Cet article propose un mécanisme de contrôle d'accès pour les BD relationnelles basé sur la provenance. La source d'une donnée définit des autorisations sur ses tuples ; les autorisations sont ensuite propagées quand les tuples sont combinés par des requêtes. Chaque tuple possède ainsi une trace grâce à laquelle les autorisations résultantes peuvent être déterminées en accord avec l'ensemble des sources ayant contribué. Nous décrivons et formalisons ce modèle de sécurité et nous proposons une première conception sous certaines hypothèses de confiance. Des pistes permettant de relâcher ces hypothèses sont également proposées.