RGPD Permanent

Le RGPD est le texte de référence européen en matière de protection des données à caractère personnel. Il vient consacrer et renforcer les mesures protectrices déjà prévues par la Loi Informatique et Libertés du 6 janvier 1978.

Le RGPD a pour objectif de responsabiliser les acteurs professionnels afin qu’ils soient en mesure de démontrer, à tout moment, qu’ils respectent leurs obligations en matière de protection des données à caractère personnel.

En conséquence, les formalités de déclaration préalable réalisées auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) ont disparu depuis le 25 mai 2018.

Qui est concerné ?

Toutes les entreprises, sans aucune condition d’effectif, de seuil ou de chiffre d’affaires, qui, dans le cadre de leur activité professionnelle, collectent et traitent des données personnelles. Est ainsi concernée par la protection des données personnelles toute entreprise qui embauche du personnel salarié, qui dispose d’un fichier clients /prospects, d’un fichier fournisseurs, d’un annuaire téléphonique interne, d’un système de vidéosurveillance...

Quelles sont les données personnelles concernées ?

Toute information se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable. Exemples : 

Identité : nom, prénoms, date et lieu de naissance, adresse domicile, e-mail, numéros de téléphone, âge, sexe, situation familiale, adresse IP...

Santé : numéro de sécurité sociale...

Finances : revenus, RIB...

Comportement : navigation sur internet …

Relations : réseaux sociaux …

Contenus : photos, vidéos, sms, mails, appels, discussions sur les réseaux sociaux...

Contexte : géolocalisation, itinéraires...

Les données concernant les personnes morales ne sont pas concernées.

Qu’est-ce qu’un traitement de données personnelles ?

Il s’agit de « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel ».

Exemples : fiches de paie du personnel, dossiers de candidatures, fichiers clients, fichiers fournisseurs, géolocalisation du personnel, vidéosurveillance, envoi de newsletters...

Que faut-il faire pour se mettre en conformité ?

Les entreprises doivent assurer la sécurité des données personnelles traitées par la mise en place de mesures concrètes (organisation, procédures internes…).

La méthode :

  1. Désigner un pilote :

Il est chargé de s’assurer de la mise en conformité au RGPD, notamment en informant, sensibilisant et conseillant le responsable de traitement des données, les sous-traitants et leurs employés (obligatoire pour les entreprises de plus de 250 salariés et celle dont la gestion de personnel est l’activité principale). 

  2. Cartographier les traitements de données personnelles

Il s’agit de recenser de manière précise les traitements de données personnelles mis en œuvre en se posant les questions suivantes :

- Qui ? (Identification des acteurs, internes ou externes, traitant les données : responsables de traitement, prestataires, sous-traitants).

- Où ? (Lieux d’hébergement des données, pays de transfert)

- Quoi ? (Catégorie des données traitées, données sensibles)

- Jusqu’à quand ? (Durée de conservation des données)

- Pourquoi ? (Finalités des collectes de données)

- Comment ? (Mesures de sécurité pour minimiser les risques d’accès non autorisés) Ce recensement se matérialise dans un registre dédié au traitement des données personnelles (exemple de fiche et de registre sous format Excel sur le site www.cnil.fr).

  3. Prioriser les actions

Sur la base de ce registre, il convient d’identifier les actions à mener pour chaque traitement identifié :

- S’assurer que seules les données strictement nécessaires sont collectées,

- Identifier la base juridique sur laquelle se fonde le traitement (obligation légale, contrat, intérêt légitime, consentement de la personne),

- Réviser les mentions d’information pour qu’elles soient conformes, 

- Vérifier que les sous-traitants connaissent les nouvelles règles (ex. mention dans le contrat de sous traitance),

- Prévoir les modalités d’exercice des droits (accès, rectification, portabilité, effacement…),

- Vérifier les mesures de sécurité en place.

  4. Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (PIA). Cette étude d’impact doit être menée avant la collecte des données et la mise en œuvre du traitement. Un logiciel libre (Outil PIA) est mis à la disposition par la CNIL.

  5. Organiser les processus internes

Des procédures internes, claires et précises, doivent être mises en place afin de garantir la protection des données à tout moment, en tenant compte de l’ensemble des évènements qui peuvent survenir au cours de la vie d’un traitement de données (ex. faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire…). On y trouvera notamment l’intérêt de mettre en place une charte informatique dans l’entreprise, de prévoir une clause de confidentialité dans les contrats de travail des salariés amenés à manipuler des données personnelles ainsi que la nécessité de mener des actions de sensibilisation auprès du personnel en communiquant autour de ces sujets. Y sera également rappelée l’obligation de notifier à la CNIL et aux personnes concernées les violations de données personnelles (intrusion, destruction (ex. faille de sécurité informatique ou destruction accidentelle), vol…) dans un délai de 72 heures.

  6. Documenter la conformité

Pour prouver votre conformité au RGPD, vous devrez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Quelle est la sanction encourue ?

Le responsable du traitement de données personnelles qui n’aura pas pris les mesures nécessaires pour garantir leur sécurité, pourra encourir une amende allant jusqu’à 2 ou 4 % de son chiffre d’affaires annuel mondial, en fonction de l’infraction commise.

Au-delà des sanctions financières, ce sont également l’image de votre entreprise et vos affaires qui peuvent être impactées. Des sanctions dans le cadre des protections d’assurances peuvent également être prononcées.

Il convient de faire le point sur :

- La Gestion des droits qui est en place pour l’accès aux logiciels par chacun des utilisateurs

• Mise en place des profils

• Affectation des droits à un utilisateurs

• Mise en place du mot de passe utilisateur

- Gestion des sauvegardes :

• Qui fait les sauvegardes ?

• Quand ? à quelle fréquence ?

• Quelles données sont sauvegardées ?

- Le téléchargement des logiciels PLDiffusion

- Sauvegarde pour la maintenance : Le transfert de vos données vers notre serveur Ftp 

Fichiers … RGPD

Initialisation des paramètres RGPD dans l’application

Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données devraient être supprimées ou anonymisées.

  1. SUPPRESSIONS

a) Salariés

: Ce paramétrage permet de fixer les règles de suppression (et donc de conservation) des informations dans BANCO.

Critères : on fixe en nombre d’année la période au-delà de laquelle les informations seront supprimées

• Pas de bulletin de paie depuis : le salarié n’a pas eu de paye dans les X dernières années sera supprimé.

ATTENTION : le salarié sera définitivement supprimé de la base des salariés.

b) Historique des données

: Ce paramétrage permet de fixer les règles de suppression (et donc de conservation) des informations dans BANCO.

Critères : on fixe en nombre d’année la période au-delà de laquelle les informations seront supprimées

• Pas de bulletin de paie depuis : les bulletins de paie, les cumuls et le détail des allègements avant la date définie seront supprimés de la base.

Nb : en cas de demande d’un salarié dans le cadre d’une reconstitution de carrière, on pourra produire un relevé de situation individuelle (relevé de carrière) et cela même après suppression des bulletins de paye.

c) Comptes bancaires

 : Ce paramétrage permet de fixer les règles de suppression (et donc de conservation) des informations dans BANCO.

Critères : on fixe en nombre d’année la période au-delà de laquelle les informations seront supprimées

• Pas de bulletin de paie depuis : Les RIB indiqués sur les fiches salariées seront supprimés pour les salariés n’ayant pas de bulletin depuis la date définie

2. DROIT A L'OUBLI

Un salarié peut faire valoir son droit à l’oubli auprès de son employeur.

C’est une action individuelle auprès de l’employeur qui doit répondre par écrit au salarié. Il supprimera les ensuite les informations de cette personne dans sa gestion. Cette opération va entrainer la suppression de toutes les données du salarié qui ne sont pas nécessaires.

On peut créer un fichier des données supprimées (fichier crypté) à remettre au salarié s’il le demande.

Une attestation prouvant la suppression peut également être produite.

a) Fixation du périmètre de conservation et d'anonymisation

L’utilisateur fixe librement la durée de la période qui sera conservée pour permettre ces différents contrôles. Les données antérieures à cette période seront anonymisées.

Anonymisation des données : rendre impossible la « réidentification » des personnes. Les données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

L’employeur produit une attestation de suppression des données personnelles et un fichier de ces mêmes données afin de les remettre au demandeur.

b) Attestation de suppression des données personnelles

  En cliquant sur ce bouton vous accédez à un modèle d’attestation que vous adapterez à votre entreprise.  Il s’agit d’publipostage qui est effectué avec les champs de fusion proposés dans la zone 

Après avoir vérifié le texte vous supprimerez la mention « CONFIRMATION DE LECTURE » avant d’utiliser.

c) Fichier des données pour la portabilité

Vous indiquez le chemin d’accès où sera créé le fichier des données à transmettre au salarié qui a fait sa demande de droit à l’oubli et/ou de portabilité.

Ce fichier est crypté.

Le mot de passe est constitué de 10 caractères : les initiales du prénom et du nom du salarié en majuscule suivi de sa date de naissance au format JJMMAAAA.

Il faudra transmettre cette information au salarié

Utilitaires … RGPD

  1. Traitement individuel :

a) 

Un salarié demande à faire valoir son droit à l’oubli

Le droit à l’oubli supprime des données qu’il ne sera plus possible de restaurer. Vous devez reconfirmer votre choix.

Vous obtenez une attestation que vous pouvez remettre au demandeur

Le programme génère également le fichier des données du salarié ( fichier de portabilité)  que vous remettrez à votre salarié.

Ce fichier est crypté.

Le mot de passe est constitué de 10 caractères : les initiales du prénom et du nom du salarié en majuscule suivi de sa date de naissance au format JJMMAAAA.

Attention :

Un salarié peut demander son droit à l’oubli, mais en fonction de son historique il ne sera pas possible de l’anonymiser de suite.

Dans ce cas, le salarié sera coché RGPD sur sa fiche salarié   s’il répond aux critères RGPD que vous avez défini (Dans Fichier … RGPD).

b)  

Ce traitement permet d’anonymiser les salariés ayant fait une demande de droit à l’oubli mais qui ne répondaient aux critères lors de leur demande.

Après traitement, sur la fiche intérimaire le nom sera remplacé par :  

Pour retrouver ces salariés RGPD, dans l’armoire des intérimaires, sélectionner :

c)

Un salarié peut, à tout moment, demander à récupérer les informations de son dossier.

Il s’agit du droit à la portabilité qui vise à faciliter le passage d’un prestataire de service à un autre ou d’un employeur à un autre. Ce droit offre la possibilité de réutiliser les données.

Le traitement passe par la création d’un fichier et ne supprime rien sur la fiche du salarié.

Ce fichier est crypté.

Le mot de passe est constitué de 10 caractères : les initiales du prénom et du nom du salarié en majuscule suivi de sa date de naissance au format JJMMAAAA.

  2. Traitement global du fichier salarié et de l'historique :

Il existe plusieurs niveaux de suppression

  1) La suppression de fiches salariés

La suppression est faite en fonction des critères fixés dans la configuration de l’intérim.

On clique sur  pour exécuter la suppression. Avant d’effectuer définitivement la suppression vous obtenez une liste des enregistrements qui seront supprimés. Une impression de la liste est possible

Vous confirmerez la suppression DEFINITIVE en cliquant sur OK.

  2) La suppression de « Historiques des données »

La suppression est faite en fonction des critères fixés dans la configuration de l’intérim.

On clique sur pour exécuter la suppression.

Le programme supprime les RIB dans l’onglet Elément de paie des fiches Salariés en fonction de la date fixée.

Dans BANCO

Fichier … Personnel

Bouton « Imprimer » … Edition du relevé de situation individuelle

Dans le cadre du RGPD, la durée de conservation des bulletins de paie par l’employeur est de 5 ans. Si on effectue la suppression des documents, les bulletins de paye antérieure à cette limite seront donc supprimés. On pourra toutefois éditer un relevé de situation individuelle pour répondre à une demande de reconstitution de carrière d’un ancien salarié.

Ce relevé reprendra les éléments suivants :

• Coordonnées employeur (Nom, adresse, NAF, Siret),

• Coordonnées salarié (Nom, adresse, N° SS, date et lieu de naissance),

• Périodes travaillées (mois par mois),

• Qualification du salarié,

• Justifications de rémunération (mois de paie, salaire brut, brut abattu, plafond S.S., tranche A, tranche B, heures et cotisation retraite).

Dans BANCO

Gestions … Registre du personnel

L’employeur doit faire figurer sur le registre unique du personnel un certain nombre d’informations sur le salarié et ce, dès son arrivée.  Il s’agit des éléments suivants :

Identification du salarié

Nom et prénoms,

Nationalité,

Date de naissance,

Sexe,

Ni l’adresse, ni le n° de sécurité sociale ne font l’objet de mention obligatoire.

Carrière :

Emplois, fonctions au sein de l’entreprise,

Qualification,

Informations sur la nature du poste,

Les dates d’embauche et de départ.

Type de contrat :

Les différents types contrats de travail par exemple pour les salariés de travail temporaire, mention « salarié temporaire » ainsi que nom et adresse de l’entreprise de travail temporaire.

S'agissant d'un contrat de travail temporaire, doit également être mentionné le nom et l'adresse de l'entreprise de travail temporaire.

Concernant les salariés étrangers, on enregistre les types et numéros d’ordre du titre valant autorisation de travail.

Cette fiche documentaire a pour objet de vous apporter des informations complémentaires à la documentation ou à la formation suivie et correspond à des questions récurrentes.

Si vous avez besoin de mettre en place un paramétrage ou développer vos compétences sur ce sujet, nous vous recommandons vivement de vous adresser au service commercial par mail à commercial@enso-groupe.fr, qui pourra vous proposer un parcours de formation adapté ou bien une prestation personnalisée. L'information contenue dans ce document est fournie sans garantie d'aucune sorte, explicite ou implicite. Le client doit s'assurer que les consignes proposées répondent à son attente et assume le risque lié aux manipulations contenues dans ce document.