Les droits d’accès

📍 Où trouver ce module ?
Paramètres > Gestion des utilisateurs > Droits d'accès

---

Introduction #

Le système de droits d’accès de Kafinea permet de contrôler finement ce que chaque utilisateur peut voir et faire dans l’application. Il repose sur quatre niveaux complémentaires :

Bon à savoir : Un utilisateur administrateur standard a un accès complet à tous les modules et toutes les données, quels que soient les rôles, profils et règles de partage configurés. Il existe deux types d’administrateurs dans Kafinea :

• L’administrateur standard : Accès complet aux données et à toute la configuration du système.
• L’administrateur limité : Droits sur les données identiques à un utilisateur normal (définis par son profil et son rôle), mais avec accès à la configuration du système — à l’exception de la gestion des permissions (utilisateurs, profils, rôles, groupes, règles de partage).

Les restrictions de droits ne s’appliquent qu’aux utilisateurs non-administrateurs (et aux administrateurs limités pour ce qui concerne les données).

---

1. Les administrateurs #

Par défaut, les restrictions de droits ne s’appliquent pas aux administrateurs. Kafinea propose deux types de comptes administratifs :

L’administrateur standard #

L’administrateur standard dispose des pleins pouvoirs sur l’ensemble de l’application.

• Accès aux données : peut voir, modifier et supprimer n’importe quel enregistrement dans n’importe quel module, indépendamment de la hiérarchie ou des règles de partage.
• Configuration : accès complet à tous les écrans de paramétrage (utilisateurs, profils, rôles, gestionnaire de modules, paramètres système, etc.).
• Sécurité : c’est le seul profil pouvant activer ou désactiver d’autres comptes administrateurs.

L’administrateur limité #

L’administrateur limité est un profil hybride conçu pour déléguer la gestion des paramètres sans risque d’escalade de privilèges.

• Accès aux données : identique à un utilisateur normal — ses droits sont définis par son profil et son rôle. Il ne voit que ce que son profil lui autorise.
• Accès aux paramètres : peut accéder à la majorité des écrans de configuration (workflows, SMTP, fonctionnalités, logs, etc.).
• Restrictions : ne peut pas accéder à la gestion des permissions — les écrans Utilisateurs, Profils, Rôles, Groupes et Règles de partage lui sont masqués. Cela évite toute escalade de privilèges (il ne peut pas s’octroyer des droits supplémentaires).
• Usage recommandé : responsable informatique qui gère les workflows ou le SMTP, mais qui ne doit pas accéder à la facturation ou à la comptabilité.

Exemple concret : un responsable IT avec le profil « Support interne » (accès limité aux modules RH et comptabilité) peut être admin limité pour gérer les workflows et le SMTP, sans jamais pouvoir voir les fiches de paie ni modifier les droits d’autres utilisateurs.

Comment activer un administrateur limité ? : Dans la fiche d’un utilisateur, cochez la case Admin limité. Cette option est disponible uniquement pour les administrateurs standards.

---

2. Les rôles #

Principe #

Un rôle définit la position d’un utilisateur dans la hiérarchie de l’organisation. Les rôles sont organisés en arborescence (organigramme). Cette hiérarchie détermine quelles données un utilisateur peut voir :

• Un rôle parent peut voir les données de ses rôles enfants (subordonnés)
• Un rôle enfant ne voit que ses propres données (sauf si les règles de partage l’autorisent)

Configuration #

Pour gérer les rôles : Paramètres > Gestion des utilisateurs > Rôles.

1. L’écran affiche l’arborescence complète des rôles
2. Cliquez sur un rôle pour le modifier, ou utilisez le bouton Ajouter un rôle pour en créer un nouveau
3. Chaque rôle doit être rattaché à un rôle parent (sauf le rôle racine)
4. Associez un ou plusieurs profils au rôle — c’est le profil qui détermine les permissions détaillées

Important : Chaque utilisateur est associé à un seul rôle. Ce rôle détermine à la fois sa position hiérarchique et ses permissions (via les profils associés au rôle).

La hiérarchie en pratique #

Exemple : une entreprise avec la structure suivante :

Directeur Général
├── Directeur Commercial
│   ├── Responsable Ventes France
│   │   └── Commercial France
│   └── Responsable Ventes Export
│       └── Commercial Export
└── Directeur Financier
    ├── Comptable
    └── Contrôleur de gestion

Dans cette configuration :

• Le Directeur Général voit les données de tous les rôles
• Le Directeur Commercial voit les données de ses subordonnés (Responsables et Commerciaux) mais pas celles du Directeur Financier
• Un Commercial France ne voit que ses propres données

---

3. Les profils #

Principe #

Un profil définit les permissions détaillées module par module. C’est le cœur du système de droits d’accès. Un profil détermine :

1. L’accès au module : le module est-il visible et accessible pour ce profil ?
2. Les actions autorisées : créer, voir, modifier, supprimer
3. L’accès aux champs : pour chaque module, quels champs sont visibles et/ou modifiables
4. Les droits globaux : « Voir tout » et « Modifier tout » (optionnels)
5. Les droits sur les outils : import, export, fusion de doublons, etc.

Configuration #

Pour gérer les profils : Paramètres > Gestion des utilisateurs > Profils.

1. Cliquez sur un profil existant pour le modifier, ou cliquez sur Ajouter un profil pour en créer un nouveau
2. Dans l’écran d’édition, vous voyez la liste de tous les modules avec leurs options

Permissions globales #

Note : Ces options ne sont généralement pas visibles dans l’interface de Kafinea par défaut pour éviter des erreurs de configuration majeures. Elles ne s’affichent que si elles sont déjà actives pour un profil existant.

En haut de l’écran d’édition d’un profil, deux options globales peuvent être disponibles :

Attention : « Voir tout » et « Modifier tout » sont des droits très puissants. Ils outrepassent les règles de partage et la hiérarchie des rôles. Réservez-les aux profils qui en ont véritablement besoin (ex : direction, support administratif).

Permissions par module #

Pour chaque module, vous pouvez configurer :

Accès au module (case à cocher) :

• Coché : le module est accessible pour ce profil
• Décoché : le module est complètement invisible et inaccessible

Actions disponibles (quand le module est accessible) :

Bon à savoir : Si un module est décoché (accès retiré), toutes les actions sont automatiquement bloquées, même si elles étaient individuellement cochées auparavant. Recocher le module restaure les permissions d’actions telles qu’elles avaient été configurées.

Permissions au niveau des champs #

Pour chaque module accessible, vous pouvez définir la visibilité de chaque champ :

Bon à savoir : Certains champs système (comme le nom de l’enregistrement) ne peuvent pas être masqués.

Droits sur les outils utilitaires #

Chaque profil peut également configurer l’accès aux outils transversaux :

Combinaison de plusieurs profils #

Un rôle peut être associé à plusieurs profils. Dans ce cas, les permissions se cumulent selon le principe du plus permissif :

• Si le profil A autorise la création dans le module Factures et le profil B l’interdit, l’utilisateur peut créer (le droit le plus permissif l’emporte)
• Si le profil A donne accès au module Contacts et le profil B donne accès au module Factures, l’utilisateur a accès aux deux modules

Conseil : Pour simplifier la gestion, créez des profils thématiques (ex : « Accès Ventes », « Accès Comptabilité ») que vous combinez selon les besoins de chaque rôle, plutôt que de créer un profil monolithique par rôle.

---

4. Les règles de partage #

Principe #

Les règles de partage définissent la visibilité par défaut des données entre les utilisateurs. Elles complètent la hiérarchie des rôles en précisant, module par module, si les utilisateurs peuvent voir les données des autres.

Configuration #

Pour gérer les règles de partage : Paramètres > Gestion des utilisateurs > Règles de partage.

Les trois niveaux de partage #

Important : Les règles de partage définissent le comportement par défaut. Des exceptions peuvent être ajoutées pour accorder des accès supplémentaires à des rôles, groupes ou utilisateurs spécifiques.

Les exceptions de partage #

Quand la règle par défaut est « Privé » ou « Public : lecture seule », vous pouvez créer des exceptions pour étendre l’accès :

1. Dans l’écran des règles de partage, cliquez sur Ajouter une exception pour le module souhaité
2. Choisissez qui partage (un rôle, un groupe, ou un rôle et ses subordonnés)
3. Choisissez avec qui (un rôle, un groupe, ou un rôle et ses subordonnés)
4. Choisissez le niveau d’accès : lecture seule ou lecture/écriture

Exemple : Le module « Factures » est en mode « Privé ». Vous voulez que l’équipe de recouvrement puisse consulter les factures de toute l’entreprise. Créez une exception qui partage les factures de « Tous les rôles et subordonnés » vers le groupe « Recouvrement » en « Lecture seule ».

Recalcul des règles de partage #

Après avoir modifié les règles de partage, cliquez sur le bouton Recalculer pour que les changements prennent effet.

Attention : Le recalcul peut prendre quelques secondes sur les instances comportant beaucoup d’utilisateurs et de données.

---

5. Les groupes #

Principe #

Un groupe est un ensemble d’utilisateurs, de rôles ou d’autres groupes. Les groupes servent principalement à :

• Attribuer des enregistrements à une équipe plutôt qu’à un seul utilisateur
• Créer des exceptions de partage pour donner l’accès à une équipe transversale

Configuration #

Pour gérer les groupes : Paramètres > Gestion des utilisateurs > Groupes.

Un groupe peut contenir :

• Des utilisateurs individuels
• Des rôles entiers (tous les utilisateurs ayant ce rôle)
• Des rôles et subordonnés (le rôle et tous ses enfants dans la hiérarchie)
• D’autres groupes (imbrication)

Exemple : Le groupe « Comité de direction » contient les rôles « Directeur Commercial », « Directeur Financier » et « Directeur Général ».

---

6. Comment les permissions sont évaluées #

Quand un utilisateur essaie d’accéder à un enregistrement ou d’effectuer une action, Kafinea vérifie les permissions dans l’ordre suivant :

1. L’utilisateur est-il administrateur standard ? → Si oui, accès complet aux données, aucune vérification supplémentaire. Pour un administrateur limité, les vérifications suivantes s’appliquent normalement.
2. Le module est-il actif ? → Si le module est désactivé, personne (sauf les administrateurs) n’y a accès
3. Le profil autorise-t-il l’accès au module ? → Si aucun des profils de l’utilisateur n’autorise le module, accès refusé
4. L’action est-elle autorisée par le profil ? → Vérification de l’action spécifique (créer, voir, modifier, supprimer)
5. Les règles de partage autorisent-elles l’accès à cet enregistrement ? → Vérification du propriétaire, de la hiérarchie et des exceptions

Bon à savoir : Quand un utilisateur a plusieurs profils, Kafinea applique le principe du plus permissif : si au moins un profil autorise une action, elle est autorisée.

---

7. Scénarios courants de paramétrage #

Scénario 1 : Un commercial qui ne voit que ses clients #

1. Créez un profil « Commercial » avec accès aux modules Contacts, Comptes, Devis, Commandes
2. Dans les règles de partage, mettez les modules Contacts et Comptes en « Privé »
3. Créez un rôle « Commercial » sous le rôle « Responsable Commercial »
4. Associez le profil « Commercial » au rôle

Résultat : le commercial ne voit que ses propres clients et ceux de ses éventuels subordonnés. Son responsable, en revanche, voit les données de tous ses commerciaux.

Scénario 2 : Un comptable avec accès en lecture sur les ventes #

1. Créez un profil « Comptabilité » avec accès complet aux modules comptables (Factures, Paiements, etc.)
2. Créez un second profil « Lecture Ventes » avec accès en lecture seule aux modules de vente (Devis, Commandes) — cochez « Voir le détail » mais décochez « Créer », « Modifier » et « Supprimer »
3. Associez les deux profils au rôle « Comptable »

Résultat : le comptable peut gérer la comptabilité librement tout en consultant les devis et commandes sans pouvoir les modifier.

Scénario 3 : Une équipe projet transversale #

1. Créez un groupe « Équipe Projet Alpha » contenant les utilisateurs concernés
2. Dans les règles de partage du module Projets (en mode « Privé »), ajoutez une exception donnant l’accès en « Lecture/Écriture » au groupe « Équipe Projet Alpha »

Résultat : les membres de l’équipe peuvent tous collaborer sur les projets qui leur sont attribués, indépendamment de leur position hiérarchique.

Scénario 4 : Restreindre l’accès aux demandes d’absence #

1. Dans le profil du rôle concerné, assurez-vous que le module « Demandes d’absence » est coché (accessible)
2. Vérifiez que les actions « Créer », « Voir le détail » et « Modifier » sont cochées
3. Si l’utilisateur ne peut toujours pas modifier les demandes, vérifiez les règles de partage du module

Bon à savoir : Si un module n’apparaît pas dans l’écran d’édition des profils, cela peut signifier que le module est désactivé. Contactez votre administrateur pour vérifier l’état du module dans Paramètres > Gestionnaire de modules.

---

8. Résolution de problèmes #

Un utilisateur ne voit pas un module dans le menu #

Causes possibles :

1. Le module est décoché dans son profil → Éditez le profil dans Paramètres > Gestion des utilisateurs > Profils et cochez le module
2. Le module est désactivé au niveau système → Vérifiez dans Paramètres > Gestionnaire de modules
3. Le module n’est pas dans le menu de l’utilisateur → Vérifiez la configuration du menu

Un utilisateur ne peut pas modifier un enregistrement #

Causes possibles :

1. L’action « Modifier » est décochée dans son profil → Éditez le profil et cochez « Modifier » pour le module concerné
2. L’enregistrement appartient à un autre utilisateur et les règles de partage ne permettent pas la modification → Vérifiez les règles de partage ou ajoutez une exception
3. L’enregistrement est verrouillé → Certains modules permettent de verrouiller les enregistrements (ex : factures validées)

Un utilisateur peut créer mais pas modifier #

Cause probable : Le profil autorise « Créer » mais pas « Modifier ». Ces deux droits sont indépendants.

Solution : Éditez le profil dans Paramètres > Gestion des utilisateurs > Profils, cochez la case « Modifier » pour le module concerné, puis sauvegardez.

Les listes partagées ne sont pas visibles pour un utilisateur #

Causes possibles :

1. Le module concerné n’est pas accessible dans le profil de l’utilisateur → Les listes d’un module ne sont visibles que si l’utilisateur a accès au module
2. Le module est désactivé → Vérifiez dans Paramètres > Gestionnaire de modules

Comment vérifier les droits effectifs d’un utilisateur #

Pour diagnostiquer un problème de droits, vérifiez dans l’ordre :

1. Le rôle de l’utilisateur : Paramètres > Gestion des utilisateurs > Utilisateurs → consultez le rôle assigné
2. Les profils associés au rôle : Paramètres > Gestion des utilisateurs > Rôles → consultez les profils du rôle
3. Les permissions du profil : Paramètres > Gestion des utilisateurs > Profils → éditez le profil pour voir les permissions module par module
4. Les règles de partage : Paramètres > Gestion des utilisateurs > Règles de partage → vérifiez le mode de partage du module

Astuce : Si vous êtes administrateur et que vous utilisez l’assistant IA de Kafinea, vous pouvez lui poser directement des questions comme « Pourquoi l’utilisateur jean ne peut pas modifier les demandes d’absence ? ». L’assistant dispose d’un outil de diagnostic des permissions qui analyse la configuration et vous indique précisément la cause du problème.

---

9. Bonnes pratiques #

• Définissez d’abord votre hiérarchie : créez les rôles en miroir de votre organigramme
• Créez des profils thématiques réutilisables : « Ventes », « Comptabilité », « RH », plutôt qu’un profil par personne
• Appliquez le principe du moindre privilège : n’accordez que les droits strictement nécessaires à chaque fonction
• Utilisez les groupes pour les équipes transversales plutôt que de modifier la hiérarchie des rôles
• Documentez vos choix : notez pourquoi chaque profil a été configuré de telle manière, pour faciliter la maintenance
• Testez les droits : après une modification, connectez-vous avec un compte de test ayant le profil modifié pour vérifier le comportement

---

10. Questions fréquentes #

Comment donner accès à un module à un seul utilisateur ?
Créez un profil spécifique avec l’accès au module souhaité, puis associez ce profil au rôle de l’utilisateur. Si d’autres utilisateurs ont le même rôle et ne doivent pas avoir cet accès, créez un rôle dédié pour cet utilisateur.

Les droits sont-ils appliqués immédiatement ?
Oui, les modifications de profils sont appliquées immédiatement. L’utilisateur concerné verra les changements dès son prochain chargement de page. Pour les règles de partage, pensez à cliquer sur le bouton Recalculer après vos modifications.

Comment permettre à deux équipes de partager leurs données ?
Créez un groupe contenant les membres des deux équipes, puis ajoutez une exception dans les règles de partage pour accorder l’accès à ce groupe.

Comment retirer complètement l’accès à un module ?
Éditez le profil de l’utilisateur et décochez le module. Le module disparaîtra du menu et toutes les actions seront bloquées.

Que se passe-t-il quand un utilisateur a plusieurs profils ?
Les permissions se cumulent selon le principe du plus permissif. Si un profil autorise une action et qu’un autre l’interdit, l’action est autorisée. C’est utile pour combiner des profils thématiques (ex : « Accès Ventes » + « Accès Comptabilité »).

Un utilisateur dit ne pas voir le bouton « Modifier » sur un enregistrement. Que vérifier ?
Vérifiez dans cet ordre : 1) L’action « Modifier » est-elle cochée dans le profil ? 2) L’enregistrement est-il verrouillé ? 3) Les règles de partage autorisent-elles la modification de cet enregistrement par cet utilisateur ?

---

Glossaire #

---

Références associées 🔗 #

• Les utilisateurs
• Le gestionnaire d’agencement