<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=32847&amp;fmt=gif">

Les cyberattaques ont fait les gros titres de la presse ces derniers mois, voire même ces dernières semaines : Wanna Cry en mai, NotPetya l'année dernière ou les débats autour de Facebook plus récemment... Si on y ajoute la pression de la mise en application du RGPD le 25 mai 2018, la question de la sécurité des données occupe plus que jamais la sphère de l'entreprise. Quel impact sur le travail des RH ?

Le RGPD : une nouvelle ère dans la protection des données

Le RGDP (Règlement Général pour la Protection des Données) propose un nouveau paradigme de protection des données personnelles ou la confidentialité se confond très largement avec la sécurité. Pour une raison simple : il est inutile de parler de Privacy si les enjeux de sécurité ne sont pas pris en compte en préalable de la démarche de conformité. 

Pour les directions RH, cela aura un fort impact : depuis leur arrivée dans une entreprise jusqu'à leur départ, les collaborateurs livrent une grande quantité de données à caractère personnel que les RH doivent collecter, traiter et stocker (un simple fichier Excel contenant des contacts constitue un traitement de données personnelles !). Le nouveau règlement implique des évolutions concrètes dans leur traitement. 



Les changements concrets : 

L'objectif de ce règlement qui entrera en vigueur en 2018 à l'échelle européenne est de redonner aux citoyens le contrôle de leurs données personnelles, tout en unifiant les réglementations relatives à la protection de la vie privée dans l’Union européenne.

Au 25 mai 2018, le RGPD remplacera effectivement la Directive de 1995 (95/46/CE). Premier changement donc : impossible désormais de produire une transposition nationale, le règlement s'applique à tous les pays de la même manière. Toute entreprise ayant des employés résidant dans l'EEE doit s’y conformer, même si le siège de la société n'y est pas installé. En outre, les exigences du RGPD s'appliqueront directement aux fournisseurs tiers qui traitent les données personnelles des salariés (les sous-traitants de données) pour le compte de leurs clients (les responsables de traitement), qui doivent également s'y conformer.

ampoule-blue.pngLes 5 grands principes du RGPD :

  1. Accountability : c'est désormais à l'organisation que revient la charge de la preuve, c'est-à-dire de prouver qu'elle respecte bien le règlement.
  2. Privacy By design : prendre en compte la notion du respect de la vie privée dès la conception d’un système d’information, d’une base de données, d’une application
  3. La nomination d'un DPO (Data Protection Officer)
  4. Le principe du Security by Default
  5. La production d'une étude d'impact 

RGPD & RH : les infos à connaître Visionner notre webinar à la demande

Les articles 32 et 33 au coeur des questions de la sécurité des données

L’article 32 du règlement donne les objectifs suivants de sécurité :

  • Pseudomynisation ou chiffrement des données
  • Confidentialité, intégrité, disponibilité des systèmes et services de traitement
  • Disponibilité de l’accès aux données personnelles en cas d’incident
  • Test, analyse et évaluation

Mais l’article 32 n’est pas l’unique article pouvant impacter les besoins de sécurité. Ainsi l’article 33 introduit une exigence de notification en cas d’événement de sécurité menant à la perte, divulgation ou destruction de données. Même si cela n’est pas explicitement décrit dans cette réglementation, la notification sous-tend d’être apte à détecter ces potentiels évènements de sécurité, qu'on appelle aussi Data Breach.

Côté RH, il existe ainsi plusieurs chantiers sur lesquels se pencher en priorité :

  • Communication sur la politique générale de protection des données
  • Sécurité et gestion des habilitations
  • Politique de rétention des données
  • Information globale aux candidats et collaborateurs

Pour y répondre, une plateforme digitale telle que la nôtre peut aider nos clients à optimiser la mise en conformité face au RGPD. 

ampoule-blue.pngCes exigences de sécurité, confidentialité, intégrité et disponibilité font partie intégrante des services PeopleDoc. Au-delà des attentes fortes de nos clients sur ces sujets, PeopleDoc a adopté une approche proactive pour maintenir la sécurité de ses services Cloud mais aussi de ses processus internes :

  • Chiffrement des données au repos et en transit
  • Protection périmétrique des plateformes et segmentation de l’architecture
  • Protection contre les attaques par déni de service et applicatives
  • Redondance des plateformes
  • Multiples stratégies de tests de sécurité : audits de sécurité classiques annuels, Bug-bounty privé, Tests de sécurité en continu.
  • Sécurité organisationelle : système de management de la sécurité informatique (SMSI) certifié ISO/IEC 27001 Secure Development life-cycle pour garantir la sécurité des services des leur conception
  • Programme de sensibilisation interne sur les risques et les pratiques de sécurité mais aussi sur les aspects de Data Privacy
En savoir plus sur  nos politiques de sécurité

Loin d'être un ensemble de contraintes coercitives, ce règlement est avant tout une opportunité pour les directions RH, notamment pour rationaliser les processus de gestion des donnée, mais aussi renforcer et valoriser la marque employeur. 

EN BREF : 

Enjeu d’entreprise, la sécurité des données salariées doit être partagé par tous. Chantier de longue haleine pour les RH, les collaborateurs doivent être partie prenantes de toutes les actions menées en interne. 

Pour résumer : votre Checklist RGPD - à cocher avant le 25 mai 2018 ! 📅

Téléchargez notre Mémo  pour comprendre l'impact du RGPD 

 

likeandshare.gif

Si vous avez apprécié cet article, partagez-le et recommandez-le pour aider les autres à le trouver :) Merci

 

Et pour ne rien manquer de l'actualité du Digital RH,  abonnez-vous ici

bg-img-form3.png

Abonnez-vous à notre newsletter

Tous les jeudis, recevez directement dans votre boîte mail nos derniers articles !

bg-img19.jpg
loi_travail-peopledoc.png
Téléchargez le Guide Complet Loi Travail

Avec ce document, vous saurez :

  • faire la différence entre CPA et plateforme de consultation ;

  • le calendrier à respecter pour mettre en place la dématérialisation des bulletins de paie dans le respect de la Loi ;

  • les modalités de refus d'un salarié ;

  • les best practices pour engager vos salariés !

Je veux mon Guide sur la Loi Travail !

Laisser un commentaire

FR18-Global-compliance-RGPD-minisite.png
demo_peopledoc.gif