la sécurité ce qu’il en pense.

c’est classique dans un service marketing et autre.
Libre à toi de le donner ou non. On ne peut pas t’obliger.

Apres questions de feeling avec ton responsable. Et aussi depend de la grosseur de la boite.

Chez nous, certains le font, et d’autre non, boite de 200 personnes.

Informatiquement, nous on dit : niet, vous ne donnez rien.

Je poste vite fait sans avoir tout lu (oui, je sais, c’est mal) juste pour signaler que, depuis l’arrêt Nikon, la jurisprudence a évolué de manière moins permissive pour les employés. Les fichiers “perso” ne sont pas un sanctuaire relevant entièrement de la sphère privée, l’employeur peut donc être amené à y accéder “pour vérification”, mais il doit pour cela en avertir le salarié et procéder à la vérification en sa présence.
Ce que fait la boite de ta copine, ça me semble donc réglo, même si c’est un peu borderline.

Précisions : http://www.village-justice.com/articles/Dr…-Cour,1217.html
http://www.legalis.net/breves-article.php3?id_article=1437
(Un arrêt très récent a été rendu toujours dans le même sens, mais je ne le retrouve plus B))

[quote]Je poste vite fait sans avoir tout lu (oui, je sais, c’est mal) juste pour signaler que, depuis l’arrêt Nikon, la jurisprudence a évolué de manière moins permissive pour les employés. Les fichiers “perso” ne sont pas un sanctuaire relevant entièrement de la sphère privée, l’employeur peut donc être amené à y accéder “pour vérification”, mais il doit pour cela en avertir le salarié et procéder à la vérification en sa présence.
Ce que fait la boite de ta copine, ça me semble donc réglo, même si c’est un peu borderline.[/quote]
Pas bien de pas lire, je pense que t’es hors sujet !
[edit]Le but de l’échange de mots de passes est précis ici : accéder aux documents lorsqu’une personne n’est pas là (déjà partie, maladie, congés, RTT, réunion…) pour répondre à un client. Le but n’est pas de fouiller dans la vie privée des gens (même si ça aide)[/edit]

Pour moi, le risque n’est pas pour le salarié qui est couvert par cette action (donner son mot de passe). D’autant que tout le service participe. Celui qui risque d’être dans la merde en cas de pépin c’est :

  • Le chef de service qui a donné cet ordre
  • Le responsable (PDG ou DSI) qui est pénalement responsable.

Si on trouve des photos pornos (avec des chiens et des enfants, soyons fou). Elle pourra toujours dire que c’est pas elle (et pour être encore plus vicieux, elle peut en poser sur son disque dur et porter plainte). En effet, elle a plein de témoins qui ont son mot de passe.

Solution alternative : elle met son mot de passe dans une envellope scellée.

Merci pour les liens GiomBee, mais je ne suis pas sûr que ça s’applique ici. Je pense que ce qui dérange le plus dans l’histoire, ce n’est pas le coup d’accèder aux fichiers, ce qui est facile, mais finalement l’usurpation d’idendité qui devient faisable trop facilement à mon goût.Je me pose la question de la responsabilité d’utilisation du poste puisque finalement, le “login” windows on va dire, ne représente plus nécessairement la personne physique derrière l’écran. C’est un point d’on parlait Zontrax finalement.

Mea maxima culpa, effectivement c’est pas vraiment le même problème … ça m’apprendra à ne pas lire le thread en entier !
/me se flagelle avec un Code du Travail

Après faut voir, dans notre boite on a un mot de passer pour l’intranet de la boite, un mot de passe pour l’intranet du groupe/messagerie du groupe, un mot de passe pour le réseau du client et un mot de passe pour la messagerie du client.
Les mots de passe boite, groupe et toutes les messageries ne sont à divulguer sous aucun prétexte, le mot de passe du poste c’est moins dangereux mais dans l’absolue c’est à éviter. Surtout qu’il existe pleins de solutions comme les disques réseaux publiques ou le fait de mettre plusieurs personnes en copies des mails (la personne et son chef ou une équipe) pour gérer les absences imprévisibles.

quizz: un login/pwd ne permet pas dans l’absolu de dire que c’est cette personne qui a fati telle chose.
SAchant que les personnes ne verrouillent pas leur poste de travail.

D’ou le pblm.

Enfin comme je le dis, tout depend du contexte.
Grosse boite : surement pas tu devoiles rien.

Ben chez nous ils ont régler ce genre de probleme très simplement, il y a un disque dur “commun” sur le serveur et tous ce qui a besoin d’etre eventuellement public est mis dessus par les utilisateurs, après chaque service a son disque dur sur le serveur toujours, comme ça pas de soucis de mot de passe, en plus comme on est obligé de changer vachement souvent ce serait la grosse galere.
Au debut je trouvais ça lourd mais finallement sa évite ce genre de souçis.
Sinon avant on utilisait le systhème des enveloppes scellées chef le chef de service, mais finallement quand il est pas là non plus…