SER Blog Customer Stories & Use Cases
Concepts d’autorisation : personne n’en veut, mais tout le monde en a besoin
Les concepts d’autorisation permettent de contrôler et de décider qui a accès aux données et aux documents. Ils servent ainsi à garantir la protection permanente des informations et la conformité des processus. Cet article explique pourquoi ils sont indispensables, comment les mettre en place et comment les importer dans des systèmes tiers.
Qu’est-ce qu’un concept d’autorisation ?
Un concept d’autorisation désigne la totalité des règles d’autorisation adoptées au sein de l’entreprise. En d’autres termes, il détermine dans quelles circonstances un employé peut consulter des informations spécifiques.
En règle générale, les concepts d’autorisation sont enregistrés dans les applications informatiques. Si, sur la base du concept d’autorisation, l’employé est autorisé à consulter les informations, il peut alors accéder au dossier. Le système rejette en revanche les demandes non autorisées.
Pourquoi un concept d’autorisation est-il nécessaire ?
Les concepts d’autorisation visent à optimiser la gestion des droits d’accès. Tous les employés n’ont pas accès à tous les documents. Et il y a de bonnes raisons à cela, comme vous le découvrirez ci-dessous :
Diminuer le flux d’informations
Un concept d’autorisation permet d’alléger la surcharge informationnelle. Face à de grandes quantités de données, les employés ont du mal à trouver les bonnes informations. Lorsque le flux d’informations ne cesse de prendre de l’ampleur, la recherche des bonnes ressources s’avère encore plus lente, surtout lorsque les employés ne savent pas comment exploiter ces informations.
Avec un concept d’autorisation, un employé des RH ne voit pas le document. Au contraire, il n’a accès qu’aux informations indispensables à l’accomplissement de son travail, ce qui lui permet de se concentrer sur ce qui est important pour lui.
Exemple : si un employé des RH consulte un document comportant des chiffres de vente, il risque de mal interpréter ces données, d’en conclure que l’entreprise est en difficulté et en définitive de ressentir un sentiment d’insécurité. En fait, ces chiffres de vente figurent dans un document de travail inachevé. Les états financiers annuels n’ont pas encore été finalisés, et de nombreuses opérations qui se solderaient par un résultat positif n’ont pas encore été traitées.
Protéger la confidentialité des données
Autre point important des concepts d’autorisation : tout le monde dans l’entreprise ne peut pas – ou ne doit pas – tout consulter. Les fiches de paie, par exemple, sont considérées comme des données à caractère personnel et doivent être traitées de manière confidentielle. Le RGPD impose aux entreprises de procéder de la sorte. Outre les fiches de paie, cela s’applique à bien d’autres données concernant les employés et les clients.
Les concepts d’autorisation désignent les employés autorisés à consulter les informations personnelles, à savoir uniquement ceux qui en ont besoin dans le cadre de leurs activités professionnelles. Restreindre l’accès permet également de garantir la sécurité des données.
Sauvegarder les accords de confidentialité
Les exigences en matière de sécurité des données augmentent encore lorsqu’il s’agit de données de tiers. Lorsqu’elle traite avec des organisations extérieures, votre entreprise reçoit souvent des informations confidentielles. Les accords de confidentialité stipulent qu’elle doit prendre des précautions particulières pour protéger ce contenu. Les concepts d’autorisation organisent ces accords en interne.
Protéger les secrets commerciaux
Les ressources qui influent le plus sur le succès commercial d’une entreprise requièrent également des niveaux de protection élevés. Les concepts d’autorisation protègent les secrets des affaires des yeux indiscrets des employés et surtout des concurrents. En d’autres termes, seul un groupe de personnes triées sur le volet peut accéder aux informations sensibles.
Doxis SmartBridge for SAP SuccessFactors
Efficient HR management with Doxis & SAP SuccessFactors
Read nowComment les concepts d’autorisation sont-ils organisés ?
Les concepts d’autorisation sont soit liés à une personne, soit liés à un rôle, soit liés à un document ou à une information.
Liés à la personne
Les concepts d’autorisation liés à la personne déterminent quel employé est autorisé à accéder à quelle information. Les autorisations étant définies au cas par cas pour chaque employé, ce processus est complexe à gérer. Vous devez toujours mettre à jour le concept d’autorisation lorsque la situation du salarié évolue, en particulier lorsqu’il rejoint votre entreprise, la quitte, change de poste ou assume de nouvelles responsabilités.
C’est pourquoi le concept d’autorisation basé sur les personnes n’est recommandé que pour les petites entreprises comptant peu de salariés. Dans ce cas, la charge administrative reste gérable.
Liés au rôle
Les concepts d’autorisation liés aux rôles sont moins complexes. Au lieu de créer un concept d’autorisation pour chaque employé, chaque rôle se voit attribuer son propre concept d’autorisation. Il définit les autorisations d’accès correspondant au poste et aux domaines de responsabilité concernés. Une fois ces concepts de rôle créés, ils sont transférés automatiquement aux nouveaux salariés qui rejoignent l’entreprise ou changent de fonction ou de service.
Liés au document ou à l’information
Vous pouvez également créer des concepts d’autorisation liés à des documents ou à des informations, c’est-à-dire indépendamment des personnes. Dans ce scénario, il existe plusieurs options :
-
Au niveau des fichiers : détermine les fichiers auxquels les employés peuvent accéder. Par exemple, seuls les employés des ressources humaines et l’employé lui-même sont autorisés à consulter le dossier de l’employé.
-
Au niveau des dossiers : détermine les sous-dossiers accessibles et non accessibles aux employés. Par exemple, un employé des ressources humaines peut être autorisé à ouvrir les dossiers des fournisseurs et à consulter le dossier contenant les données de base, mais se voir interdire l’accès au dossier des factures.
-
Au niveau du type de document : détermine les types de documents que les employés sont autorisés à consulter dans les dossiers correspondants. Par exemple, un recruteur peut consulter les données de base d’un employé, mais pas ses arrêts de travail ni ses demandes de congé.
Guide pas à pas de définition du concept d’autorisation
Une fois que vous avez décidé des modalités d’organisation de votre concept d’autorisation, vous pouvez le créer.
Étape 1 : lister tous les fichiers, sous-dossiers et types de documents pour chaque dossier
Dans cette première étape, vous dressez la liste de tous les dossiers pour lesquels vous souhaitez créer un concept d’autorisation. Divisez chaque dossier en plusieurs sous-dossiers. Vous pouvez ensuite les remplir avec tous les documents relatifs au dossier en question.
Par exemple, vous pouvez créer un dossier électronique de salarié à partir des éléments suivants :
Données de base
-
Formulaires d’information personnelle
-
Candidature
Contrat de travail
-
Contrat de travail
Horaires de travail
-
Certificats d’incapacité de travail
-
Relevés des heures de travail
-
Demandes de congés
-
Justificatif de congé exceptionnel
Certificats et formations
-
Certificats de formation continue
-
Certificats
-
Entretiens
Entretiens annuels
-
Négociations salariales
-
Entretien préalable au départ de l’entreprise
Fiches de salaire
-
Fiche de paie
Étape 2 : lister les fonctions et personnes disposant de droits d’accès
L’étape suivante consiste à définir le concept de rôle. Pour cela, dressez la liste de toutes les fonctions et personnes qui détiennent des droits d’accès. Exemple avec le service des ressources humaines :
-
Directeur des RH
-
Directeur adjoint
-
Responsable RH
-
Gestionnaire de paie
-
Généraliste RH
-
Formateur
-
Analyste RH
-
Chargé de recrutement
-
L’employé ayant son propre dossier électronique d’employé
Étape 3 : attribuer des autorisations à chaque rôle
L’étape suivante consiste à attribuer des droits d’accès. Vous définissez les droits d’accès de chaque rôle. Exemple :
-
Le directeur des RH, le directeur adjoint et le responsable RH ont accès à tout.
-
Le gestionnaire de la paie ne peut accéder qu’aux résultats des négociations salariales et aux fiches de paie.
-
Le chargé de recrutement peut accéder au dossier du salarié jusqu’à la conclusion du contrat de travail.
-
Et ainsi de suite.
La beauté de cette solution tient au fait qu’il n’y a pas de bon ou de mauvais choix lors de la définition d’un concept d’autorisation. Chaque entreprise crée son concept de manière totalement individuelle, en fonction de ses propres besoins.
Concepts d’autorisation dans l’ECM
La mise en œuvre de concepts d’autorisation dans les outils numériques est bénéfique. Vous pouvez les modifier directement dans le logiciel. Les autorisations propres à chaque document sont conservées, même lorsque le document bascule du système de classement aux archives.
Système de gestion de contenu d’entreprise (ECM), Doxis est particulièrement personnalisable et configurable. Vous pouvez alors définir des concepts d’autorisation très complexes. Si vous intégrez des systèmes tiers à votre ECM en les interfaçant ou inversement, les autorisations sont également transférées. Cela signifie que votre concept d’autorisation s’applique automatiquement à l’ensemble des systèmes informatiques connectés.
Concepts d’autorisation entre Doxis et SAP SuccessFactors
Doxis s’interface également avec SAP SuccessFactors. Grâce à cette intégration, SAP accepte tous les concepts d’autorisation de Doxis. En d’autres termes, Doxis transfère tous les concepts d’autorisation afin qu’ils prennent automatiquement effet dans SAP SuccessFactors. Si le concept d’autorisation de Doxis indique qu’un employé n’est pas autorisé à consulter les bulletins de paie, il ne peut pas non plus y accéder dans SAP SuccessFactors.
L’IA respecte-t-elle également les concepts d’autorisation ?
Deux questions permettent de savoir si l’intelligence artificielle (IA) respecte aussi les concepts d’autorisation :
-
Comment l’IA est-elle intégrée au système ?
-
Partage-t-elle un ensemble de données avec l’ECM ?
Dans Doxis, le programme d’IA Doxi respecte les concepts et les règles d’autorisation enregistrés. Lorsqu’une demande est formulée (prompt), Doxi accède d’abord à l’ensemble de données de Doxis. Ce n’est qu’ensuite qu’il transmet le prompt à un modèle linguistique.
Par exemple, si un employé demande à consulter des données sensibles qui ne correspondent pas à ses droits d’accès, Doxi ne les lui renvoie pas. Doxi ne renvoie que les informations auxquelles cet employé est autorisé à accéder. La réponse de Doxi repose sur les concepts d’autorisation stockés. En d’autres termes, l’utilisation de l’IA ne présente aucun risque.
Protéger l’information grâce à des concepts d’autorisation intersystèmes
Les concepts d’autorisation permettent de protéger les données d’entreprise et de réduire la surcharge informationnelle. Bien utilisés, ces concepts décuplent la productivité, renforcent la sécurité et facilitent l’accès rapide à l’information. Les ECM garantissent le respect des droits d’accès dans tous les systèmes. Une fois les autorisations stockées dans Doxis, elles sont disponibles par l’intermédiaire des interfaces de chaque système tiers. Vous pouvez alors optimiser la gestion des concepts d’autorisation.