MonPortailRH et le RGPD

Est-ce que MonPortailRH est en conformité avec le RGPD ?

Oui, MonPortailRH et ses produits sont conformes aux principes et obligations du RGPD.

Pour plus d’informations à ce sujet, vous pouvez consulter la suite de cette FAQ, les documents mis à votre disposition ou contacter le délégué à la protection des données en envoyant votre demande à l’adresse : dpo@neospheres.eu.



Est-ce que MonPortailRH va être certifié GDPR Compliant ? Et quand ?

MonPortailRH vise une certification pour 2019. Nous étudions actuellement les certifications disponibles en France. La certification AFAQ Protection des données retient particulièrement notre attention.

Nous vous informerons de l’évolution de cette démarche à chaque étape.



Comment MonPortailRH fait pour traiter le RGPD ?

Le RGPD est une continuité de la loi informatique et liberté, nous avions déjà une base de travail. Le règlement Européen à rajouté des obligations et nous avons mis en œuvre les moyens nécessaires pour les respecter. Aujourd’hui, nous disposons d’un délégué à la protection des données qui manage les différents projets liés à la protection des données.

Nous avons également renforcé la sensibilisation interne et les procédures de traitement de vos données. Un registre des traitements a été construit selon les recommandation de la CNIL.

Enfin nous apportons une importance égale à nos activités de responsable de traitement qu’à nos activés de sous-traitants et sommes donc conformes pour ces deux pans de notre activité.



Quelle a été votre méthodologie de mise en conformité ?

Nous avons simplement procédé étape par étape. La première fut de prendre connaissance et de comprendre le texte de loi dans son intégralité. Cette phase nous à permis de déterminé des points de vigilance et des axes d’amélioration quant à nos pratiques quotidienne.

Nous voulions poussez le travail d’évaluation de l’existant, nous nous sommes donc basés sur le référentiel du label CNIL Gouvernance intégrant les obligations du RGPD. Ces deux étapes nous ont permit de monter un plan d’action.

Pour le reste de la méthode, nous avons suivi les principes de la gestion de risque : évaluation, priorisation, mesures correctives et prévention.



Où sont stockées les données fournies à MonPortailRH ?

Nous avons recueilli auprès de chacun de nos partenaires les lieux de stockage des données. La majorité des données sont stockées en France, dans plusieurs villes réparties sur l’ensemble du territoire de métropole. Le reste des données est actuellement stockées en Angleterre.



Le RGPD nous oblige-t-il à stocker les données uniquement en local ?

Non, le RGPD oblige à stocker les données de manière sécurisée et à encadrer les transferts de données hors Union Européenne.

Ainsi tant que vos données sont stockées en Europe par de problèmes, vous en avez tout à fait le droit.

Dans le cas où vous souhaitez transférer vos données en dehors des frontières de l’union européenne, il faudra tout d’abord vérifier que la CNIL autorise les transferts vers ce pays.

Pour vous aider vous trouverez une carte interactive en suivant le lien ci-dessous, vous permettant de déterminer le niveau de sécurité offert par le pays.

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde



Quelles sont les obligations du responsable en matière d’anonymisation des données ?

Il y a deux éléments du RGPD qui modifient les obligations en matière de suppression / anonymisation :

  • Chapitre II, Article 5, Alinéa e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées»
  • Chapitre III, Section 3, Article 17 : Droit à l’effacement (« droit à l’oubli »).

Ainsi, il y a deux axes de réflexion nécessaire pour répondre à cette question.

Le premier est celle de la conservation tant que cela est nécessaire. Cette nécessité doit être évaluée au regard des obligations égales de conservation et des besoins de l’activité.

Nous ne pouvons pas répondre à la question des besoins de l’activité, mais nous vous proposons un article reprenant les obligations légales de conservations : https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029.

Le deuxième est celle du droit à l’oubli, au-delà de ces obligations légales et d’activités, une personne peut dans certains cas, demander que ses données soient supprimées.

Pour prendre connaissance de ces situations vous pouvez lire l’article du règlement en suivant ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17



Quelle documentation MonPortailRH met à la disposition de ses clients ?

MonPortailRH a tenu compte de l’impact et de l’inquiétude que cette loi peut générer pour les gestionnaires RH. Chacun de nos clients pourra trouver dans le centre de support plusieurs articles dédiés au RGPD.

Pour retrouver ces articles aller dans le centre de support et dans la barre de recherche tapez « RGPD ».

Vous pourrez alors trouver :

  • RGPD : Droits des personnes concernées
  • RGPD : Informer mes collaborateurs
  • RGPD : Plan d’action Conformité NeoSpheres
  • RGPD : Rédiger votre politique interne concernant la protection des données
  • RGPD : Bases juridiques et intérêts légitimes*
  • RGPD : Renseigner MonPortailRH dans mon registre des traitements




Quelles sont les obligations des consultants dans le cadre du RGPD ?

Les consultants sont soumis à des règles internes. Leur obligation est de travailler en respectant ces règles :

  • Confidentialité
  • Règles de limitation de la conservation des données
  • Règles de sécurisation des transferts de fichiers
  • Agir sur consignes écrites

Il est important de conserver en mémoire que les consultants vous accompagnent dans votre projet SIRH, mais qu’ils ne sont pas tenus de répondre à l’ensemble de vos questions sur la protection des données. Ils vous orienteront vers le délégué à la protection des données afin que vous obteniez toutes les réponses dont vous avez besoin.



Est-ce que MonPortailRH peut recevoir des fichiers non cryptés ?

Normalement, non. NeoSpheres a revu ses procédures et a renforcé celles qui concernent les envois de fichiers contenant des données personnelles.

Nos consultants ne sont plus censés accepter les fichiers non cryptés que vous leur envoyez.

Si vous en avez besoin, nous pouvons vous envoyer un guide pour vous expliquer ce nouveau fonctionnement.

Il existe deux principales méthodes d’anonymisation des données

  • La randomisation
  • La généralisation

Les différents éditeurs utilisent dans la majeure partie des cas ces techniques d’anonymisation.
Concernant la suppression, les données sont effacées de la base active par une manipulation. Et seront supprimée par synchronisation des bases de sauvegardes.



Quels sont les délais légaux pour traiter une demande d’exercice d’un droit concernant les traitements de données personnelles ?

Si une personne demande à exercer un de ses droits, la réponse doit être apportée dans les meilleurs délais.

Plus précisément pour une demande standard vous avez 1 mois à compter de la réception de la demande.

Dans des cas particuliers ou si vous recevez énormément de demandes vous pouvez ajouter un délai supplémentaire de 2 mois (soit un total de 3 mois).

Attention, dans le cas où vous prolongez le délai, vous devez en informer la personne dans le mois suivant la réception de sa demande. Vous n’êtes pas obligé de renseigner ces délais dans la mention sur le mail d’accusé de réception. Cependant vous pouvez l’ajouter dans votre politique de confidentialité.