Dans LDPaye, il est très facile d'exporter les données affichées à l'écran : un simple clic droit sur la table où sont présentées les données, comme la liste des salariés par exemple, avec sélection d'une option Exporter la table vers Excel, Word... dans le menu contextuel le permet.

Si cela présente bien des avantages au quotidien, cela constitue aussi un risque important quant à la protection des données personnelles. Une fois les données transférées dans un document Word ou une feuille Excel, il est impossible de contrôler ce qu'il est fait de ces données.

Pour mieux encadrer ce risque, on peut limiter l'accès à toutes ces fonctions d'export de données depuis les fenêtres du progiciel. Et cette limitation peut être « pilotée » au travers de la gestion des sécurités déjà présente dans LDPaye. Nous allons voir comment.

Le principe général

Tous les états et fenêtres du logiciel ont été classés en 2 familles : ceux qui contiennent des données personnelles, dites données RGPD, et ceux qui n'en contiennent pas. Par exemple, toutes les fenêtres présentant des données salariés sont classées dans la première famille, alors que celles présentant des données de paramétrage divers (rubriques, cotisations...) sont dans la deuxième.

Cette distinction étant faite, un mécanisme de sécurité permet de définir, pour chacune de ces deux familles, qui est autorisé à pratiquer des exports, avec 4 possibilités, de la plus ouverte à la plus restrictive :

• Export « libre », sans mot de passe, comme auparavant
• Export autorisé, mais nécessite la ressaisie du mot de passe utilisateur à chaque export, pour s'assurer que la personne qui demande l'export est bien l'utilisateur authentifié qui a ouvert la session LDPaye. Avec dans ce cas deux possibilités :
• Avec copie d'image-écran autorisée, sachant que lors d'une demande de copie d'image écran (par la touche Impr écran par exemple), aucun mot de passe n'est demandé. Le mot de passe n'est requis que lors de l'utilisation d'une des options Exporter la table vers... du menu contextuel présent sur toutes les tables de données affichées à l'écran.
• Avec copie d'image-écran interdite.
  Remarque : la copie d'images-écrans telle qu'elle peut être faite par la touche Impr Ecran ou la plupart des utilitaires de capture d'écran est alors protégée par ce mécanisme (la fenêtre devient toute noire lorsqu'on cherche à la capturer). On ne peut toutefois prétendre que l'on peut empêcher à coup sûr toute copie d'écran, via des outils plus « avancés ».
• Export interdit.

Dans un premier temps, on dispose d'options de sécurisation « globales », dans la fenêtre Paramètres généraux, au bas de l'onglet Préférences utilisateur, dans le cadre Sécurisation des exports de données via les FAA.
Pour les deux familles Données RGPD et Données non RGPD et chacune des 4 options présentées plus haut, on définit ici le niveau d'accès minimum requis. Les niveaux possibles sont ceux déjà utilisés dans la gestion des sécurités interne à LDPaye, avec du plus ouvert au plus restrictif :

• Aucun : aucun niveau d'accès particulier n'est requis, donc tout le monde est autorisé.
• Partiel : seuls les utilisateurs disposant d'un niveau d'accès partiel sur la société courante pourront procéder à l'export
• Complet : seuls les utilisateurs disposant d'un niveau d'accès complet sur la société courante pourront procéder à l'export
• Administrateur : seuls les utilisateurs disposant d'un niveau d'accès Administrateur sur la société courante pourront procéder à l'export. A fortiori, un utilisateur disposant du niveau Administrateur de sécurité (option définie dans sa fiche utilisateur) est également autorisé, même s'il ne dispose pas explicitement d'un niveau d'accès Administrateur sur la société courante.
• Administrateur explicite XDU : ce niveau, qui est propre à cette sécurisation des exports de données, permet de renforcer encore la sécurité. En effet, dans la gestion des sécurités de LDPaye, un utilisateur disposant d'un niveau d'accès Administrateur sur une société donnée ou même Administrateur de sécurité (option définie dans sa fiche utilisateur) a tous les droits. Il nous a semblé important de pouvoir limiter les exports de données même pour les personnes disposant de ce niveau Administrateur. C'est donc ce niveau requis Administrateur explicite XDU qui le permet. Cela est décrit plus loin.
• Interdit : aucun utilisateur ne dispose d'un niveau d'accès suffisant ; par conséquence l'export de données est purement et simplement interdit.

A titre d'exemple, on pourra définir :

• que pour exporter des données RGPD librement (sans mot de passe), il faut un niveau Administrateur explicite XDU,
• que pour exporter des données RGPD avec ressaisie du mot de passe, il faut un niveau Administrateur
• et donc qu'implicitement, en dessous du niveau Administrateur, aucun export de données RGPD n'est possible.
• que pour exporter des données non RGPD (sans mot de passe), aucun niveau particulier n'est requis : tout le monde est autorisé.

Cela se traduirait ainsi sur l'onglet Préférences utilisateur de la fenêtre Paramètres généraux :

La valeur particulière Non géré signifie que l'on ne souhaite pas fixer un niveau requis pour la fonction d'export en question, soit parce qu'on a déjà autorisé à tout le monde une option moins restrictive (ce qu'on voit dans la colonne Données non RGPD de l'exemple précédent : aucun niveau n'est requis pour exporter les données sans mot de passe ; il est donc inutile de gérer les niveaux plus restrictifs que sont les exports avec mot de passe), soit parce qu'on ne souhaite pas ouvrir la fonction en question (c'est le cas dans l'exemple ci-dessus pour les données RGPD : on ne souhaite pas autoriser l'export de données sans mot de passe et sans copie d'image-écran, sachant que si on voulait l'autoriser, ce ne pourrait être qu'avec un niveau requis inférieur à Administrateur, donc Aucun, Partiel ou Complet).

Quelles sont les fonctions d'export concernées

Les fonctions d'export couvertes par cette nouvelle gestion d'autorisation sont de 4 natures distinctes :

• les exports de données que l'on peut réaliser depuis toutes les fenêtres présentant des données au sein d'une table, par clic droit dans la table puis en choisissant l'une des options Exporter la table vers... du menu contextuel.
  Pour ces fonctions, et seulement pour celles-ci, il y a 3 cas de figure possibles : export autorisé sans mot de passe (comme auparavant), export autorisé avec mot de passe (l'utilisateur devra refrapper son mot de passe dans une fenêtre qui va s'ouvrir suite à la sélection d'une option Exporter la table vers... du menu contextuel), export interdit (les options d'export ne sont pas proposées dans le menu contextuel s'affichant lors d'un clic droit sur la table).
• les copies d'images-écran, que ce soit par une frappe sur la touche Impr écran du clavier ou l'utilisation de tout autre utilitaire de capture d'écran. Ces captures d'écran sont possibles si l'utilisateur à un niveau d'accès suffisant pour exporter les données sans mot de passe, ou exporter les données avec mot de passe et avec copie écran. Dans tous les autres cas, lors d'une tentative de capture d'écran, la ou les fenêtres LDPaye ainsi protégées sont automatiquement effacées (fond entièrement noir).
• les exports depuis la fenêtre d'aperçu avant impression, où l'on dispose habituellement de boutons pour exporter un état vers Word, Excel, HTML, XML, PDF...
  Là, il n'y a que 2 cas de figure : l'export est autorisé (les boutons apparaissent dans le ruban de l'aperçu avant impression) ou pas. La gestion des autorisations d'export avec mot de passe n'est pas possible. Un utilisateur autorisé à pratiquer des exports avec mot de passe ne peut pas réaliser d'exports depuis les fenêtres d'aperçu avant impression.
  Cas particulier : l'export PDF, et les fonctions d'export Email avec contenu intégré et Email avec PDF attaché. Là, vouloir interdire l'export en PDF est illusoire. Même si cette fonction est interdite depuis l'aperçu avant impression, ce qui est possible, rien n'interdit d'utiliser une imprimante virtuelle PDF (avec un logiciel comme PDFCreator par exemple). On ne peut que très difficilement interdire les exports en PDF (sauf à mettre en place des stratégies de sécurité assez poussées sur les postes de travail, pour interdire entre autres toute installation de logiciel complémentaire par l'utilisateur final) ; en interdisant l'export PDF depuis l'aperçu avant impression, on ne fait que compliquer la tâche des utilisateurs. On a donc laissé une certaine souplesse, via la case à cocher Autoriser l'export PDF dans les aperçus avant impression (voir image-écran ci-dessus).
• les exports prévus explicitement dans LDPaye : ce sont essentiellement les journaux standards, cumulés et détaillés, on dispose d'un bouton Ouvrir .xlsx. S'agissant d'export d'états dans Excel, la règle est la même que pour les aperçus avant impression : l'export est autorisé ou pas. S'il ne l'est pas, un message d'erreur s'affiche quand on clique sur le bouton Ouvrir .xlsx.
  On a également sécurisé de la sorte certains traitements qui donnent accès à des données RGPD :
• La procédure d'export de données en format texte
• La procédure d'impression d'étiquettes salariés
• La procédure de modification de données par lot (bien que cette procédure nécessite déjà un niveau Administrateur).

Pour ces 3 procédures, il faut disposer d'un niveau d'accès suffisant pour pouvoir exporter des données RGPD sans mot de passe.

Le domaine XDU

On a évoqué plus haut le niveau d'accès Administrateur explicite XDU, qui ajoute un grade supplémentaire, tout en haut de l'échelle composée des niveaux habituels Aucun, Partiel, Complet, Administrateur. Lorsque l'utilisation d'une fonction d'export nécessite ce niveau Administrateur explicite XDU, il faut que l'utilisateur dispose d'un niveau d'accès explicite Administrateur sur un domaine particulier XDU et pour la société courante. Disposer d'un niveau d'accès Administrateur sur la société courante ou même être Administrateur de sécurité (option de la fiche utilisateur) ne suffit pas.

Pour gérer ce niveau Administrateur explicite XDU, il faut :

• Créer le domaine XDU s'il n'existe pas déjà (menu Fichier/Sécurité/Domaines, domaine à créer sous le code XDU avec le libellé Sécurisation FAA Exports).
• Ajouter pour le ou les utilisateurs et la ou les sociétés souhaités un droit d'accès Administrateur explicite XDU à ce domaine XDU (menu Fichier/Sécurité/Droits d'accès aux domaines).

Gestion des autorisations au niveau des fenêtres et états

Tout ce qui a été présenté ci-dessus permet de sécuriser les exports de données de façon globale, avec simplement une distinction entre les fenêtres et états présentant des données personnelles (classés dans la famille Données RGPD) et les autres fenêtres et états moins sensibles car ne comportant pas de données personnelles (classés dans la famille Données non RGPD). Ce classement en deux familles est interne au logiciel : vous ne pouvez intervenir sur celui-ci.

Toutefois, il est possible d'aller un peu plus loin, pour gérer des autorisations d'export au cas par cas, c'est à dire fenêtre par fenêtre ou état par état, autorisations qui dérogent alors aux préférences globales définies dans les paramètres généraux.

Cela repose là aussi sur l'utilisation d'un domaine particulier XDU, qu'il faut donc commencer par créer comme indiqué au paragraphe précédent (mais il n'est pas obligatoire d'ajouter des droits d'accès Administrateur explicite XDU sur ce domaine).

Il faut ensuite, pour chaque fenêtre ou état concerné, aller indiquer quel est le niveau requis pour exporter des données. Pour cela, on passera par l'option de menu Fichier/Sécurités/Droits requis, en saisissant les droits requis sur le domaine XDU. Dans la fenêtre de saisie de ces droits, dès lors qu'on renseigne le code domaine XDU, on retrouve en partie basse les mêmes champs que ceux prévus dans les paramètres généraux : Niveau requis pour exporter sans mot de passe, Niveau requis pour exporter avec mot de passe (copie image-écran libre), et Niveau requis pour exporter avec mot de passe (copie image-écran interdite). Pour ces 3 champs, les valeurs possibles seront les mêmes que dans les paramètres généraux : Aucun, Partiel, Complet, Administrateur, Administrateur explicite XDU, Interdit.

Remarque : pour ajouter facilement ces droits requis, pas besoin de connaitre le nom des fenêtres : utilisez le bouton Choix multiple pour les sélectionner dans une liste de toutes les options de menu. Pour gérer les autorisations d'export sur les états, on définit en fait les droits sur la fenêtre de lancement de ces états (la fenêtre où se trouve le bouton permettant d'accéder à l'aperçu avant impression de l'état).

Notez que ce mécanisme peut être utilisé dans les deux sens :

• soit on fait des choix assez restrictifs dans les préférences globales (Fiche société) et l'on « ouvre » les quelques exports souhaités par le mécanisme décrit ci-dessus.
• soit au contraire on fait des choix assez ouverts dans les préférences globales et l'on restreint les exports jugés les plus sensibles par ce mécanisme.

C'est à vous de définir la stratégie de sécurité la plus adaptée à votre environnement, en fonction par exemple du nombre d'utilisateurs ayant accès à LDPaye, de leur degré de sensibilisation au RGPD...

Les règles de gestion de ces autorisations d'export, dans le détail

Si vous voulez bien comprendre comment fonctionne l'ensemble de ces règles de gestion des autorisations pour les exports de données, règles assez complexes il faut le reconnaitre, nous les présentons ci-après sous une forme algorithmique.

Les règles décrites ci-dessous sont appliquées à chaque ouverture de fenêtre pour masquer éventuellement les boutons ou options de menu contextuel qui permettent de déclencher les exports.

A - Recherche des droits requis

A.1 - On recherche s'il existe une définition explicite de droits requis pour la fenêtre concernée et le domaine XDU. Si oui, les niveaux d'accès requis pour exporter les données sans et avec mot de passe sont pris sur cette définition de droits.

A.2 - Sinon, on prend les niveaux d'accès requis défini dans les Paramètres généraux (onglet Préférences utilisateur), en prenant selon le cas soit ceux applicables aux fenêtres RGPD, soient ceux applicables aux fenêtres non RGPD. Ce choix est fait grâce à un annuaire des fenêtres concernées par les restrictions RGPD, annuaire interne au logiciel.

B - Recherche des droits effectifs

B.1 - On recherche s'il existe une définition de droits d'accès aux domaines pour le triplet (Code société courant, Code utilisateur courant, Domaine XDU). Si oui, c'est le niveau d'accès défini sur l'enregistrement trouvé qui est pris pour la suite dans tous les cas de figure, même s'il est plus restrictif que le niveau d'accès défini au niveau société (règle B.2).

B.2 - Sinon, on prend le niveau indiqué dans le droit d'accès à la société pour le couple (Code société courant, Code utilisateur courant), sachant qu'un utilisateur disposant d'un niveau Administrateur de sécurité a implicitement un niveau d'accès Administrateur à toutes les sociétés.

C - Comparaison

C.1 - Si le niveau d'accès (droits effectifs) issu des règles B.1 ou B.2 est supérieur ou égal au niveau d'accès minimal requis pour exporter les données sans mot de passe, l'export de données dans cette fenêtre ou cet état est libre.

C.2 - Sinon, si le niveau d'accès (droits effectifs) issu des règles B.1 ou B.2 est supérieur ou égal au niveau d'accès minimal requis pour exporter les données avec mot de passe et copie image-écran libre, l'export des données depuis une fenêtre sera possible moyennant la ressaisie du mot de passe utilisateur, les copies d'images-écrans sont libres. S'il s'agit d'un état, l'export depuis l'aperçu avant impression ne sera pas possible.

C.3 - Sinon, si le niveau d'accès (droits effectifs) issu des règles B.1 ou B.2 est supérieur ou égal au niveau d'accès minimal requis pour exporter les données avec mot de passe et sans copie image-écran, même chose que point C.2, mais la copie d'images-écran est impossible.

C.4 - Enfin, dans tous les autres cas, les exports de données sont tous interdits.