Une nouvelle ère ?
Le RGPD (1) s’impose à nous depuis le 25/05/2018. En réponse à son avènement, plusieurs actions ont été réalisées, certaines sont en cours de finalisation, et d’autres planifiées pour les prochaines semaines.
Commençons par un élément du RGPD qui ne concerne pas Vortys : le transfert des données personnelles hors UE (2). En effet, vos données Vortys sont hébergées en France, en Normandie, sur deux sites distincts ; l’un dans l’Eure, l’autre en Seine-Maritime.
Poursuivons. Plusieurs outils relatifs au contrôle de la conformité des données, au respect du droit des personnes fichées, ou encore évidemment à la sécurisation de ces données, existaient préalablement à l’apparition du RGPD. Des notes successives seront réalisées pour en assurer une diffusion plus large, et permettre ainsi à vos DPD (3) respectifs d’en prendre connaissance, et d’apprendre à les manier à volonté.
C’est le cas du « contrôle des mots utilisés » -créé il y a plus de 3 ans- qui vous donne la possibilité de scanner de manière intelligente les zones de saisie libres disponibles au sein de l’application.
Ce sont aussi les « droits d’accès aux options », et la possibilité d’activer des « restrictions d’accès », nés en 2009 avec l’application et qui ne cessent d’évoluer. C’est encore les « politiques de sécurité des mots de passe », de vos utilisateurs, qui existent également depuis l’origine du produit. Encore, « l’ épuration automatique des documents » dans les 3 mois suivants leur émission -hors contrats et listings DUE-, vieille de près de 8 ans.
Du travail, toujours du travail !
Depuis plusieurs mois, les éclaircissements publiés sur les modes d’applications du RGPD ont permis de déterminer un plan d’actions complémentaires à mener sous forme d’évolutions ou de documentations de Vortys.
Certaines d’entre-elles sont finalisées ou sur le point de l’être. Je cite notamment l’ajout du « listing des droits d’accès » qui est mis en ligne, et « l’export des données personnelles » d’un collaborateur qui le sera sous peu, pour répondre à l’obligation nouvelle de portabilité de celles-ci. Aussi, le fait de diffuser les requêtes ou extractions de données, répondant à vos demandes ponctuelles, via Vortys et non plus par e-mail. Ceci dans un souci d’éviter le transit et le stockage involontaire de données personnelles dans nos boites mails respectives.
D’autres évolutions ou actions sont plus lourdes et contraignantes à mettre en place, mais néanmoins en cours de réalisation. D’abord -et certainement l’une des plus importante en matière de transparence- la cartographie des traitements exécutés via Vortys avec les détails concernant l’identification de la gouvernance des données, la portée de ces traitements, et s’ils manipulent des « données sensibles » (4). De même, l’anonymisation des données qui ne font pas aujourd’hui l’objet d’épuration automatique du fait de l’obligation de les conserver pour satisfaire au recours juridiques possibles -contrats de travail ou avenants, et listings DUE pour l’essentiel-, et l’anonymisation des fiches « collaborateurs » inactives dès lors que ce délai de recours serait dépassé, aussi pour répondre au droit à l’oubli qui pour le coup n’est pas une nouveauté du RGPD (5).
En définitive, la démarche adoptée par Vortys vis-à-vis de l’application du RGPD se veut transparente, pertinente et évolutive.
Transparente...
…dans les actions réalisées, engagées ou planifiées, ainsi que dans les données collectées et leur objectif, ou encore la diffusion des notes documentaires qui seront réalisées.
Pertinente...
…dans le support à fournir au DPD de chacun des abonnés Vortys, de manière à ce qu’il puisse simplement être en capacité de faire la preuve de sa conformité en cas de contrôle ou d’audit.
Evolutive...
…car le RGPD, bien que conçu il y a 2 ans (6), vient tout juste de naître. Alors que les documents d’aide à sa prise en compte ne sont âgés que de quelques mois pour les plus anciens, l’absence de jurisprudence qui fait logiquement défaut aujourd’hui. Ainsi, ces actions et recommandations n’apparaissent pas comme une finalité, mais vraisemblablement tel un socle pour de nombreuses améliorations et mises à jour à venir.
En tout état de cause, Vortys reste à l’écoute de chacun dans son approche de sa réponse au RGPD, et des besoins qui viendraient à en découler.
Notes
(1) RGPD : Règlement Général sur la Protection des Données (ou GDPR : General Data Protection Regulation).
(2) RGPD – « CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales ».
(3) DPD : Délégué à la Protection des Données.
(4) Données sensibles : à ce jour, dans Vortys, seul le numéro de sécurité sociale des « collaborateurs » est identifié comme « donnée sensible », Il est collecté aux fins des traitements de la déclaration préalable à l’embauche (DPAE), et des paies et de déclarations sociales (dont DSN) établis par le logiciel de paie du client. Cette donnée n’est pas utilisée comme identifiant dans Vortys .
(5) La plupart des principes de base du RGPD sont présents dans les textes depuis la « Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données « . Le principe du droit à l’oubli a été promu par la signatures des « Chartes du droit à l’oubli numérique » en 2010, et détaillé lors de l’arrêt de la CJUE du 13 mai 2014.
(6) « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ».
