PeopleSpheres & RGPD

Le règlement à la protection des données s’inscrit dans la suite logique de la loi informatique et liberté. Nous possédions ainsi une base. Ce nouveau règlement a ajouté des principes et des obligations : nous avons déployé les ressources nécessaires à la bonne mise en œuvre et application de ces nouvelles règles. Aujourd’hui, un DPO gère les différents sujets touchant à cette problématique.

Le RGPD ou Règlement Général sur la Protection des Données complète la loi déjà existante sur l’informatique et la liberté. Nous avons mis en place tous les moyens nécessaires pour les respecter. Nous avons aujourd’hui un délégué à la protection des données qui s’occupe des différents programmes liés à la protection des données. Nous avons aussi renforcé, en interne, la sensibilisation au RGPD et aux procédures de gestion de vos données.

Comme le conseille la CNIL, nous avons construit un registre des traitements des données et mettons au même niveau nos activités de responsable de traitement et nos activités de sous-traitants. Nous sommes donc conformes au RGPD pour ces deux pans de notre activité.

Premièrement, nous avons commencé par prendre connaissance de la législation. Après cette phase de lecture et de compréhension, nous avons déterminé les points importants et les améliorations possibles de nos pratiques quotidiennes.

L’objectif était de développer encore plus le travail d’évaluation réalisé. PeopleSpheres s’est appuyé sur le label CNIL Gouvernance qui intègre les principes du RGPD. Finalement, ces deux phases nous ont donné un plan d’action clair et précis.

La suite de la méthodologie employée a été conduite à partir des fondamentaux de la gestion de risque. C’est-à-dire : évaluation, priorisation, corrections et prévention.

Nous avons obtenu différents lieux de stockage grâce à nos partenaires. La plupart des données sont stockées en France, le reste est stocké en Angleterre.

La législation pose une obligation sur le stockage des données en toute sécurité et oblige à poser un cadre sur les transferts de données hors UE.
Si vous aspirez à transférer les données hors Union Européenne, il vous faudra regarder si la CNIL autorise à transférer les données vers ce pays.

Vous avez accès ci-dessous à un lien vers une mappemonde dynamique. Elle vous permet d’estimer le taux de sécurité que le pays peut vous offrir.

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

La suppression / anonymisation sont modifiés avec le RGPD à travers deux éléments.

• Chapitre II, Article 5, Alinéa e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
• Chapitre III, Section 3, Article 17 : Droit à l’effacement (« droit à l’oubli »).

Deux règles sont donc à considérer.

La première règle porte sur la conservation. La conservation doit être appliquée aussi longtemps que nécessaire. La durée de conservation varie suivant les besoins de l’activité et les obligations légales.

La seconde règle est le droit à l’oubli. Lorsque la période de conservation obligatoire est dépassée, les données peuvent être supprimées à la demande de la personne.

Pour en savoir plus, l’article du règlement est consultable ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

Chez PeopleSpheres, nous avons bien pris conscience de l’inquiétude et de l’effet que peut causer une telle loi pour les gestionnaires RH. C’est pourquoi tous nos clients peuvent trouver des dossiers explicatifs dédiés au RGPD dans notre centre de support PeopleSpheres.

Si vous désirez les lire, allez dans la barre de recherche et écrivez « RGPD ».

Vous aurez accès aux documents suivants :

• RGPD : Droits des personnes concernées
• RGPD : Informer mes collaborateurs
• RGPD : Plan d’action Conformité NeoSpheres
• RGPD : Rédiger votre politique interne concernant la protection des données
• RGPD : Bases juridiques et intérêts légitimes*
• RGPD : Renseigner PeopleSpheres dans mon registre des traitements

Notre équipe de consultants est soumise à des règles exigeantes en interne. Ils ont pour obligation de respecter ces différentes règles lors de leur travail :

• Confidentialité
• Règles de limitation de la conservation des données
• Règles de sécurisation des transferts de fichiers
• Agir sur consignes écrites

Gardez à l’esprit que l’équipe des consultants n’est pas obligée de répondre à toutes vos interrogations lorsqu’il s’agit de protection des données. Elle vous orientera la plupart du temps vers le délégué à la protection des données qui saura répondre à toutes vos questions.

Non, ce n’est pas possible. Notre entreprise a affermi ses procédures. L’envoi de fichiers contenant des données personnelles n’est plus accepté par les consultants.

SI vous souhaitez plus d’informations, il vous est possible d’effectuer une demande pour obtenir notre guide explicatif de ce nouveau fonctionnement.

Les deux principales méthodes d’anonymisation des données sont la randomisation et la généralisation. Les éditeurs ont majoritairement recours à une de ses deux approches.

Lorsqu’il s’agit de supprimer des données, la manipulation est la technique permettant d’effacer certains éléments de la base active. Ces éléments seront supprimés grâce à la synchronisation des bases de sauvegarde.

Si vous souhaitez exercer un de vos droits, l’entreprise a un mois pour vous répondre après réception de votre demande.

Il est possible que l’entreprise reçoive une multitude de demandes. Dans ce cas-là elle peut ajouter un temps additionnel de réponse de deux mois (ce qui peut faire un total maximum de trois mois).

Elle doit néanmoins vous tenir informer de ce changement de délai dans le mois qui suit la réception de votre demande par l’entreprise. La compagnie n’est pas tenue de préciser les délais.

Nous étudions actuellement les certifications qui sont disponibles en France et la certification AFAQ Protection Des Données retient particulièrement notre attention. Nous vous tiendrons évidemment informé de toutes évolutions concernant les certifications.