9 min
Tout savoir sur la Data Deletion ou effacement des données en entreprise
Rédigé par
Dans une entreprise, de nouvelles données sont créées chaque jour. Mais dans quelle mesure une organisation doit-elle effacer ces données ?
Les entreprises du monde entier doivent traiter avec de grandes quantités de données confidentielles et personnelles. Une des problématiques rencontrées par ces organisations est la gestion de ces données. De ce fait, il est indispensable pour une entreprise de mettre en place une procédure d’effacement des données, également appelée la « Data Deletion » afin d’être conforme à la règlementation en vigueur dans les pays où elle exerce son activité. En effet, lorsque la procédure d’effacement des données n’est pas implantée efficacement, cela peut entraîner la fuite de données sensibles et ainsi de lourdes sanctions pénales et financières pour l’entreprise.
Nos autres articles :
RGPD : et si on protégeait vos données ?
RGPD : les conditions sine qua non à la licéité des traitements
Data Deletion : les obligations des entreprises
Toute organisation, à but lucratif ou non lucratif, doit mettre en œuvre des méthodes d’assainissement des données personnelles afin de garantir les droits des personnes. Le droit à l’effacement des données à caractère personnel est prévu par le Règlement général sur la protection des données (RGPD).
Ne manquez pas notre article sur comment appliquer une politique interne de protection des données.
Par ailleurs, les dispositions de l’article 17 sur le respect du RGPD affirment que le droit à l’effacement n’est pas un droit absolu. Cependant, la Data Deletion représente une obligation légale dans les situations suivantes :
- Lorsque les données sont utilisées à des fins de prospection et font l’objet d’une demande d’effacement de la part d’autrui ; la « Data Deletion » devient alors obligatoire au regard de la législation française et du respect de la protection des données personnelles.
- Lorsque les données personnelles ne répondent plus aux finalités pour lesquelles elles avaient initialement été recueillies ou traitées. Nous pouvons prendre l’exemple de la résiliation d’un contrat pour illustrer cette situation.
- Lorsque l’utilisateur s’oppose au traitement de ses données et qu’aucun motif valable ne permet à l’entreprise de conserver ces données. La loi informatique et libertés permet d’obtenir la suppression des données personnelles à travers le droit à l’opposition et le droit de rectification.
- Lorsqu’une mesure légale, comme le RGPD, rend obligatoire l’effacement de ses données.
- Lorsque les données ont été collectées dans le cadre d’une société d’information alors que l’individu était encore mineur.
- Lorsque l’utilisation ou le traitement des données personnelles constitue une pratique illégale.
Par ailleurs, si votre entreprise ne respecte pas les lois en vigueur, vous pouvez encourir de lourdes amendes et des sanctions pénales. De plus, ces amendes et sanctions peuvent être rendues publiques ; ce qui nuira indirectement à la marque employeur de votre organisation.
Data Deletion : comment appliquer une procédure d’effacement des données efficace ?
La mise en place d’une procédure d’effacement des données personnelles peut d’avérer très complexe pour les entreprises. De ce fait, il existe des outils permettant d’automatiser l’effacement de ces données. C’est notamment le cas de la solution PeopleSpheres qui inclue la fonctionnalité Data Deletion dans son socle RH.
Data Deletion : la solution PeopleSpheres
La Data Deletion est une fonctionnalité comprise dans le socle RH de PeopleSpheres. Notre socle RH comprend l’ensemble de la procédure de Data Deletion sans frais supplémentaire. Plus besoin de consacrer de nombreuses heures à mettre en place la Data Deletion ou de dépenser des coûts élevés pour l’externaliser ; l’outil de PeopleSpheres automatise la procédure d’effacement des données au sein de votre entreprise.
Grâce au socle RH de PeopleSpheres, l’ensemble des données RH sont mises à jour au sein d’un profil employé unifié :
- Dès qu’un salarié arrive dans l’entreprise, l’ensemble de ses informations personnelles sont intégrées dans le profil employé, qui va ensuite ajouter ces données dans vos différents logiciels RH (logiciel de paie, de congés & absences, de note de frais etc…).
- Dès qu’un salarié quitte l’entreprise, l’ensemble de ses données personnelles sont effacées définitivement de vos bases de données à la date que vous avez programmée dans votre système, dans le but de respecter la règlementation en matière de RGPD. Néanmoins, les données anonymisées restent dans vos bases de données afin de permettre le reporting.
En effet, lorsque la Data Deletion est paramétrée au sein de votre système, à chaque fois qu’un collaborateur quitte l’entreprise, ses données sont automatiquement supprimées de vos bases de données en fonction du paramétrage choisi. Vous avez ainsi la possibilité de régler la fréquence d’effacement des données en fonction des besoins de votre entreprise (tous les ans/mois/semaines). De ce fait, vous pouvez paramétrer et personnaliser entièrement votre process de Data Deletion, par exemple :
- 01/01/2021: Date de départ du collaborateur
- 01/01/2026 (60 mois après) : Effacement définitif des données personnelles du collaborateur ayant quitté l’entreprise 5 ans auparavant.
Pour personnaliser votre process de Data Deletion vous devez créer des règles et des conditions. Par exemple : « Si le collaborateur qui quitte l’entreprise est un stagiaire, vous pouvez choisir de conserver ses données personnelles seulement pendant 24 mois. » Par ailleurs, la Data Deletion est compatible avec l’ensemble des informations des utilisateurs ; ce qui signifie que vous pouvez créer des règles sur toutes les données conservées de vos utilisateurs. Vous pouvez, par exemple, supprimer la carte bancaire de l’espace « compte bancaire » lorsque celle-ci est expirée. Par conséquent, la Data Deletion dispose de la même flexibilité qu’un workflow. À chaque départ de collaborateur de l’entreprise, un workflow supprime automatiquement les données de ce collaborateur plusieurs années après son départ afin d’être conforme aux législations en vigueur de chaque pays.
Par ailleurs, la fonctionnalité Data Deletion permet de supprimer des champs (contenu) ou des PSO (utilisateurs) et les informations en lien avec ces utilisateurs. Cependant, l’historique des datas est conservé afin de maintenir le reporting de certaines données en gardant l’utilisateur de façon anonyme. En effet, l’utilisateur reste dans la base de données reporting mais devient non identifiable et l’ensemble de ses données personnelles sont supprimées.
Par conséquent, la solution PeopleSpheres permet de digitaliser la Data Deletion automatiquement depuis le Socle SIRH. Ainsi, la personne responsable du traitement des données stockées voit ainsi la gestion de ces données personnelles optimisée. Notamment grâce à l’automatisation d’une série d’actions qui généralement sont mises en place manuellement dans l’entreprise ; entrainant ainsi un gain de temps inestimable pour la personne concernée.
Data Deletion : adapté aux organisation multi-pays
La politique d’effacement des données mise en place par PeopleSpheres vous permet d’être conforme à la loi française en matière de conservation des données de 5 ans. Cependant, vous avez également la possibilité d’insérer de multiples conditions. En effet, si votre entreprise dispose de filiales à l’étranger vous avez la possibilité de mettre les conditions respectant les lois en vigueur dans les pays concernés. Par exemple, toutes les entreprises exerçant dans l’Union européenne doivent respecter le Règlement Général sur la Protection des Données (RGPD) et pour les organisations exerçant leur activité ou une partie de leur activité aux États-Unis doivent respecter le règlement sur la protection des données personnelles de ce pays, qui est le Privacy Shield. De ce fait, si une entreprise a des employés répartis dans des pays différents ; la fonctionnalité Data Deletion de PeopleSpheres vous permet de créer des workflows selon la règlementation concernant la durée de conservation des données de chaque pays. Notre solution peut s’implanter facilement dans tous les pays, et notamment en France, Allemagne, Italie, Canada ou encore les États-Unis où la règlementation est stricte concernant la protection des données.
Data Deletion : adapté aux grandes entreprises
Du fait de la complexité de la mise en place d’une procédure d’effacement des données en entreprise, les multinationales font généralement appel à des sous-traitants, telles que des entreprises de conseil, pour paramétrer la Data Deletion au sein de leur organisation. Cependant, cela engendre un coût relativement élevé. En utilisant l’outil PeopleSpheres, toute la procédure d’effacement des données est automatisée et simplifiée. De plus, cette fonctionnalité est comprise dans le Socle RH sans coût supplémentaire.
Conclusion
Le temps où les organisations avaient la possibilité de stocker sans contraintes les données personnelles et confidentielles est révolu. Les lois en vigueur ne permettent plus ce stockage indéfini, les entreprises doivent donc implanter des procédures d’effacement des données, ou Data Deletion, efficaces. Utiliser une solution, telle que celle de PeopleSpheres, garantira la confidentialité et la suppression des données de manière définitive afin de permettre à votre entreprise d’être conforme aux différentes règlementations en vigueur car l’outil est 100% RGPD Compliant. Par conséquent, la fonctionnalité Data Deletion de PeopleSpheres est un outil de conformité permettant aux RH, DPO ou autres personnes concernées par ces discussions, de se dégager du temps pour des tâches plus stratégiques. De ce fait, la Data Deletion fait partie intégrante de la politique de protection des données à caractère confidentielles et personnelles d’une entreprise.