Toutes les catégories
Sécurité & Accès
Intermédiaire Mis à jour le 2026-06-29

Gérer les permissions et les rôles

Boxanet s'appuie sur un système de rôles hiérarchiques pour contrôler ce que chaque utilisateur peut faire dans l'interface. Comprendre cette hiérarchie et configurer correctement les permissions de votre équipe est essentiel pour protéger les données de vos clients et limiter les risques opérationnels.

💡💡 Rappel : Le rôle le plus élevé côté client est manager. Il correspond au propriétaire ou responsable du centre de self-stockage.

Sommaire

  1. Hiérarchie des rôles Boxanet
  2. Description de chaque rôle
  3. Matrice complète des permissions
  4. Accès limité à un manager (mono-site vs multi-sites)
  5. Rôles temporaires
  6. Audit des changements de rôle
  7. Bonnes pratiques de gestion des accès
  8. FAQ

Hiérarchie des rôles Boxanet

Boxanet définit cinq rôles utilisateurs organisés en hiérarchie pyramidale. Chaque rôle hérite d'un sous-ensemble des permissions du rôle supérieur.

manager
  └── concierge
        └── employee
              └── customer

Un utilisateur ne peut jamais accorder à un autre utilisateur un rôle supérieur au sien. Par exemple, un manager peut créer des comptes concierge ou employee, mais pas d'autres managers.

💡💡 Conseil : La hiérarchie ne signifie pas qu'un rôle inférieur est "moins important". Un concierge en contact direct avec les clients a souvent besoin d'un périmètre d'action bien calibré — ni trop large (risque de mauvaise manipulation), ni trop étroit (blocage dans son travail quotidien).

Description de chaque rôle

Manager

Le manager est le rôle le plus élevé disponible pour les clients de Boxanet. Il supervise les opérations d'un ou plusieurs sites et a accès à toutes les fonctionnalités opérationnelles.

Responsabilités typiques :
  • Validation des contrats et des paiements
  • Gestion des litiges clients
  • Supervision de l'équipe concierge et employee
  • Accès aux rapports d'activité de ses sites assignés
  • Création de comptes concierge et employee
Nombre recommandé : 1 à 2 managers par site

Concierge

Le concierge gère le quotidien opérationnel d'un site : accueil, gestion des accès, vérification des paiements. C'est le rôle le plus courant pour le personnel en contact direct avec les clients.

Responsabilités typiques :
  • Accueil et identification des clients sur site
  • Vérification du statut des contrats
  • Signalement des incidents à sa hiérarchie
  • Consultation du journal d'accès de son site
  • Gestion des codes d'accès temporaires
Périmètre : Limité au(x) site(s) auquel le concierge est rattaché

Employee

L'employee dispose d'un accès en lecture seule ou très limité en écriture. Ce rôle est adapté aux prestataires externes, aux stagiaires ou aux personnels auxiliaires.

Responsabilités typiques :
  • Consultation des plannings et des disponibilités
  • Saisie de rapports d'état ou d'inventaire
  • Aucune action sur les contrats ou les paiements
⚠️⚠️ Attention : Le rôle employee ne doit pas être utilisé comme rôle "par défaut" pour un nouveau concierge en formation. Utilisez directement le rôle concierge avec supervision, ou créez un compte de formation sur un environnement de démonstration.

Customer

Le rôle customer correspond à l'espace client en ligne. Les clients peuvent consulter leur contrat, télécharger leurs factures et gérer certains paramètres de leur compte.

Responsabilités typiques :
  • Consultation de son contrat et de son statut
  • Téléchargement des factures
  • Modification de ses informations personnelles et bancaires
  • Consultation de son historique d'accès (si activé)
  • Modification de son code PIN (si activé)
Important : Le rôle customer ne donne accès à aucune fonctionnalité de gestion de l'interface Boxanet. C'est un rôle entièrement séparé des rôles de l'équipe interne.

Matrice complète des permissions

La matrice ci-dessous détaille les niveaux d'accès de chaque rôle sur les principales fonctionnalités de Boxanet.

Légende :
  • L = Lecture seule
  • E = Écriture (création et modification)
  • S = Suppression
  • = Aucun accès

Module Contrats

FonctionnalitéManagerConciergeEmployeeCustomer
Voir la liste des contratsL/E/SLL (propres)
Créer un contratE
Modifier un contrat actifE
Suspendre un contratE
Résilier un contratE
Signer électroniquementEE (propre)
Voir les documents du contratELL (propres)

Module Factures

FonctionnalitéManagerConciergeEmployeeCustomer
Voir les facturesL/ELL (propres)
Créer une facture manuelleE
Émettre un avoirE
Télécharger une facture PDFELL (propres)
Exporter les factures en lotE

Module Paiements

FonctionnalitéManagerConciergeEmployeeCustomer
Voir l'historique des paiementsL/ELL (propres)
Enregistrer un paiement manuelEL
Rembourser un paiementE
Configurer les modes de paiementL (propres)
Voir les rapports financiersE (site)
Lancer une relance de paiementE

Module Accès clients

FonctionnalitéManagerConciergeEmployeeCustomer
Voir le journal des accèsL/ELL (propres)
Émettre un badge NFCEE
Révoquer un badge NFCEE
Générer/réinitialiser un code PINEE
Créer un code PIN temporaireEE
Configurer les horaires d'accèsE
Voir les alertes de sécuritéEL
Configurer les alertesE (site)

Module Reporting

FonctionnalitéManagerConciergeEmployeeCustomer
Tableau de bord globalL (site)
Rapport d'occupation par siteEL
Rapport financier consolidé
Rapport d'accès et sécuritéEL
Exporter les rapportsE (site)

Module Configuration système

FonctionnalitéManagerConciergeEmployeeCustomer
Paramètres généraux
Gestion des sitesL
Intégrations tierces
Modèles d'emailsE
Tarifs et grilles de prixL
Conservation des données (RGPD)
Configuration des contrôleurs d'accèsL

Module Gestion des utilisateurs

FonctionnalitéManagerConciergeEmployeeCustomer
Voir la liste des utilisateursE (site)
Créer un compte manager
Créer un compte conciergeE
Créer un compte employeeE
Créer un compte customerEE
Modifier les rôlesE (≤ concierge)
Désactiver un compteE (site)
Consulter le journal d'auditL (site)

Accès limité à un manager (mono-site vs multi-sites) {#accès-limité-à-un-manager}

Manager mono-site

Un manager peut être configuré pour n'avoir accès qu'à un seul site de votre organisation. Cette configuration est utile lorsque vous avez des managers de site indépendants qui ne doivent pas voir les données des autres établissements.

Configuration :
  1. Accédez à Paramètres > Utilisateurs
  2. Sélectionnez le compte manager concerné
  3. Dans la section Périmètre d'accès, sélectionnez Sites assignés
  4. Cochez uniquement le site concerné
  5. Sauvegardez
Le manager voit désormais uniquement les contrats, clients, factures et accès de son site assigné.

Manager multi-sites

Un manager multi-sites peut superviser plusieurs établissements sans avoir accès aux paramètres globaux. Cela est utile pour les managers régionaux qui supervisent un groupe de sites.

Configuration :
  1. Même chemin que précédemment
  2. Dans Périmètre d'accès, cochez plusieurs sites
  3. Le manager voit les données de tous les sites cochés de manière agrégée
💡💡 Conseil : Documentez clairement dans la fiche utilisateur quel périmètre a été accordé et pourquoi. Cela facilite les audits et évite les surprises lors des réorganisations d'équipe.

Restrictions supplémentaires possibles

Au-delà du périmètre de sites, vous pouvez restreindre certaines permissions spécifiques pour un manager :

  • Paiements : un manager peut avoir accès aux contrats et accès sans voir les données financières
  • Export de données : désactivable individuellement pour limiter les risques de fuite de données
⚠️⚠️ Attention : Les restrictions de module ne remplacent pas la définition claire du périmètre de sites. Un manager sans restriction de module mais limité à un seul site reste mieux cloisonné qu'un manager avec restriction de module mais accès global.

Rôles temporaires

Boxanet permet d'accorder un rôle élevé à un utilisateur pour une durée limitée, sans nécessiter de modification manuelle à l'expiration.

Cas d'usage

  • Concierge assurant l'intérim d'un manager absent
  • Prestataire externe ayant besoin d'un accès temporaire pour une intervention
  • Nouveau manager en période de formation supervisée

Configurer un accès temporaire

  1. Accédez à Paramètres > Utilisateurs > sélectionnez l'utilisateur
  2. Section Rôle & Permissions
  3. Cliquez sur Accès temporaire
  4. Sélectionnez le rôle temporaire à accorder
  5. Définissez la date de début et la date de fin de l'accès
  6. Ajoutez une note explicative (obligatoire)
  7. Confirmez
À la date de fin, le rôle de l'utilisateur revient automatiquement à son rôle permanent. Une notification email est envoyée au manager concerné.
💡💡 Conseil : Définissez toujours une date de fin légèrement postérieure à la période réelle (par exemple, fin du remplacement + 1 jour). Cela évite les situations où un accès expire en cours de mission par manque d'anticipation.

Audit des changements de rôle

Chaque modification de rôle ou de permission dans Boxanet est enregistrée dans le journal d'audit, accessible aux managers pour leur périmètre de site.

Accéder au journal d'audit

  1. Accédez à Paramètres > Sécurité > Journal d'audit
  2. Filtrez sur le type d'événement Gestion des utilisateurs

Informations enregistrées pour chaque changement

InformationExemple
Date et heure27/06/2026 09h14:32
Auteur de la modificationmanager@boxanet-lyon.fr
Utilisateur modifiéMarie Dupont (concierge)
ActionModification de rôle
AvantConcierge – Site Lyon Centre
AprèsManager temporaire – Site Lyon Centre – jusqu'au 30/06/2026
NoteIntérim direction pendant congé annuel

Exporter le journal d'audit

Pour des besoins de conformité ou d'audit interne :

  1. Appliquez les filtres souhaités dans le journal
  2. Cliquez sur Exporter en CSV
  3. Le fichier contient l'ensemble des colonnes ci-dessus
⚠️⚠️ Attention : Le journal d'audit est en lecture seule pour tous les rôles, y compris les admins. Aucune entrée ne peut être modifiée ou supprimée depuis l'interface. C'est une garantie d'intégrité essentielle pour la gouvernance.

Bonnes pratiques de gestion des accès

Principe du moindre privilège

Accordez à chaque utilisateur uniquement les permissions dont il a besoin pour accomplir son travail, ni plus, ni moins. Ce principe réduit la surface d'attaque en cas de compromission d'un compte et limite les erreurs de manipulation.

Application pratique :
  • Ne pas créer de comptes manager "au cas où" — si un concierge a ponctuellement besoin d'une permission manager, utilisez un accès temporaire
  • Revoir les permissions de chaque utilisateur au moins une fois par an
  • Désactiver immédiatement les comptes des personnes quittant l'organisation

Gestion des départs

Quand un employé quitte votre organisation :

  1. Désactivez son compte immédiatement dans Paramètres > Utilisateurs
  2. Révoquez ses moyens d'accès physiques (badge NFC, code PIN si partagé)
  3. Vérifiez l'historique récent de ses actions dans le journal d'audit
  4. Réinitialisez les mots de passe partagés si des credentials communs étaient utilisés (déconseillé)
⚠️⚠️ Attention : Ne supprimez pas le compte d'un ancien employé — désactivez-le. La suppression effacerait les traces de ses actions dans les journaux, ce qui est problématique pour la traçabilité et potentiellement pour la conformité légale.

Séparation des tâches

Pour les opérations sensibles, appliquez le principe de double validation :

  • Un concierge peut créer un accès temporaire, mais la validation d'un contrat reste au manager
  • Les remboursements nécessitent un second regard du manager même si le concierge détecte l'erreur
  • Toute modification de tarif ou de condition générale passe par le manager

Comptes de service et intégrations

Si vous connectez Boxanet à des outils tiers (comptabilité, CRM, etc.) via l'API, créez des comptes dédiés pour ces intégrations plutôt que d'utiliser un compte personnel :

  • Créez un compte avec le rôle minimum nécessaire à l'intégration
  • Nommez-le clairement : integration-compta@votredomaine.fr
  • Notez dans la description à quelle intégration il sert
  • Révoquez-le si l'intégration est désactivée
💡💡 Conseil : Planifiez une revue trimestrielle des comptes utilisateurs. En 15 minutes, vous pouvez vérifier la liste complète, identifier les comptes inactifs depuis plus de 90 jours et vous assurer qu'aucun ex-employé n'a encore accès à l'interface.

Mots de passe et authentification

  • Imposez une politique de mot de passe fort pour tous les comptes (minimum 12 caractères, mixte)
  • Activez l'authentification à deux facteurs (2FA) pour tous les comptes manager
  • Ne partagez jamais un compte entre plusieurs personnes — créez un compte individuel par personne

FAQ

Q : Un concierge peut-il créer un compte client pour un nouveau client qui s'inscrit en personne ? Oui. La création de comptes customer fait partie des permissions du rôle concierge. Le concierge peut créer le dossier client, initier le contrat et envoyer l'invitation de création de mot de passe à l'espace client. Il ne peut pas en revanche valider le contrat ni générer la première facture — ces actions restent au niveau manager. Q : Peut-on avoir plusieurs managers dans Boxanet ? Y a-t-il des risques ? Oui, plusieurs managers sont possibles. Le risque principal n'est pas technique mais organisationnel : si plusieurs managers peuvent modifier la configuration sans concertation, des erreurs ou des incohérences peuvent apparaître. Définissez clairement qui est responsable de quoi au sein de votre équipe. Q : Comment savoir si un utilisateur a tenté d'accéder à une section pour laquelle il n'a pas les droits ? Boxanet enregistre les tentatives d'accès à des fonctionnalités non autorisées dans le journal d'audit, sous le type d'événement Accès refusé (interface). Ces événements sont consultables par les managers dans Paramètres > Sécurité > Journal d'audit. Ils peuvent indiquer une mauvaise compréhension du rôle par l'utilisateur ou, plus rarement, une tentative de contournement. Q : Si on change le rôle d'un utilisateur, ses sessions en cours sont-elles immédiatement affectées ? Oui. La modification du rôle prend effet immédiatement : si l'utilisateur est connecté au moment du changement, ses permissions sont mises à jour à la prochaine action ou au prochain rechargement de page. Il n'est pas nécessaire de le forcer à se déconnecter, bien que cela soit possible via Paramètres > Utilisateurs > Forcer la déconnexion pour plus de certitude immédiate.

Cet article vous a-t-il été utile ?

Tous les articles Contacter le support