PeopleSpheres & RGPD

On garantit la conformité aux normes de l’industrie

PeopleSpheres s’engage à assurer la sécurité de vos données

Nous nous soumettons aux normes les plus strictes

  • Dossiers de traitement: suivi continu et mis à jour
  • Contrôle interne et sensibilisation: procédures opérationnelles et politiques de sensibilisation permanente
  • Révision des conditions contractuelles: révision de toutes les conditions de partenariat et de sous-traitance et conseils opérationnels pour les clients de PeopleSpheres.
  • Délégué à la protection des données: DPO attitré avec un budget, du temps et des ressources alloués. Il supervise la communication interne et externe.
PeopleSpheres RGPD

Une solution conçue pour sécuriser vos données

  • Contrôle d'accès: possibilité de créer et de gérer des rôles, cartographie des accès en fonction des droits individuels, y compris les autorisations de visibilité, d'édition et de suppression.
  • Chiffrement les données sensibles, les bases de données et les mots de passe des fichiers clients sont chiffrés. Transferts de données sécurisés.
  • Partitionnement: base de données dédiée à chaque client, avec des restrictions de visibilité interne gérées par des autorisations basées sur les rôles.
  • Exercice des droits: PeopleSpheres est conçu pour faciliter l'exercice des droits relatifs aux données personnelles accordés par la RGPD, y compris le droit d'accès, de suppression, d'exportation, etc.
PeopleSpheres RGPD

Contrôles de sécurité de bout en bout

Chez PeopleSpheres, nous nous efforçons d’être votre partenaire de confiance en devenant un exemple de sécurité, de fiabilité et de transparence. Notre approche globale de la sécurité des données et de la conformité comprend

  • Infrastructure certifiée
  • Audité par Sysdream : pentests, DDOS, etc.
  • Audits clients récurrents
  • Audit interne par notre DPO
  • Données hébergées en France
  • Cryptage des disques et cryptage de bout en bout des sauvegardes à distance
  • Haute granularité des règles de suppression des données (surveillance PSO)
Image RGPD Peoplespheres

PeopleSpheres s’engage à assurer la sécurité de vos données

Comment PeopleSpheres gére le traitement RGPD ?

+

Le règlement à la protection des données s’inscrit dans la suite logique de la loi informatique et liberté. Nous possédions ainsi une base. Ce nouveau règlement a ajouté des principes et des obligations : nous avons déployé les ressources nécessaires à la bonne mise en œuvre et application de ces nouvelles règles. Aujourd’hui, un DPO gère les différents sujets touchant à cette problématique.

Le RGPD ou Règlement Général sur la Protection des Données complète la loi déjà existante sur l’informatique et la liberté. Nous avons mis en place tous les moyens nécessaires pour les respecter. Nous avons aujourd’hui un délégué à la protection des données qui s’occupe des différents programmes liés à la protection des données. Nous avons aussi renforcé, en interne, la sensibilisation au RGPD et aux procédures de gestion de vos données.

Comme le conseille la CNIL, nous avons construit un registre des traitements des données et mettons au même niveau nos activités de responsable de traitement et nos activités de sous-traitants. Nous sommes donc conformes au RGPD pour ces deux pans de notre activité.

Quelle méthode a été employée pour être conforme ?

+

Premièrement, nous avons commencé par prendre connaissance de la législation. Après cette phase de lecture et de compréhension, nous avons déterminé les points importants et les améliorations possibles de nos pratiques quotidiennes.

L’objectif était de développer encore plus le travail d’évaluation réalisé. PeopleSpheres s’est appuyé sur le label CNIL Gouvernance qui intègre les principes du RGPD. Finalement, ces deux phases nous ont donné un plan d’action clair et précis.

La suite de la méthodologie employée a été conduite à partir des fondamentaux de la gestion de risque. C’est-à-dire : évaluation, priorisation, corrections et prévention.

Quels sont les lieux de stockage des données chez PeopleSpheres ?

+

Nous avons obtenu différents lieux de stockage grâce à nos partenaires. La plupart des données sont stockées en France, le reste est stocké en Angleterre.

Stockage local des données : quelles sont les obligations ?

+

La législation pose une obligation sur le stockage des données en toute sécurité et oblige à poser un cadre sur les transferts de données hors UE.
Si vous aspirez à transférer les données hors Union Européenne, il vous faudra regarder si la CNIL autorise à transférer les données vers ce pays.

Vous avez accès ci-dessous à un lien vers une mappemonde dynamique. Elle vous permet d’estimer le taux de sécurité que le pays peut vous offrir.

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Anonymisation des données : quelles sont les règles à respecter ?

+

La suppression / anonymisation sont modifiés avec le RGPD à travers deux éléments.

  • Chapitre II, Article 5, Alinéa e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
  • Chapitre III, Section 3, Article 17 : Droit à l’effacement (« droit à l’oubli »).

Deux règles sont donc à considérer.

La première règle porte sur la conservation. La conservation doit être appliquée aussi longtemps que nécessaire. La durée de conservation varie suivant les besoins de l’activité et les obligations légales.

La seconde règle est le droit à l’oubli. Lorsque la période de conservation obligatoire est dépassée, les données peuvent être supprimées à la demande de la personne.

Pour en savoir plus, l’article du règlement est consultable ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

Des documents explicatif du RGPD sont-ils mis à disposition ?

+

Chez PeopleSpheres, nous avons bien pris conscience de l’inquiétude et de l’effet que peut causer une telle loi pour les gestionnaires RH. C’est pourquoi tous nos clients peuvent trouver des dossiers explicatifs dédiés au RGPD dans notre centre de support PeopleSpheres.

Si vous désirez les lire, allez dans la barre de recherche et écrivez « RGPD ».

Vous aurez accès aux documents suivants :

  • RGPD : Droits des personnes concernées
  • RGPD : Informer mes collaborateurs
  • RGPD : Plan d’action Conformité NeoSpheres
  • RGPD : Rédiger votre politique interne concernant la protection des données
  • RGPD : Bases juridiques et intérêts légitimes*
  • RGPD : Renseigner PeopleSpheres dans mon registre des traitements

Les consultants doivent-ils respecter certaines règles précises ?

+

Notre équipe de consultants est soumise à des règles exigeantes en interne. Ils ont pour obligation de respecter ces différentes règles lors de leur travail :

  • Confidentialité
  • Règles de limitation de la conservation des données
  • Règles de sécurisation des transferts de fichiers
  • Agir sur consignes écrites

Gardez à l’esprit que l’équipe des consultants n’est pas obligée de répondre à toutes vos interrogations lorsqu’il s’agit de protection des données. Elle vous orientera la plupart du temps vers le délégué à la protection des données qui saura répondre à toutes vos questions.

Des fichiers non cryptés sont ils acceptés ?

+

Non, ce n’est pas possible. Notre entreprise a affermi ses procédures. L’envoi de fichiers contenant des données personnelles n’est plus accepté par les consultants.

SI vous souhaitez plus d’informations, il vous est possible d’effectuer une demande pour obtenir notre guide explicatif de ce nouveau fonctionnement.

Les deux principales méthodes d’anonymisation des données sont la randomisation et la généralisation. Les éditeurs ont majoritairement recours à une de ses deux approches.

Lorsqu’il s’agit de supprimer des données, la manipulation est la technique permettant d’effacer certains éléments de la base active. Ces éléments seront supprimés grâce à la synchronisation des bases de sauvegarde.

Quels délais de réponse maximum auprès des collaborateurs ?

+

Si vous souhaitez exercer un de vos droits, l’entreprise a un mois pour vous répondre après réception de votre demande.

Il est possible que l’entreprise reçoive une multitude de demandes. Dans ce cas-là elle peut ajouter un temps additionnel de réponse de deux mois (ce qui peut faire un total maximum de trois mois).

Elle doit néanmoins vous tenir informer de ce changement de délai dans le mois qui suit la réception de votre demande par l’entreprise. La compagnie n’est pas tenue de préciser les délais.

PeopleSpheres va-t-il être certifié GDPR Compliant ?

+

Nous étudions actuellement les certifications qui sont disponibles en France et la certification AFAQ Protection Des Données retient particulièrement notre attention. Nous vous tiendrons évidemment informé de toutes évolutions concernant les certifications.