Gérer les permissions et les rôles
Boxanet s'appuie sur un système de rôles hiérarchiques pour contrôler ce que chaque utilisateur peut faire dans l'interface. Comprendre cette hiérarchie et configurer correctement les permissions de votre équipe est essentiel pour protéger les données de vos clients et limiter les risques opérationnels.
Sommaire
- Hiérarchie des rôles Boxanet
- Description de chaque rôle
- Matrice complète des permissions
- Accès limité à un manager (mono-site vs multi-sites)
- Rôles temporaires
- Audit des changements de rôle
- Bonnes pratiques de gestion des accès
- FAQ
Hiérarchie des rôles Boxanet
Boxanet définit cinq rôles utilisateurs organisés en hiérarchie pyramidale. Chaque rôle hérite d'un sous-ensemble des permissions du rôle supérieur.
manager
└── concierge
└── employee
└── customer
Un utilisateur ne peut jamais accorder à un autre utilisateur un rôle supérieur au sien. Par exemple, un manager peut créer des comptes concierge ou employee, mais pas d'autres managers.
Description de chaque rôle
Manager
Le manager est le rôle le plus élevé disponible pour les clients de Boxanet. Il supervise les opérations d'un ou plusieurs sites et a accès à toutes les fonctionnalités opérationnelles.
Responsabilités typiques :- Validation des contrats et des paiements
- Gestion des litiges clients
- Supervision de l'équipe concierge et employee
- Accès aux rapports d'activité de ses sites assignés
- Création de comptes concierge et employee
Concierge
Le concierge gère le quotidien opérationnel d'un site : accueil, gestion des accès, vérification des paiements. C'est le rôle le plus courant pour le personnel en contact direct avec les clients.
Responsabilités typiques :- Accueil et identification des clients sur site
- Vérification du statut des contrats
- Signalement des incidents à sa hiérarchie
- Consultation du journal d'accès de son site
- Gestion des codes d'accès temporaires
Employee
L'employee dispose d'un accès en lecture seule ou très limité en écriture. Ce rôle est adapté aux prestataires externes, aux stagiaires ou aux personnels auxiliaires.
Responsabilités typiques :- Consultation des plannings et des disponibilités
- Saisie de rapports d'état ou d'inventaire
- Aucune action sur les contrats ou les paiements
Customer
Le rôle customer correspond à l'espace client en ligne. Les clients peuvent consulter leur contrat, télécharger leurs factures et gérer certains paramètres de leur compte.
Responsabilités typiques :- Consultation de son contrat et de son statut
- Téléchargement des factures
- Modification de ses informations personnelles et bancaires
- Consultation de son historique d'accès (si activé)
- Modification de son code PIN (si activé)
Matrice complète des permissions
La matrice ci-dessous détaille les niveaux d'accès de chaque rôle sur les principales fonctionnalités de Boxanet.
Légende :- L = Lecture seule
- E = Écriture (création et modification)
- S = Suppression
- — = Aucun accès
Module Contrats
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Voir la liste des contrats | L/E/S | L | — | L (propres) |
| Créer un contrat | E | — | — | — |
| Modifier un contrat actif | E | — | — | — |
| Suspendre un contrat | E | — | — | — |
| Résilier un contrat | E | — | — | — |
| Signer électroniquement | E | — | — | E (propre) |
| Voir les documents du contrat | E | L | — | L (propres) |
Module Factures
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Voir les factures | L/E | L | — | L (propres) |
| Créer une facture manuelle | E | — | — | — |
| Émettre un avoir | E | — | — | — |
| Télécharger une facture PDF | E | L | — | L (propres) |
| Exporter les factures en lot | E | — | — | — |
Module Paiements
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Voir l'historique des paiements | L/E | L | — | L (propres) |
| Enregistrer un paiement manuel | E | L | — | — |
| Rembourser un paiement | E | — | — | — |
| Configurer les modes de paiement | — | — | — | L (propres) |
| Voir les rapports financiers | E (site) | — | — | — |
| Lancer une relance de paiement | E | — | — | — |
Module Accès clients
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Voir le journal des accès | L/E | L | — | L (propres) |
| Émettre un badge NFC | E | E | — | — |
| Révoquer un badge NFC | E | E | — | — |
| Générer/réinitialiser un code PIN | E | E | — | — |
| Créer un code PIN temporaire | E | E | — | — |
| Configurer les horaires d'accès | E | — | — | — |
| Voir les alertes de sécurité | E | L | — | — |
| Configurer les alertes | E (site) | — | — | — |
Module Reporting
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Tableau de bord global | L (site) | — | — | — |
| Rapport d'occupation par site | E | L | — | — |
| Rapport financier consolidé | — | — | — | — |
| Rapport d'accès et sécurité | E | L | — | — |
| Exporter les rapports | E (site) | — | — | — |
Module Configuration système
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Paramètres généraux | — | — | — | — |
| Gestion des sites | L | — | — | — |
| Intégrations tierces | — | — | — | — |
| Modèles d'emails | E | — | — | — |
| Tarifs et grilles de prix | L | — | — | — |
| Conservation des données (RGPD) | — | — | — | — |
| Configuration des contrôleurs d'accès | L | — | — | — |
Module Gestion des utilisateurs
| Fonctionnalité | Manager | Concierge | Employee | Customer |
|---|---|---|---|---|
| Voir la liste des utilisateurs | E (site) | — | — | — |
| Créer un compte manager | — | — | — | — |
| Créer un compte concierge | E | — | — | — |
| Créer un compte employee | E | — | — | — |
| Créer un compte customer | E | E | — | — |
| Modifier les rôles | E (≤ concierge) | — | — | — |
| Désactiver un compte | E (site) | — | — | — |
| Consulter le journal d'audit | L (site) | — | — | — |
Accès limité à un manager (mono-site vs multi-sites) {#accès-limité-à-un-manager}
Manager mono-site
Un manager peut être configuré pour n'avoir accès qu'à un seul site de votre organisation. Cette configuration est utile lorsque vous avez des managers de site indépendants qui ne doivent pas voir les données des autres établissements.
Configuration :- Accédez à Paramètres > Utilisateurs
- Sélectionnez le compte manager concerné
- Dans la section Périmètre d'accès, sélectionnez Sites assignés
- Cochez uniquement le site concerné
- Sauvegardez
Manager multi-sites
Un manager multi-sites peut superviser plusieurs établissements sans avoir accès aux paramètres globaux. Cela est utile pour les managers régionaux qui supervisent un groupe de sites.
Configuration :- Même chemin que précédemment
- Dans Périmètre d'accès, cochez plusieurs sites
- Le manager voit les données de tous les sites cochés de manière agrégée
Restrictions supplémentaires possibles
Au-delà du périmètre de sites, vous pouvez restreindre certaines permissions spécifiques pour un manager :
- Paiements : un manager peut avoir accès aux contrats et accès sans voir les données financières
- Export de données : désactivable individuellement pour limiter les risques de fuite de données
Rôles temporaires
Boxanet permet d'accorder un rôle élevé à un utilisateur pour une durée limitée, sans nécessiter de modification manuelle à l'expiration.
Cas d'usage
- Concierge assurant l'intérim d'un manager absent
- Prestataire externe ayant besoin d'un accès temporaire pour une intervention
- Nouveau manager en période de formation supervisée
Configurer un accès temporaire
- Accédez à Paramètres > Utilisateurs > sélectionnez l'utilisateur
- Section Rôle & Permissions
- Cliquez sur Accès temporaire
- Sélectionnez le rôle temporaire à accorder
- Définissez la date de début et la date de fin de l'accès
- Ajoutez une note explicative (obligatoire)
- Confirmez
Audit des changements de rôle
Chaque modification de rôle ou de permission dans Boxanet est enregistrée dans le journal d'audit, accessible aux managers pour leur périmètre de site.
Accéder au journal d'audit
- Accédez à Paramètres > Sécurité > Journal d'audit
- Filtrez sur le type d'événement Gestion des utilisateurs
Informations enregistrées pour chaque changement
| Information | Exemple |
|---|---|
| Date et heure | 27/06/2026 09h14:32 |
| Auteur de la modification | manager@boxanet-lyon.fr |
| Utilisateur modifié | Marie Dupont (concierge) |
| Action | Modification de rôle |
| Avant | Concierge – Site Lyon Centre |
| Après | Manager temporaire – Site Lyon Centre – jusqu'au 30/06/2026 |
| Note | Intérim direction pendant congé annuel |
Exporter le journal d'audit
Pour des besoins de conformité ou d'audit interne :
- Appliquez les filtres souhaités dans le journal
- Cliquez sur Exporter en CSV
- Le fichier contient l'ensemble des colonnes ci-dessus
Bonnes pratiques de gestion des accès
Principe du moindre privilège
Accordez à chaque utilisateur uniquement les permissions dont il a besoin pour accomplir son travail, ni plus, ni moins. Ce principe réduit la surface d'attaque en cas de compromission d'un compte et limite les erreurs de manipulation.
Application pratique :- Ne pas créer de comptes manager "au cas où" — si un concierge a ponctuellement besoin d'une permission manager, utilisez un accès temporaire
- Revoir les permissions de chaque utilisateur au moins une fois par an
- Désactiver immédiatement les comptes des personnes quittant l'organisation
Gestion des départs
Quand un employé quitte votre organisation :
- Désactivez son compte immédiatement dans Paramètres > Utilisateurs
- Révoquez ses moyens d'accès physiques (badge NFC, code PIN si partagé)
- Vérifiez l'historique récent de ses actions dans le journal d'audit
- Réinitialisez les mots de passe partagés si des credentials communs étaient utilisés (déconseillé)
Séparation des tâches
Pour les opérations sensibles, appliquez le principe de double validation :
- Un concierge peut créer un accès temporaire, mais la validation d'un contrat reste au manager
- Les remboursements nécessitent un second regard du manager même si le concierge détecte l'erreur
- Toute modification de tarif ou de condition générale passe par le manager
Comptes de service et intégrations
Si vous connectez Boxanet à des outils tiers (comptabilité, CRM, etc.) via l'API, créez des comptes dédiés pour ces intégrations plutôt que d'utiliser un compte personnel :
- Créez un compte avec le rôle minimum nécessaire à l'intégration
- Nommez-le clairement :
integration-compta@votredomaine.fr - Notez dans la description à quelle intégration il sert
- Révoquez-le si l'intégration est désactivée
Mots de passe et authentification
- Imposez une politique de mot de passe fort pour tous les comptes (minimum 12 caractères, mixte)
- Activez l'authentification à deux facteurs (2FA) pour tous les comptes manager
- Ne partagez jamais un compte entre plusieurs personnes — créez un compte individuel par personne