Retour au blog
HR Techportail managerautorisation

Portail manager : ce qu'un manager peut voir sur ses salariés (et ne devrait pas)

Publié le 2026-04-16 · Mis à jour le 2026-06-014 min de lectureCleanIssue

> En bref : Les portails manager sont souvent trop permissifs par défaut. Trois erreurs d'accès à corriger avant un audit client.

Quelles données RH un manager ne devrait-il jamais voir ?

Le portail manager mérite un audit dédié

Dans beaucoup de SIRH, le périmètre d'un manager est défini par une règle simple : "les salariés de mon équipe". La règle est souvent appliquée côté interface, pas côté base.

Pour aller plus loin — lire notre audit sécurité des logiciels de paie.

Les erreurs qu'on retrouve

  • un manager voit les salariés d'anciennes équipes même après mutation ;
  • un manager d'équipe voit des données qui devraient être RH uniquement (salaire, arrêts) ;
  • l'API permet de filtrer par manager_id mais n'empêche pas de changer ce filtre.
  • Le test qui remonte tout

    Se connecter avec un compte manager, essayer de lire les données d'un salarié hors de son équipe via l'API. Si ça passe, la règle n'est pas au bon endroit.

    Pour les éditeurs RH & Paie

    CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.

    À retenir

  • Appliquez le principe du moindre privilège : un manager ne doit voir que les données de son périmètre direct.
  • Auditez les endpoints API qui alimentent le portail — les filtres côté front ne protègent rien.
  • Loguez chaque accès aux données sensibles pour détecter les consultations anormales.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit