Dans un système informatique, chaque utilisateur devrait se connecter avec un compte personnel, car cela permet :

  • d’attribuer des droits d’accès personnalisés à chaque personne ;
  • de garder une trace des actions réalisées.

Dans le cas d’un système ou d’une application contenant des données sensibles, ces points sont particulièrement importants, car cela permet aux administrateurs de maîtriser l’accès aux données, de détecter d’éventuelles activitées suspectes et de prendre les mesures appropriées dans en cas de compromission d’un compte.

Pour les entreprises traitant des données à caractère personnel, le fait d’utiliser un compte commun pour accéder aux données est contraire au RGPD[1], car cela ne permet pas de garantir un niveau de sécurité adapté[2].

« La [CNIL] rappelle que l’attribution d’un identifiant unique par utilisateur et l’interdiction des comptes partagés figurent parmi les précautions indispensables afin de garantir une traçabilité effective des accès à une base de données. […]
Dans ces conditions, la [CNIL] considère que l’utilisation d’un compte générique ne permet pas de garantir la sécurité des données, au sens de l’article 32 du RGPD. »

L’utilisation d’un compte générique ou partagé pour accéder à des systèmes contenant des données personnelles peut être sanctionné par l’autorité de contrôle, c’est-à-dire la CNIL[3] pour la France. Des sociétés ont d’ailleurs déjà été sanctionnées pour avoir eu recours à une telle pratique, notamment :

  • le vendeur en ligne BRICO PRIVÉ, car des salariés utilisaient un compte commun pour accéder aux bases de données de l’entreprise[4] ;
  • l’éditeur de logiciels de santé DEDALUS, car des salariés utilisaient un compte commun pour accéder à un serveur de fichiers[5] ;
  • l’agence de traduction UNIONTRAD COMPANY, car les salariés accédaient à l’e-mail générique de l’entreprise avec un compte commun[6].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande aux responsables de traitement de données à caractère personnelles de prendre des « mesures techniques appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-2). Le fait de partager un compte n’est pas considéré comme une mesure appropriée.
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société BRICO PRIVÉ a été sanctionnée par la CNIL, car des salariés de l’entreprise utilisaient un compte commun pour accéder aux bases de données de l’entreprise (source : CNIL, SAN-2021-008, 12 juin 2021, Brico Privé). Voir « BRICOPRIVE.COM sanctionné pour avoir conservé des données sur ses clients trop longtemps et pour de nombreux manquements relatifs à la sécurité ».
  5. L’éditeur DÉDALUS a été sanctionné par la CNIL, car des salariés de l’entreprise utilisaient un compte commun pour accéder à un serveur de fichiers (source : CNIL, SAN-2022-009, 15 avril 2022, Dédalus Biologie). Voir « L’éditeur DEDALUS sanctionné pour n’avoir pas correctement sécurisé des données personnelles et médicales ».
  6. La société UNIONTRAD a été sanctionnée par la CNIL, la les salariés de l’entreprise utilisaient les mêmes identifiants pour accéder à l’adresse générique de l’entreprise (source : CNIL, SAN-2019-006, 13 juin 2019, UNIONTRAD COMPANY). Voir « L’agence de traduction UNIONTRAD COMPANY sanctionnée pour avoir enregistré en permanence ses salariés avec des caméras de vidéosurveillance ».