## Pourquoi c'est important

L'accès aux modules fonctionne en tout ou rien : donnez à quelqu'un l'accès à la Sécurité et il voit tous les rapports ; donnez-lui la Prospection et il voit toutes les campagnes. Ce périmètre est parfois trop étendu. Un rapport sensible ou une campagne à fort enjeu ne devrait être visible que des quelques personnes qui le pilotent — et certaines d'entre elles doivent pouvoir le *gérer* quand d'autres se contentent de *suivre*.

**L'accès par élément** vous donne les deux commandes sur un seul élément :

- **Restreignez-le**, pour que seuls des coéquipiers triés sur le volet (et les admins du module) puissent le voir.
- **Accordez** à chacun de ces coéquipiers un rôle — **Membre** pour consulter, **Responsable** pour gérer.

C'est la couche d'accès la plus fine, posée au-dessus des deux plus larges.

## Comment cela s'articule avec les rôles et les modules

| Couche | Périmètre | Où la définir |
|--------|-----------|---------------|
| [Rôle d'équipe](/docs/team-roles) | Tout le compte | **Paramètres → Équipe**, sur le membre |
| [Niveau produit](/docs/team-access-control) | Un produit entier (Recrutement, Sécurité, Prospection, Formation) | La matrice des modules |
| Accès par élément | Un rapport ou une campagne en particulier | Sur l'élément, ou depuis la page d'accès du membre |

Deux commandes indépendantes composent cette couche :

- **La restriction** décide *qui peut voir l'élément*. Un élément ouvert (le réglage par défaut) est visible par toute personne disposant du module ; un élément restreint n'est visible que par ses bénéficiaires et les admins du module.
- **Le rôle accordé** décide *ce qu'un bénéficiaire peut faire* une fois l'élément visible.

> [!NOTE]
> L'accès par élément ajoute des possibilités **à l'intérieur** d'un module — il ne remplace jamais l'accès au module. Un bénéficiaire doit toujours avoir au moins l'accès **Membre** au module de l'élément (Sécurité pour les rapports, Prospection pour les campagnes) pour que l'attribution prenne effet. Sans cela, elle reste en sommeil dans son journal des accès et ne fait rien tant que vous n'élevez pas son niveau produit.

## Ouvert ou restreint

Chaque rapport et chaque campagne démarre **ouvert** : toute personne disposant du module peut le voir, exactement comme avant. La restriction est facultative et se décide élément par élément — rien ne change pour vos éléments existants tant que vous ne décidez pas d'en verrouiller un.

Ouvrez l'élément et repérez sa section **Accès**. Elle indique si l'élément est ouvert ou restreint, avec un bouton pour basculer :

- **Restreindre l'accès** — masque l'élément à tout le monde, sauf à ses bénéficiaires et aux admins du module. Accordez d'abord l'accès aux bonnes personnes (ou juste après), pour que personne n'en perde la trace en cours de route.
- **Lever la restriction** — rouvre l'élément à toute personne disposant du module.

Seuls les **admins du module** peuvent restreindre ou rouvrir un élément.

## Accorder un rôle

Dans la même section **Accès**, cliquez sur **Accorder l'accès**, choisissez le **membre de l'équipe**, sélectionnez un **rôle** et confirmez avec **Accorder**. La nouvelle ligne apparaît aussitôt.

Ce que chaque rôle permet dépend de l'élément :

| | Attribution **Membre** | Attribution **Responsable** |
|---|---|---|
| **Rapport de sécurité** | Le voir et y participer — évaluer, échanger des messages, partager, lier des références | Tout ce que peut un Membre, **plus** trier, attribuer et gérer qui d'autre y a accès |
| **Campagne de prospection** | La voir (lecture seule) | La voir, **plus** la modifier, la mettre à jour et gérer qui d'autre y a accès |

Les admins du module peuvent toujours accorder l'accès. Sur un rapport de sécurité, un **Responsable** le peut aussi — un responsable peut donc faire venir exactement le renfort dont il a besoin, sans attendre un admin.

## Accorder depuis la page du membre

Quand vous avez déjà une personne sous les yeux — par exemple au moment de la mettre en place sur un élément précis — accordez l'accès depuis son côté. Allez dans **Paramètres → Équipe → Membres**, ouvrez le membre et cliquez sur **Accorder l'accès…** au-dessus de son journal des accès. Choisissez le rapport ou la campagne, sélectionnez le rôle, puis confirmez. L'attribution arrive immédiatement dans son journal ; son accès aux modules reste exactement le même.

## Lire et révoquer les attributions

Le [journal des accès](/docs/team-access-control) de la page d'un membre liste tout ce qu'il peut toucher. Chaque ligne d'accès par élément vous indique :

- **Accordé par** — qui a créé l'attribution, pour qu'un audit ait un nom, pas seulement une date
- **Accordé** — quand cela s'est produit
- **via admin du module** — une ligne portant ce badge n'est pas une attribution individuelle : la personne atteint l'élément parce que son niveau produit est Admin. Ces lignes n'ont pas de bouton de révocation — pour retirer cet accès, abaissez plutôt son [niveau produit](/docs/team-access-control).

Chaque attribution réelle a son propre bouton **Révoquer**, à la fois dans la section **Accès** de l'élément et dans le journal du membre. En révoquer une ne retire que cet élément — les niveaux produit et les autres attributions restent intacts. Au départ d'un membre, **Révoquer l'accès…** sur sa page supprime chaque niveau produit *et* chaque attribution en une seule étape, comme décrit dans [Contrôle des accès de l'équipe](/docs/team-access-control).

## Checklist

- [ ] Ne restreignez que les éléments qui exigent vraiment un cercle plus restreint — laissez les autres ouverts
- [ ] Accordez l'accès aux bonnes personnes **avant** de restreindre, pour que personne ne perde l'accès en plein travail
- [ ] Utilisez **Membre** pour les personnes qui doivent seulement suivre, **Responsable** pour celles qui pilotent l'élément
- [ ] Vérifiez qu'un bénéficiaire a au moins l'accès **Membre** au module de l'élément, sinon l'attribution reste en sommeil
- [ ] Au moment d'un audit, lisez la colonne **Accordé par** — chaque attribution a un responsable identifié
- [ ] Ne cherchez pas de bouton de révocation sur les lignes « via admin du module » — ajustez plutôt le niveau produit
- [ ] Avant un départ, souvenez-vous que **Révoquer l'accès…** supprime toutes les attributions d'un coup