Le Règlement Général sur la Protection des Données (RGPD) a été mis en œuvre au niveau européen en mai 2018. Il a profondément modifié l’approche de la confidentialité des données personnelles par les entreprises et les éditeurs de logiciel.
Les grands principes du RGPD
Le RGPD est basé sur quelques grands principes :
- La responsabilité des acteurs : Le règlement prévoit des pénalités financières conséquentes en cas de manquement
- La minimisation: il ne faut stocker que les informations nécessaires au traitement
- La finalité : un fichier ne doit être créé et exploité que dans un but précis. Il doit aussi avoir une base réelle (obligation légale, respect d’un contrat, etc)
- La protection : les données doivent être protégées contre un accès non autorisé
- La transparence : les personnes doivent savoir ce qui est fait des données et celles-ci doivent être conservées le moins longtemps possible.
Dans l’intérim, 2 challenges sont particulièrement présents :
- La multiplicité des acteurs : entreprise utilisatrice (EU), agence de travail temporaire (ETT), intérimaires et bien sûr éditeur de solutions de gestion de l’intérim comme Peopulse sont les 4 acteurs de l’écosystème
- Le fait que tous ces acteurs traitent de la donnée personnelle de l’intérimaire : nom, prénom, adresse, etc
Cette complexité explique que nous soyons particulièrement vigilants sur la mise en œuvre de notre politique RGPD.
Comment mettons-nous en œuvre le respect du RGPD ?
Peopulse est un sous-traitant au sens RGPD, c’est-à-dire que nous traitons les données selon les instructions du responsable de traitement. A noter que, contrairement à ce que l’on pourrait croire, le responsable de traitement n’est pas forcément l’EU, l’entreprise chez qui l’intérimaire va travailler. Pour la majorité des données personnelles, le responsable de traitement est l’ETT : c’est elle qui intègre les données des intérimaires dans la plateforme et est donc responsable du traitement. Une particularité de l’intérim est donc que la responsabilité des traitements est partagée entre l’EU et l’ETT. Il y a donc ici 2 co-responsables de traitement.
En tant que sous-traitants, nous avons différents moyens de mettre en œuvre les principes évoqués ci-dessous.
Notre solution respecte le privacy by design
Nous donnons une grande importance à minimiser l’usage des données personnelles en faisant évoluer notre solution. Nous assurons aussi sa sécurité maximale.
La gestion fine des droits et des rôles que nous permettons fait aussi partie de ce respect du privacy by design en assurant aux clients que les données personnelles ne seront vues que par les utilisateurs en ayant besoin.
Notre solution est sécurisée
La protection des données personnelles est au cœur du RGPD. Chez Peopulse, chaque développement fait l’objet d’une étude d’un point de vue sécurité pour limiter au maximum les risques. Nous utilisons les bonnes pratiques
Notre solution est auditée plusieurs fois par an par des tiers et nous suivons proactivement les failles de sécurité qui peuvent exister sur les composants que nous utilisons.
Les transferts sont bien sûr chiffrés, que ce soit dans l’interface principale via le navigateur, sur les échanges de données SFTP ou dans l’utilisation des API.
Nous attachons aussi beaucoup d’importance à la sécurisation des postes de travail, souvent source involontaire de problèmes de sécurité.
Les accès à la production sont restreints et l’anonymisation des données est de mise lorsque des données de production doivent être utilisées pour par exemple aider un client.
Nous avons une vision complète de nos traitements
Chez Peopulse, nous avons référencé la totalité des traitements que nous réalisons et établit un registre (numérique) des traitements. Cela permet d’avoir une vue d’ensemble et d’identifier les améliorations à apporter.
Aucune société n’est à l’abri d’une fuite de données personnelles comme l’actualité nous le prouve régulièrement. La multiplicité des acteurs dans l’intérim accroît la nécessité d’être d’autant plus vigilant. La mise en œuvre des bonnes pratiques par Peopulse réduit considérablement les risques pour nos clients, pour les agences ETT avec qui nous sommes partenaires ainsi que, in fine, pour les intérimaires dont nous gérons une partie des données.
