Bonjour à tous,
 
Dans les bonnes pratiques du RGPD/CNIL, il est demandé que la connexion en télémaintenance à un poste de travail se fasse uniquement à l’initialisation du client.
 
Quand est-il pour les serveurs ?  
Je suppose que c’est la même chose , mais il faut donc que le client ait le mot de passe pour déverrouiller le serveur ?  
 
Comment pratiquez-vous habituellement pour ce type de cas ?  
 
Est-ce qu’il y a des moyens type décharge, contrat,… pour avoir un accès permanent à une ressource, avec bien sur un avertissement au client que nous nous connectons, mais ou nous n’avons pas besoin d’avoir son consentement.
 
 
Merci d’avance

pourquoi ce serait pareil à un serveur ?

Ca m'arrangerai que ca ne le soit pas mais j'aimerai un texte qui l'explique si c'est le cas.
 
La cnil demande qu'un accès en télémaintenance sur un poste ne soit pas possible dans l'assistance de l'utilisateur pour ne pas accéder à ses données personnel.
 
Si ses données sont stocké sur le serveur et que j'ai un accès permanent, rien ne m'empeche d'aller les consulter sans son consentement.
 
d'ou le fait que je pense que sur un serveur la même règle s'applique

Mise à part si c'est une session rdp j'ai envie de dire on s'en fou

donc on peut s'installer un système de télémaintenance et se connecter quand on veut du moment que le client en est informé ?  
 
Ca va un peu à l'encontre du RGPD.
 
 
 

se connecter à un serveur c'est pas de la télémaintenance, c'est de l'administration.

du moment que tu accèdes au serveur qui heberge les données je vois pas la différence ?  
 

donc pour résoudre un soucis de MAJ qui passe pas sur un serveur de fichier d'un client qui héberge les données user de 3000 personnes, je vais devoir demander l'autorisation aux 3000 ????      
 
c'est juste pas possible

 
 
Je ne dis pas le contraire
 
Mais la loi reste assez flou sur le sujet justement.  
Donc bien que ça ne soit pas possible techniquement, est-ce qu’il existe une information clair quelque part pour nous protéger ?

Tu chiffres les données utilisateurs.

je déterre le sujet vu que la CNIL m'a enfin répondu sur le sujet.
 
malheureusement pas par écrit, ils m'ont appelé.
 
donc pas besoin d'autorisation explicite pour se connecter à un serveur qui héberge des données client.
 
même si on n'accède pas a ces données mais que techniquement c'est possible, on est considéré comme responsable de traitement de données.
 
il faut donc (si c'est pas déjà le cas) revoir les contrat de maintenance si vous êtes le presta d'un client ! (pour y mentionner cet accès et traitement et dire à minima que vous êtes conforme RGPD)

Non attention, tu n'es pas en tant que presta "responsable de traitement" mais sous-traitant.
Le responsable de traitement est le client.
C'est avec lui que tu dois contracter et il doit notamment te fournir les instructions sur comment traiter les données personnelles.
CF https://www.cnil.fr/fr/reglement-eu [...] /chapitre4

 
Oui, c'est le client qui fait la demande d'assistance.
 

 
Sauf si les sécu des dossiers partie utilisateur empeche les administrateurs d'y aller.