Données personnelles : comment s’y retrouver dans votre conformité RGPD

Données personnelles : un sujet stratégique depuis 1978

Voté en 2016 et entré en application le 25 mai 2018, le RGPD (règlement général sur la protection des données) est un cadre juridique unifié s’appliquant dans tous les pays de l’Union Européenne, visant à conférer davantage de droits et de recours aux citoyens concernant l’usage qui est fait de leurs données personnelles. C’est le dernier acte d’une longue lignée de textes qui remonte à la loi informatique et libertés de 1978. Aujourd’hui, le RGPD fait partie de notre vie quotidienne et la non-conformité est sanctionnée. En 2020, les régulateurs européens ont adressé pas moins de 114 millions d’euros d’amendes pour près de 160 000 notifications pour violation de la loi. Fin 2021, c’est même le mastodonte Google qui a été sanctionné pour un montant total de 150 millions d’euros.

Dans ce contexte, la conformité au RGPD est un enjeu stratégique pour toutes les entreprises, et en particulier dans le monde du recrutement où les données personnelles sont particulièrement nombreuses et sensibles. Non seulement la nature des données échangées est importante, mais leur sécurité l’est également. C’est la raison pour laquelle, au sein de PIXID, un des premiers postes créés a été celui de Responsable Sécurité de Systèmes d’Information (RSSI). Un rôle complémentaire à celui du Data Protection Officer instauré par le RGPD.

Le Responsable à la Sécurité des Systèmes d’Information :

• assure la sécurité informatique d’une organisation;
• met en place un système de management de la sécurité informatique fondé sur l’analyse des risques;
• exécute des tests de pénétration et de « bug bounty»;
• est responsable des audits annuels (interne et externe);
• garantit le respect des garanties des exigences liées à la certification ISO 27001.

   

En parallèle, le Data Protection Officer veille au respect de la réglementation et du RGPD grâce à :

• la tenue d’un registre de traitements;
• l‘analyse du risque pour les personnes concernées;
• la sensibilisation des équipes internes à la protection des données;
• son rôle de conseiller auprès des équipes et de la direction.

Notre solution gestion de l’intérim :

Gagnez en productivité et limitez les risques juridiques avec PIXID, solution n°1 en Europe.

en savoir plus

Notre solution gestion de l’intérim :

Gagnez en productivité et limitez les risques juridiques avec PIXID, solution n°1 en Europe.

en savoir plus

La différenciation des rôles de responsable de traitement et de sous-traitant

Les données personnelles traitées par PIXID le sont toujours pour le compte de ses clients, qui sont les entreprises utilisatrices (EU) et les entreprises de travail temporaire (ETT). Ce sont ces dernières qui sont responsables du traitement des données, car PIXID agit en tant que sous-traitant. À ce titre, les données des utilisateurs de la plateforme sont traitées pour leurs propres besoins afin de sécuriser les accès.

Connaître les différences entre responsable de traitement et sous-traitant est important, car la mise en place du RGPD oblige les entreprises déléguant des tâches à des sous-traitants de s’assurer que ces derniers présentent des garanties suffisantes quant à la sécurité des données. Les sous-traitants doivent ainsi se conformer aux exigences du RGPD et démontrer qu’ils assurent un niveau de sécurité équivalent à celui du responsable de traitement. On est ici sur un principe de responsabilisation en cascade avec le sous-traitant.

PIXID ne traite pas les données de ses clients pour son propre compte, mais uniquement pour le compte et sur instructions de ses clients. PIXID ne revend pas non plus ces données à des tiers.

Pour chacun des sous-traitants de PIXID, les mesures suivantes sont appliquées :

• L’envoi d’un questionnaire portant sur la sécurité et la protection des données.
• La signature d’un accord définissant spécifiquement les règles applicables à la gestion de données personnelles : un Data Processing Agreement (DPA).
• Pour les entreprises extra-européennes, la mise en place de garanties supplémentaires via les clauses contractuelles types de la Commission Européenne.

PIXID s’engage envers ses clients en les aidant au respect de leur propre conformité notamment grâce :

• à l’application des principes de protection de données dès la conception et par défaut,
• l’assistance des clients lors de leurs analyses d’impact sur la protection des données personnelles (AIPD),
• La tenue d’un registre des traitements

La confidentialité et minimisation des données

Selon les besoins, PIXID limite les fonctionnalités accessibles via un profil utilisateur pour éviter que n’importe qui puisse accéder à des données confidentielles. C’est notamment le cas par module (commande, contrat, etc.), par fonctionnalité (consultation, modification, signature, etc.) et par périmètre d’action (limitation à sa seule enseigne, et au sein de celle-ci, limitation sur un périmètre donné). C’est le principe de confidentialité.

Tout est également fait pour limiter les données collectées et utilisées dans une logique de privacy by design. Ainsi, dans la fiche intérimaire, PIXID ne traite que les données nécessaires au traitement (nom, prénom, date de naissance, sexe, nationalité), contrôle les champs transmis (adresse postale, adresse mail, numéro de mobile) et ne traite aucune donnée sensible au sens du RGPD (celles révélant l’origine raciale ou ethnique, les opinions politiques, l’appartenance syndicale, les croyances religieuses, les données de santé ou l’orientation sexuelle).

La non-conservation des données

Si chaque durée de conservation est paramétrable pour chaque client, PIXID applique par défaut un délai de 5 ans sur les dossiers intérimaires et de 6 mois pour les pièces jointes (à la date d’expiration du document). Une bonne pratique pour éviter les oublis et limiter la disponibilité des données personnelles inutilisées. Du côté des utilisateurs, une purge automatique est réalisée au bout de 2 ans sans connexion au système, avec un rappel automatique 30 et 7 jours avant la suppression des données.

Les demandes d’exercice des droits des personnes

Le RPG a introduit un droit que peut exercer chaque personne dont les données personnelles sont utilisées. La réponse à une demande d’exercice du droit des personnes concernées incombe aux clients. Afin de faciliter la réponse aux demandes d’exercice des droits des personnes (droits à l’oubli, d’accès, de correction, à la portabilité et d’opposition) Pixid assiste ses clients en mettant en place :

• Une adresse e-mail dédiée à ces demandes.
• Un suivi de la demande assuré par le support client
• Une réponse apportée à la personne concernée dans les 24 heures.
• Le relai des demandes des intérimaires à nos clients.

La gestion des cookies et Google Analytics

C’est un sujet périphérique au RGPD qui est traité dans la directive e-privacy. Récemment, la CNIL a émis des instructions à l’égard des sites web français afin de limiter la revente de données pour ciblage publicitaire. PIXID n’utilise pas ce type de cookies (absence de fenêtres publicitaires et de revente de données) et un bandeau de gestion des cookies sur la page d’accueil permet d’en informer l’utilisateur. Enfin, compte tenu des enjeux et des questions autour de Google Analytics (la CNIL a rendu un jugement en février 2022 qui de fait rend illicite l’utilisation de Google Analytics), PIXID a décidé de stopper l’utilisation de Google Analytics au sein de ses services digitaux.