Le principe fondamental : moindre privilège
Chaque personne ne devrait avoir accès qu'aux ressources strictement nécessaires à ses fonctions. Le trésorier n'a pas besoin des photos des événements. L'organisateur d'événements n'a pas besoin de voir la comptabilité. Ce principe -- appelé principe du moindre privilège -- réduit drastiquement la surface d'attaque en cas de compromission d'un compte.
Pour une petite association, cela se traduit concrètement : pas de mot de passe partagé entre plusieurs membres, pas d'accès administrateur par défaut, et une liste à jour de qui a accès à quoi.
Cartographie des accès pour une association type
Voici une cartographie typique pour une association à deux membres de comité et quelques bénévoles actifs :
| Ressource | Président | Trésorier | Secrétaire | Bénévole actif |
|---|---|---|---|---|
| Site web (admin) | ✅ | ✗ | ✅ | ✗ |
| Comptabilité | ✅ | ✅ | ✗ | ✗ |
| Base de données membres | ✅ | ✅ | ✅ | ✗ |
| Réseaux sociaux | ✅ | ✗ | ✅ | Sur demande |
| Hébergeur (ex. Infomaniak) | ✅ | ✗ | ✗ | ✗ |
| Gestionnaire de mots de passe | ✅ | ✅ | ✅ | ✗ |
| Sauvegarde cloud | ✅ | ✗ | ✗ | ✗ |
Les moments critiques : quand revoir les accès
Trois événements déclenchent obligatoirement une revue des droits :
- Arrivée d'un nouveau membre du comité : attribuez uniquement les droits nécessaires à son rôle -- ni plus, ni moins.
- Changement de rôle : un trésorier qui devient président doit recevoir de nouveaux droits et perdre certains des anciens. Ne jamais cumuler sans audit.
- Départ : révocation immédiate de tous les accès, sans exception. Créez une checklist de départ que vous cochez systématiquement.
Un départ non géré est la principale cause d'accès orphelins. Un ancien bénévole qui conserve l'accès aux réseaux sociaux de l'association pendant des mois représente un risque réel -- même sans intention malveillante.
Outils recommandés pour les petites associations suisses
Inutile de déployer une infrastructure complexe. Ces outils couvrent l'essentiel :
- Gestionnaire de mots de passe : Bitwarden (open source, version gratuite suffisante) ou Dashlane. Permet de partager des identifiants sans révéler le mot de passe en clair, et de révoquer l'accès d'un membre en un clic.
- Comptes nominatifs : chaque membre du comité dispose de son propre compte sur chaque service -- jamais de compte générique « association@… » partagé pour les accès sensibles.
- Authentification à deux facteurs (2FA) : activez-la sur tous les comptes critiques -- hébergeur, messagerie, réseaux sociaux. Une application comme Authy ou Google Authenticator suffit.
- kSuite Infomaniak : si votre association héberge chez Infomaniak, kSuite permet de créer des comptes utilisateurs distincts avec des droits granulaires sur le kDrive et les services associés.
Conformité LPD : ce que la loi exige
L'article 8 de la Loi fédérale sur la protection des données (LPD) impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles traitées par votre association -- registre des membres, courriels, formulaires de contact.
Une politique d'accès documentée est précisément le type de mesure organisationnelle que le Préposé fédéral à la protection des données (PFPDT) s'attend à trouver lors d'un contrôle. Elle n'a pas besoin d'être complexe : un tableau listant qui a accès à quoi, signé par le comité, suffit pour les petites structures.
En cas de violation de données -- fuite du registre des membres, accès non autorisé à la messagerie -- l'association doit pouvoir démontrer qu'elle avait mis en place des mesures raisonnables. L'absence de toute politique d'accès est un facteur aggravant.
Exercice pratique : l'audit de 20 minutes
✅ À faire maintenant : ouvrez un tableur et dressez la liste de tous les accès actifs dans votre association. Pour chaque ligne, notez :
- Le service ou la ressource concernée
- Le nom de la personne qui y a accès
- Son rôle actuel dans l'association
- Si cet accès est encore nécessaire (oui / non / à vérifier)
Révoquez immédiatement les accès marqués « non ». Pour les « à vérifier », fixez une échéance de 48 heures. Cet exercice prend 20 minutes et peut éviter une violation de données coûteuse.