Dans les publications, j'ai un champs de type entityref qui pointe vers les autrices.
Pas de soucis en admin : quand je crée une publication, je vois bien la liste des autrices, mais le plus bas role ne voit pas cette liste, n'a qu'une seule valeur : aucune... Si à cet user on ajoute un role plus fort: il a accès à cette liste. C'est donc bien un soucis de perm sur le résultat d'une requette sur la liste des autrices.
En fait, c'était dans la vue, qu'il y avait trop de sécurité sur les groupes de users :)