Vérification de l'accès...
Guide d'actions concret pour paramétrer l'organisation Claude Team cette semaine. On reste en Team (pas Enterprise pour l'instant).
Claude Team. Bascule Enterprise plus tard (voir §4).
Entité SELAS POINTGYN, compte cto@one.fr, Ludo = Owner.
RGPD strict. Pas de BAA en Team ⇒ règle absolue : zéro PHI.
✅ fait (S75) · ⬜ à faire cette semaine · 🔎 à vérifier dans l'admin · ⚠️ piège
| Action | Où (admin Team) | Statut | Note |
|---|---|---|---|
| Confirmer Ludo = Owner (identité cto@one.fr) | Réglages org → Membres | ✅ S75 | Owner = tout + facturation |
| Ajouter un Admin IT secondaire (Brehima / Alban / Maxime) | Membres → inviter → rôle Admin | ⬜ | Ne pas dépendre du seul compte CTO. Admin = membres/politiques/connecteurs, pas la facturation |
| Couper les invitations membre-à-membre auto | Réglages org → Organisation → invitations | ⬜ 🔎 | Sur Team, invites membre-à-membre + liens ON par défaut → en santé, désactiver ou « Approuver un par un » |
| Restreindre les liens d'invitation partagés | Réglages org → Organisation | ⬜ 🔎 | Un lien attribue le « plus bas siège dispo » → fuite d'accès possible |
| Définir le process d'invitation (qui invite, validation) | Procédure interne | ⬜ | Invitation contrôlée plutôt qu'ouverte (santé) |
Rappel : rôles custom + user groups = Enterprise uniquement. Sur Team, jeu fixe Owner / Admin / Member.
| Action | Où | Statut | Note |
|---|---|---|---|
| Vérifier le domaine @one.fr (domain capture) | Réglages org → Sécurité / Domaine (WorkOS) | ⬜ 🔎 | Domain capture dispo sur Team (doc Anthropic 2026). Rattache les comptes @one.fr au workspace |
| Choisir auto-join vs invitation contrôlée | Réglages org → Organisation | ⬜ | Santé : invitation contrôlée recommandée (pas d'auto-join ouvert) |
| (Option) SSO Microsoft Entra ID + JIT | Réglages org → SSO (WorkOS) | ⬜ 🔎 | SSO + JIT descendus sur Team (2026, via WorkOS, compatible Entra). ⚠️ SCIM reste Enterprise. Lire l'avertissement Anthropic avant activation |
| Action | Où | Statut | Note |
|---|---|---|---|
| Vérifier que l'entraînement est OFF | Réglages org → Données / confidentialité | ⬜ 🔎 | Exclusion contractuelle (Anthropic = sous-traitant). Pas de toggle par user → faire une capture d'archive |
| Acter la politique de rétention | Réglages org → Données | ⬜ 🔎 | À confirmer : purge ~30 j ou conservation indéfinie non modifiable sur Team. Rétention configurable = Enterprise. Noter la valeur réelle |
| Récupérer & archiver le DPA RGPD (art. 28) | claude.com / commercial | ⬜ | DPA dispo Team. À classer dans le dossier conformité ONE |
| Formaliser la politique « zéro PHI » par écrit | Doc interne + instructions projet + onboarding | ⬜ | Pas de BAA → aucune donnée patient. À répéter dans chaque projet |
| Réserver l'ajout de connecteurs aux Admins | Réglages org → Connecteurs | ⬜ 🔎 | Empêcher un Member d'ajouter un connecteur non scopé |
| Action | Où | Statut | Note |
|---|---|---|---|
| 3 connecteurs M365 (Documents / Teams / Email) connectés | Réglages org → Connecteurs | ✅ S75 | Protection = ACL M365 par utilisateur (email = par boîte) |
| Vérifier les scopes du consentement admin M365 | Connecteurs → M365 | ⬜ 🔎 | Confirmer que le consentement tenant n'ouvre pas plus large que prévu |
| Vérifier que Claude respecte les ACL M365 | Test avec un compte Member | ⬜ | Un user ne voit que ses droits |
| NE PAS rebrancher M365 sur les 3 slots séparément | — | ⚠️ S75 | 🚨 Piège : « A server with this URL already exists ». M365 = connecteur unique (docs+mail+Teams). Le connecter une seule fois |
| Décider : élargir les sources maintenant (Team/ACL) ou attendre Enterprise | Décision Ludo/CTO | ⬜ | Scoping fin par site SharePoint limité sur Team (managed policies = Enterprise). RH/médical : garde-fou = ACL + zéro PHI |
| Action | Où | Statut | Note |
|---|---|---|---|
| Projet « Assistant IA siège ONE Clinic » créé & partagé | Projets → Partager | ✅ S75 | Partage org possible sur Team |
| Renseigner les instructions Projet (cadre + rappel zéro PHI) | Projet → Instructions | ✅/⬜ 🔎 | Vérifier que « zéro donnée patient » y figure |
| Charger la base de connaissance | Projet → Connaissances | ✅/⬜ | Recueil bonnes pratiques prompts + contexte cartographie |
| Régler les permissions (Can use vs Can edit) | Projet → Membres | ⬜ | « Can use » par défaut pour l'équipe ; « Can edit » réservé Ludo/Alba |
| Gouvernance : qui peut créer / partager org-wide | Réglages org + convention | ⬜ | Règle : Ludo/Alba valident avant un partage org-wide + convention de nommage |
| Action | Où | Statut | Note |
|---|---|---|---|
| Skill assistant-ia-siege déployée org-wide | Réglages org / bibliothèque de skills | ✅ S75 | Déploiement org-wide dispo sur Team (Owner) |
| Process de publication d'une skill (qui publie, qui valide) | Convention interne | ⬜ | Gouvernance fine = Enterprise ; sur Team via Owner/Admin → validation Ludo/Alba avant publication org |
| Capitalisation 2 niveaux | Skill/mémoire vs recueil équipe | ✅/⬜ | « pour moi » (privé) · « pour l'équipe » (recueil validé) |
| Action | Où | Statut | Note |
|---|---|---|---|
| Cadrer le nombre de sièges (périmètre siège) | Réglages org → Facturation | ⬜ | Team supporte jusqu'à 150 sièges ; au-delà → Enterprise. Prix à reconfirmer |
| Choisir le type de siège (Standard / Premium) par user | Réglages org → Organisation | ⬜ | Admin+ peut réattribuer les types de siège |
| Poser les plafonds de dépense (org + par user) | Réglages org → Spend controls | ⬜ 🔎 | Spend controls dispo sur Team. Définir un cap mensuel org |
| Vérifier la facturation sur le compte ONE (cto@one.fr) | Réglages org → Facturation | ⬜ | Seuls Owner / Primary Owner y accèdent |
Principe : poser d'abord les garde-fous données/sécurité, puis membres/rôles + admin IT, puis domaine, puis connecteurs scopés, puis projets partagés, enfin skills. On ne touche pas à la donnée patient.
Pour le détail Team vs Enterprise, les arbitrages et les 12 questions au commercial Anthropic (HDS, résidence UE, BAA, prix/engagement, migration) : voir le document « Paramétrage Claude Enterprise — checklist » (hub IA Factory).