A-t-on le droit de réinitialiser mon mot de passe sans mon accord ?
Suite à un problème d'accès à la boîte de messagerie professionnelle, un employé contacte le service informatique.
De sa propre initiative, le technicien informatique réinitialise le mot de passe de l'employé, sans l’en informer, pour réaliser des tests.
Il est alors impossible pour l'employé de se connecter avec son compte et d'accéder à ses courriels et à ses documents. En revanche, le technicien a lui la possibilité d’accéder aux documents liés au compte.
L'employé contacte à nouveau le technicien, qui lui transmet le nouveau mot de passe, et invite l'employé a modifié librement son mot de passe.
Mise au courant, la DSI rappelle les règles de confidentialité et d’accès aux ordinateurs à son équipe.
Recommandations
De par leur fonction, les employés des services informatiques accèdent à beaucoup d’informations lorsqu’ils effectuent des opérations de dépannage. Ils doivent de ce fait avertir les personnes concernées qu’ils vont y accéder, et leur demander leur consentement. S’agissant du mot de passe, c’est à la personne concernée de le modifier elle-même, les services informatiques pouvant uniquement lancer la création de nouveau mot de passe sans y accéder eux-mêmes.
Principes de base
art. 4 et 7 LPD, art. 8 et 9 OLPD : transparence de la collecte, sécurité (confidentialité, disponibilité, intégrité)
Ressources
Voir le guide du PFPDT: