RGPD : une vaste campagne de sensibilisation est menée par Aragon-eRH pour porter conseil et assistance à ses clients
Nombreuses sont les entreprises concernées, que celles-ci soient d’envergure nationale ou internationale, par l’application du Règlement Européen sur la Protection des Données (RGPD) fixée au 25 mai 2018. En effet, le RGDP met sur le même pied d’égalité les entreprises établies au sein de l’Union européenne et celles basées hors d’Europe puisqu’il s’applique à tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.
Bien qu’une tolérance sera accordée par les autorités de contrôle jusqu’à la fin de l’année 2018, chaque entreprise doit être en mesure de justifier, à compter du 25 mai 2018, de l’existence d’un plan d’actions visant sa mise en conformité au RGPD.
Concernée au premier chef par le RGPD se trouve la Direction des Ressources Humaines dont la vocation est de manipuler un grand nombre de données nominatives. Est-il besoin de rappeler que la finalité de ces données – qui se trouvent stockées dans la base de données du SIRH voire parfois dans des fichiers Excel – est de servir à l’établissement de la paie et des déclarations, au recrutement, au suivi de carrières ou encore aux entretiens ? Avec la digitalisation croissante des processus de gestion, jamais la fonction RH n’a eu à traiter autant de données. Du reste, la mise en conformité de certaines entreprises internationales pourra s’avérer beaucoup plus fastidieuse que pour d’autres, au regard ne serait-ce que de la prise en compte des spécificités légales, conventionnelles et réglementaires des différents pays de l’UE.
Faisons le point sur la façon de tenir une documentation interne complète sur les données à caractère personnel, et de s’assurer que leurs traitements respectent bien les obligations légales (actuelles et nouvelles).
Aragon-eRH met à la disposition des utilisateurs de la solution OneAragon un kit RGPD qui contient des outils opérationnels pour contribuer à leur mise en conformité au règlement. Ce kit est un élément essentiel de la documentation à produire à l’attention de l’autorité de contrôle (propre à chaque pays). Par ailleurs, eu égard à la co-responsabilité des responsables des traitements et de leurs sous-traitants, de nouvelles fonctionnalités dédiées au RGPD ont été ajoutées dans la solution OneAragon. Nombreuses sont nos entreprises clientes internationales à gérer des ressortissants de l’Union Européenne et, il est essentiel pour elles de disposer d’un système d’information qui leur permet notamment de respecter, pays par pays, les durées maximales de conservation. L’enjeu est de pouvoir supprimer les données dans le respect des dispositions légales, réglementaires et conventionnelles. L’exercice du droit à l’oubli est effectivement une nouveauté amenée par le RGPD, mais il faut savoir que si les durées de conservation légales réglementaires prévalent en matière d’effacement (Cf. Art. 17.3.b du RGPD), les durées de conservations conventionnelles ne prévalent pas forcément sur le droit à l’oubli ! ».
Pierre Meunier-Sirven, Directeur du pôle Services, Aragon-eRH (Digital Dimension, Groupe Econocom).
RGPD : de quelles nouvelles obligations parle-t-on ?
Le RGPD renforce et complète les fondements de la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés. La conformité à ce nouveau règlement Européen implique pour les entreprises de mettre en œuvre un plan d’actions pour protéger encore davantage les droits et libertés des personnes physiques, et notamment ceux qui concernent leurs Données à Caractère Personnel (DCP).
Des mesures doivent ainsi être prises pour formaliser un registre des traitements, garantir l’exercice des différents droits des personnes, respecter les durées de conservation et enfin, mettre en œuvre une gestion des risques afférents à la sécurité et à la confidentialité des données.
5 règles d’or sont à respecter pour chaque traitement :
- Licéité, loyauté, transparence : les données doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée » ;
- Limitation des finalités (minimisation) : les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » ;
- Exactitude des données : les données doivent être exactes et, si nécessaire, tenues à jour ;
- Limitation de la durée de conservation des données : les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
- Intégrité et confidentialité (Art. 34 de la Loi Informatique et Libertés) les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées ».
C’est précisément dans ces objectifs ainsi que pour assurer son obligation de conseil et d’assistance qu’Aragon-eRH a mis en conformité sa solution OneAragon et a conçu un Kit RGPD.
1) OneAragon : de nouvelles fonctionnalités pour répondre aux besoins stratégiques et réglementaires des entreprises à l’égard du RGPD
OneAragon a affiné sa gestion dynamique des droits des personnes tout en maîtrisant les risques liés au RGPD.
Pour diminuer autant que possible les risques d’intrusion indésirable et de violation des données, la couche sécuritaire et le cadenassage des données ont été renforcés et les contrôles sur les habilitations sont systématisés.
Un plan d’actions est en cours pour garantir la sécurité optimale des données avec un objectif de minimisation et de proportionnalité (Privacy By Design) pour une mise en conformité avant fin 2018. De plus, Aragon-eRH vise l’obtention de la certification 27001 ISO/CEI 27001 pour 2019
2) Un kit RGPD mis à la disposition par Aragon-eRH à ses clients pour garantir leur conformité au règlement
Afin de satisfaire les besoins opérationnels de ses clients et leur permettre de documenter leur démarche de conformité à destination de l’autorité de contrôle, ce kit comporte un ensemble d’outils sous forme de modèles pour :
- Lister les données collectées en vue de toiletter les formats de données si nécessaire, et de vérifier la licéité, la finalité, la proportionnalité, l’actualisation, la durée de conservation et les modalités de gestion sécuritaire des DCP.
Les DCP utilisées par les entreprises peuvent être génétiques, mentales, culturelles, économiques et sociales :- DCP courantes : État-civil, identité, données d’identification, vie personnelle (habitudes de vie, situation familiale, hors données sensibles ou dangereuses…), vie professionnelle (CV, scolarité formation professionnelle, distinctions…), informations d’ordre économique et financier (revenus, situation financière, situation fiscale…), données de connexion (adresses IP, journaux d’événements…), données de localisation (déplacements, données GPS, GSM…).
- DCP perçues comme sensibles : Numéro de sécurité sociale (NIR), données biométriques, données bancaires.
- DCP sensibles au sens de la loi : Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciale ou ethnique, relatives à la santé ou à la vie sexuelle, infractions, condamnations, mesures de sécurité.
- Confirmer l’obtention du consentement éclairé et explicite de la part des intéressés pour ce qui concerne l’utilisation de leurs données personnelles, et assurer la traçabilité des demandes d’exercice des droits des personnes :
- Droit de donner ou non son consentement pour la collecte et le traitement de leurs DCP.
- Droit à la limitation de traitement, et droit à l’opposition à une décision individuelle automatisée (profilage).
- Droit de rectification.
- Droit à l’effacement et droit à l’oubli.
- Droit à l’information en cas de piratage de données personnelles et/ou de la survenue d’un incident lié à la sécurité (dans les 24 heures et, notification de l’autorité de contrôle dans un délai de 72h).
- Droit à la portabilité des données.
- Cartographier tous les traitements effectués pour chaque processus RH réalisé avec OneAragon, et tenir un registre de tous les traitements de DCP (finalité, durée de conservation et mesures de protection sécuritaires mises en œuvre) :
- les différents traitements de données personnelles,
- les catégories de données personnelles traitées,
- les objectifs poursuivis par les opérations de traitement de données,
- les acteurs (internes ou externes) qui traitent ces données,
- les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
- Le Plan d’Assurance Gestion des Données à Caractère Personnel, formalisant le plan d’actions et les responsabilité de chacun (clients et Aragon-eRH)
Pour résumer, la vocation de ce kit est de permettre aux clients d’Aragon-eRH de préciser :
- Pour chaque activité recensée :
- la finalité de l’action (par exemple, effectuer un suivi de carrière),
- les données utilisées (cf. A),
- les personnes ayant accès aux données. Il s’agit notamment de vérifier les habilitations des profils d’utilisateurs de OneAragon appelés à effectuer des traitements sur les DCP (la seule consultation à l’écran d’une DCP d’une personne physique en est un),
- la durée de conservation des données du point de vue opérationnel et en archive. Automatiser la suppression des données unitaires ou en masse selon les cas, après avoir pris en compte les dispositions légales, de branche ou conventionnelle et aussi les périodes de prescription relatives aux contentieux salariés par exemple et selon les pays.
- Pour chaque intervenant, les responsabilités de chacun.
