Intérim et RGPD : tout ce qu’il faut savoir

Les principes du RGPD dans l’intérim

Les rôles et responsabilités

Dans l’intérim, une relation tripartite intervient entre l’intérimaire, l’entreprise utilisatrice (EU) et l’entreprise de travail temporaire (ETT). Les rôles et responsabilités de chaque acteur doivent être clairement définis en matière de données personnelles, y compris en fonction des choix technologiques opérés.

Les éditeurs de solutions digitales dans l’intérim, comme Pixid, sont considérés comme un sous-traitant (ou data processor). Ils traitent les données personnelles des intérimaires pour le compte et sur les instructions du responsable de traitement (data controller), qui détermine la finalité et les moyens de traitement des données personnelles.

Attention, Pixid intervient comme responsable de traitement vis-à-vis des utilisateurs de sa plateforme. En effet, il gère alors ces données pour ses propres besoins (sécuriser l’accès à la plateforme). Pixid ne traite pas les données de ses clients pour son propre compte en dehors des fins techniques (dimensionnement des serveurs). 

La confidentialité et le cloisonnement des données

Pour assurer la confidentialité, chaque utilisateur a un accès spécifique délimité par :

• Le profil utilisateur qui permet de limiter par module (commande, contrat, etc.) et par fonctionnalité (consulter, commander, signer).
• Le périmètre d’action accordé à une ou plusieurs enseignes. Au sein de chaque enseigne, un périmètre plus précis peut s’organiser sur tout ou partie de l’organisation à laquelle l’utilisateur est rattaché.

La minimisation des données personnelles de l’intérimaire

Cette minimisation des données incombe au responsable du traitement. En application du principe de “privacy by design”, Pixid aide ses clients à se mettre en conformité en ne recueillant que les données personnelles nécessaires. 

Par exemple, au sein de la fiche intérimaire, le nombre de champs obligatoires est limité (nom, prénom, date de naissance, etc.). Un contrôle des champs transmis est réalisé et aucune donnée sensible n’est évidemment concernée. Les données sensibles sur l’origine ethnique, les opinions politiques, la santé ou l’orientation sexuelle d’une personne sont interdites. L’article 9 du RGPD précise que les données sensibles peuvent être recueillies si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée).

Et le numéro de sécurité sociale ? Le RGPD laisse chaque pays gérer à sa guise. La CNIL (commission nationale de l’informatique et des libertés) autorise le recueil de ce numéro pour les fonctions RH dans le cadre de la paie et du versement des cotisations sociales.

Les pièces jointes fournies par l’intérimaire sont également concernées par la minimisation des données. Pour ce faire, Pixid gère 3 niveaux de confidentialité (privé, restreint, public) et une classification en fonction du degré de sensibilité des documents.

Notre solution gestion de l’intérim :

Gagnez en productivité et limitez les risques juridiques avec PIXID, solution n°1 en Europe.

en savoir plus

Notre solution gestion de l’intérim :

Gagnez en productivité et limitez les risques juridiques avec PIXID, solution n°1 en Europe.

en savoir plus

La non-conservation des données de l’intérimaire

Le RGPD indique que les données personnelles sont conservées pour la durée du traitement. Dans l’intérim, il y a un intérêt légitime à conserver les données personnelles des travailleurs pendant la durée nécessaire à la réalisation des tâches associées au processus (comme la production d’un reporting légal ou un contrôle administratif). Pixid a mis en place des mécanismes de purge automatique des fiches intérimaires et des pièces jointes. Chaque client peut définir la durée de conservation qu’il souhaite (par défaut, cette durée est de 5 ans à compter de la dernière mission effectuée).

Côté utilisateurs, une purge automatique des accès à la plateforme se déclenche 2 ans à partir de la dernière connexion. Un rappel est effectué 30 jours et 7 jours avant la suppression.

Exercice du droit des personnes

La réponse à une demande d’exercice du droit des personnes concernées incombe aux responsables de traitement. Une procédure de réponse doit être mise en place. Les éditeurs de logiciel aident au respect de ce principe par la mise en place des droits à l’oubli, à la correction, à la portabilité et à l’opposition. Une adresse email dédiée permet l’ouverture d’un ticket et un engagement de réponse dans les 24 heures.

Évaluer sa conformité au RGPD

Le RSSI (responsable à la sécurité des systèmes d’information) et le DPO (data protection officer) assurent ensemble la sécurité informatique et le respect de la réglementation relative aux données personnelles.

Le RSSI va notamment mettre en place un système de management spécifique, des normes qualitatives de développement et des évaluations régulières. De son côté, le DPO doit tenir un registre des traitements et une analyse des risques. En complément, il assure la formation des équipes internes aux enjeux du RGPD.

La certification ISO 27001, norme internationale dédiée à la sécurité informatique, permet de vérifier sa conformité. Pixid est certifié depuis 2017. Ainsi, un système de management de la sécurité de l’information efficace permet de diminuer les incidents liés à la sécurité de 89 % et de consolider les processus internes pour 83 % des entreprises certifiées, d’après l’AFNOR.

Par ailleurs, un suivi des fournisseurs des entreprises doit être mis en place, via un DPA (data processing agreement). Le RGPD a introduit une responsabilité en cascade vis-à-vis des chaînes de sous-traitants.

Enfin, Pixid assiste ses clients dans la réalisation des DPIA (data processing impact assessment) en répondant aux questionnaires permettant d’évaluer la sécurisation des données ou en tenant un registre des traitements.