Comment MonPortailRH traite le RGPD ?

Le RGPD est une continuité de la loi informatique et liberté, nous avions déjà une base de travail. Le règlement Européen a rajouté des obligations et nous avons mis en œuvre les moyens nécessaires pour les respecter. Aujourd’hui, nous disposons d’un Délégué à la Protection des Données qui manage les différents projets liés à la protection des données.

Nous avons également renforcé la sensibilisation interne et les procédures de traitement de vos données. Un registre des traitements a été construit selon les recommandations de la CNIL.

Enfin nous apportons une importance égale à nos activités de responsable de traitement qu’à nos activés de sous-traitants et sommes donc conformes pour ces deux ans de notre activité.

Est-ce que MonPortailRH est conforme avec le RGPD?

Oui, MonPortailRH et ses produits sont conformes aux principes et obligations du RGPD.

Pour plus d’informations à ce sujet, vous pouvez consulter la suite de cette FAQ, les documents mis à votre disposition ou contacter le délégué à la protection des données en envoyant votre demande à l’adresse : dpo@neospheres.eu.

Où sont stockées les données fournies à MonPortailRH ?

Nous avons recueilli auprès de chacun de nos partenaires les lieux de stockage des données. La majorité des données sont stockées en France, dans plusieurs villes réparties sur l’ensemble du territoire de la métropole. Le reste des données est actuellement stocké en Angleterre.

MonPortailRH peut recevoir des fichiers non cryptés ?

Normalement, non. MonPortailRH a revu ses procédures et a renforcé celles qui concernent les envois de fichiers contenant des données personnelles. Nos consultants ne sont plus censés accepter les fichiers non cryptés que vous leur envoyez. Si vous en avez besoin, nous pouvons vous envoyer un guide pour vous expliquer ce nouveau fonctionnement.

Comment les données sont-elles supprimées ou anonymisées ?

Il existe deux principales méthodes d’anonymisation des données

  • La randomisation
  • La généralisation

Les différents éditeurs utilisent dans la majeure partie des cas ces techniques d’anonymisation.

Concernant la suppression, les données sont effacées de la base active par une manipulation. Et seront supprimées par synchronisation des bases de sauvegardes.

Quelles sont les obligations des consultants dans le cadre du RGPD ?

Les consultants sont soumis à des règles internes. Leur obligation est de travailler en respectant ces règles :

  • Confidentialité
  • Règles de limitation de la conservation des données
  • Règles de sécurisation des transferts de fichiers
  • Agir sur consignes écrites

Il est important de conserver en mémoire que les consultants vous accompagnent dans votre projet SIRH, mais qu’ils ne sont pas tenus de répondre à l’ensemble de vos questions sur la protection des données. Ils vous orienteront vers le Délégué à la Protection des Données afin que vous obteniez toutes les réponses dont vous avez besoin.

Quelle a été notre méthodologie de mise en conformité ?

Nous avons simplement procédé étape par étape. La première fut de prendre connaissance et de comprendre le texte de loi dans son intégralité. Cette phase nous a permis de déterminer des points de vigilance et des axes d’amélioration quant à nos pratiques quotidiennes.

Nous voulions poussez le travail d’évaluation de l’existant, nous nous sommes donc basés sur le référentiel du label CNIL Gouvernance intégrant les obligations en matière de protection et d’anonymisation des données dictées par le RGPD. Ces deux étapes nous ont permit de monter un plan d’action.

Pour le reste de la méthode, nous avons suivi les principes de la gestion de risque : évaluation, priorisation, mesures correctives et prévention.

Quels sont les délais légaux pour traiter une demande d’exercice d’un droit concernant les traitements de données personnelles ?

Les obligations concernant la protection, traitement et l’anonymisation des données sont très strictes et il est nécessaire que les entreprises les respectent. Si une personne demande à exercer un de ses droits, la réponse doit être apportée dans les meilleurs délais. Plus précisément, pour une demande standard vous avez 1 mois à compter de la réception de la demande. Dans des cas particuliers ou si vous recevez énormément de demandes, vous pouvez ajouter un délai supplémentaire de 2 mois (soit un total de 3 mois).

Attention, dans le cas où vous prolongez le délai vous devez en informer la personne dans le mois suivant la réception de sa demande. Vous n’êtes pas obligé de renseigner ces délais dans la mention sur le mail d’accusé de réception. Cependant vous pouvez l’ajouter dans votre politique de confidentialité.

Le RGPD nous oblige-t-il à stocker les données uniquement en local ?

Non, le RGPD, oblige à stocker les données de manière sécurisée et à encadrer les transferts de données hors Union Européenne. Ainsi, tant que vos données sont stockées en Europe, pas de problèmes, vous en avez tout à fait le droit.

Dans le cas où vous souhaitez transférer vos données en dehors des frontières de l’Union Européenne, il faudra tout d’abord vérifier que la CNIL autorise les transferts vers ce pays.

Pour vous aider vous trouverez une carte interactive en suivant le lien ci-dessous, vous permettant de déterminer le niveau de sécurité offert par le pays.

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Quelles sont les obligations en matière d’anonymisation des données ?

Il y a deux éléments du RGPD qui modifient les obligations en matière de suppression / anonymisation :

  • Chapitre II, Article 5, Alinéa e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées»
  • Chapitre III, Section 3, Article 17 : Droit à l’effacement (« droit à l’oubli »).

Ainsi, il y a deux axes de réflexion nécessaire pour répondre à cette question :

  • Le premier est celle de la conservation tant que cela est nécessaire. Cette nécessité doit être évaluée au regard des obligations égales de conservation et des besoins de l’activité.
  • Le deuxième est celle du droit à l’oubli, au-delà de ces obligations légales et d’activités, une personne peut dans certains cas, demander que ses données soient supprimées. Pour prendre connaissance de ces situations vous pouvez lire l’article du règlement en suivant ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

La documentation que nous mettons à votre disposition

MonPortailRH a tenu compte de l’impact et de l’inquiétude que cette loi peut générer pour les gestionnaires RH. Chacun de nos clients pourra trouver dans le centre de support plusieurs articles dédiés au RGPD.

Pour retrouver ces articles, rendez-vous dans le centre de support et dans la barre de recherche tapez « RGPD ».

Vous pourrez alors trouver :

  • RGPD : Droits des personnes concernées
  • RGPD : Informer mes collaborateurs
  • RGPD : Plan d’action Conformité PeopleSpheres
  • RGPD : Rédiger votre politique interne concernant la protection des données
  • RGPD : Bases juridiques et intérêts légitimes
  • RGPD : Renseigner MonPortailRH dans mon registre des traitements