Règlement général sur la protection des données (RGPD) - Mise en œuvre pour les équipes RH

Matt McClintock 24 mai 2018 Automatisation intelligente Traitement intelligent des documents (IDP)

Pour certains, le GDPR est un casse-tête permanent, qui pousse les responsables des ressources humaines à faire des heures supplémentaires et à devenir fous, tandis que pour d'autres, il existe des personnes qui ne font pas partie de la première catégorie. Ceux qui ont récemment commencé à se préparer au GDPR peuvent avoir une vision pessimiste des semaines à venir, remplies de déclarations de confidentialité, de procédures de fuite de données, de formulaires et de réunions GDPR. Que devez-vous donc savoir avant la date tant redoutée du 25 mai ? Pour vous aider à vous préparer au GDPR, voici 6 exemples de questions et réponses sur le GDPR. Les informations suivantes ne constituent pas un avis juridique et ne doivent être utilisées qu'à des fins informatives et éducatives.

1. Quel type de données votre organisation possède-t-elle ?

Une question simple, mais la réponse pourrait être plus complexe que vous ne le pensez ! Les données personnelles sont toutes les données relatives à une personne au sein ou en dehors de votre organisation. Cela ne se limite pas à ce qui se trouve dans votre dossier personnel. Examinez vos processus d'un œil critique : que faites-vous lorsqu'un employé commence à travailler dans votre organisation ? Comment se déroule votre processus d'intégration ? Vos employés communiquent-ils des données à caractère personnel dans le cadre de ces processus ou entre les deux ?

Cartographier les données dont vous disposez dans votre entreprise est la première étape d'une organisation organisée et conforme au GDPR. En outre, cette étape vous aidera à mettre en place un processus bien préparé et fiable en cas de fuite de données.

Quelques points d'attention :

  • "Avoir des données personnelles de votre personnel" n'est pas la même chose que "qu'est-ce que j'ai stocké dans le dossier du personnel". Soyez attentif aux CV qui se trouvent dans les tiroirs, aux documents sur lesquels figurent des noms et des adresses électroniques personnelles ou aux contrats en première version contenant des données.
  • N'oubliez pas que les données des candidats telles que : les noms, les numéros de téléphone privés et les adresses e-mail sont également soumises au GDPR et sont facilement partagées parmi l'entreprise dans le processus de candidature sans grande réflexion. Gardez une trace de ces données et supprimez-les lorsqu'elles sont dues.
  • En général, les visiteurs transmettent également leurs données personnelles à l'entreprise qu'ils visitent. Doivent-ils être inscrits sur une certaine liste pour pouvoir se garer ? Doivent-ils obtenir une carte d'accès ? Toutes ces actions nécessitent le partage de données personnelles. N'oubliez pas vos clients et autres invités !
  • Quel type de données personnelles stockez-vous sur vos clients et fournisseurs ? Il est fort probable que vous stockiez leurs noms, adresses électroniques et numéros de téléphone quelque part, mais quoi d'autre ? Les documents contiennent souvent des données à caractère personnel. Soyez donc critique quant à ce que vous recevez et stockez, et soyez conscient de votre responsabilité !

2. Quelles données partagez-vous avec d'autres organisations ?

Il est important de cartographier les données que vous partagez avec d'autres organisations. On croit souvent à tort qu'aucune donnée personnelle n'est partagée avec d'autres organisations. En général, les entreprises fournissent certaines informations à la banque pour payer leurs employés. Peut-être vos employés ont-ils besoin d'être assurés contre le vol, d'utiliser des appareils électroniques (tablettes, téléphones mobiles, ordinateurs portables, etc.), de louer des voitures, d'utiliser des abonnements aux transports publics ou de fréquenter des instituts de formation. Toutes ces situations et organisations nécessitent le partage de données relatives au personnel.

Le partage des données n'est pas interdit en soi, mais il doit être connu des personnes à qui vous les communiquez. Partagez-vous uniquement les données nécessaires ? Pour chaque information que vous partagez, demandez-vous : est-il absolument nécessaire qu'ils reçoivent cette information ?

Quelques points d'attention :

  • Beaucoup d'informations sont partagées avec des organisations gouvernementales comme l'administration fiscale et les bureaux de chômage. Ils sont également liés par le GDPR et le partage d'informations que vous faites avec eux doit également être enregistré. N'oubliez donc pas de jeter un coup d'œil à ce que vous partagez avec eux.
  • Normalement, un fournisseur reçoit certaines données personnelles d'un employé spécifique au sein d'une organisation. Le nom de votre responsable lorsque vous commandez des fournitures de bureau compte parmi les données personnelles.
  • Pendant vos recherches sur le GDPR, vous pourriez vous dire : "Wow, nous partageons beaucoup de données. Pouvons-nous même faire ça ?" Ce n'est pas parce que vous les partagez que vous faites par défaut quelque chose de mal. Les deux raisons qui autorisent le plus souvent le partage de données pour les entreprises sont "l'obligation légale" ou "l'autorisation". Si vous n'avez aucune obligation légale de collecter un type d'information, vous le faites probablement sur la base d'une permission. Si c'est le cas, n'oubliez pas de demander la permission.

3. Qui connaît le GDPR ?

Faire reposer toute la responsabilité de la vie privée sur une seule personne est une bombe à retardement. Tout simplement parce qu'une seule personne n'est pas en mesure de voir tout ce qui se passe, de remarquer toutes les menaces pour la vie privée et de se conformer à tous les défis du GDPR. Votre plus grande ressource, ce sont les personnes qui vous entourent et qui peuvent rendre votre organisation conforme, mais connaissent-elles le GDPR ? Que signifie ce règlement sur la protection de la vie privée pour votre organisation d'un point de vue pratique ?

Partagez votre connaissance de la réglementation GDPR avec tout le monde dans l'organisation, car tout le monde entre en contact avec des données personnelles : non seulement l'administration, le directeur ou votre recruteur, mais aussi les stagiaires, le support informatique, et bien d'autres. Sensibiliser tous les employés au GDPR réduit le risque de laisser des informations personnelles dans des espaces publics et fournit une plateforme qui génère des commentaires et signale les situations à haut risque.

Quelques points d'attention :

  • Parler du GDPR à vos collègues n'est pas le seul moyen de les informer, mais cela permet aussi de leur rappeler la politique de mot de passe que vous avez, de les informer de la mise à jour des politiques de confidentialité et de leur demander leur avis sur les risques de confidentialité qu'ils pourraient reconnaître.

4. Que faites-vous lorsqu'une fuite de données se produit ?

Espérons le meilleur, préparons-nous au pire. Bien sûr, l'objectif est de ne jamais divulguer de données, mais il y a toujours un risque que cela se produise. Il est préférable de partir du principe qu'une fuite de données doit être signalée. Vous devez avoir préparé à l'avance votre procédure en cas de fuite de données en sachant comment informer vos clients, vos employés et/ou vos fournisseurs en cas de fuite de données, qui est la personne de contact au sein de votre organisation et qui est la personne chargée de signaler la fuite aux autorités compétentes, ainsi que les autorités compétentes.

Quelques points d'attention :

  • La perte d'une clé USB, le vol d'un ordinateur portable, l'oubli d'un papier contenant des données personnelles dans les transports en commun ou la mise au rebut accidentelle de documents contenant encore des informations constituent des fuites de données. La seule exception à l'obligation de signaler une fuite de données est lorsqu'il s'agit de données cryptées. Les données cryptées ne sont pas des données à caractère personnel et, en ce qui concerne le GDPR, la perte de données cryptées n'est pas considérée comme une fuite de données, à condition que vous n'ayez pas perdu la clé qui les accompagnait, car dans ce cas, il s'agit d'une fuite de données.

5. Qu'avez-vous mis sur papier ?

Il existe des procédures, des accords, des déclarations et bien d'autres choses encore, mais les avez-vous documentées ? Il peut arriver que le personnel interne ne se souvienne pas de tous les protocoles ou n'ait pas reçu une formation suffisante, par exemple lorsqu'un nouvel employé découvre une fuite et ne sait pas comment la signaler. Il est donc important d'investir dans une documentation complète et de s'assurer qu'elle est disponible pour tous ceux qui en ont besoin. Rendez votre déclaration de confidentialité visible et effectuez votre mise en conformité avec le GDPR.

Quelques points d'attention :

  • Il est important de toujours vérifier quelles sont les exigences en matière de documentation obligatoire pour votre organisation. Les organisations composées de 250 personnes ou plus nécessitent une documentation supplémentaire, comme une base de données des opérations.

6. Quelle différence un bon système de gestion de contenu peut-il faire dans le cadre du GDPR ?

Tant mieux si vous avez les réponses à toutes les questions précédentes. Mais être en conformité avec le GDPR ne s'arrête pas là. Vous avez besoin d'outils puissants pour vous assurer que vos données et vos processus sont à jour. Ici, votre système de gestion de contenu peut faire la différence.

ProcessMaker IDP allie la protection de la vie privée dès la conception à une excellente expérience utilisateur et à tout ce dont vous avez besoin pour trouver, conserver et gérer votre contenu de manière globale. Vous pouvez stocker tous vos documents dans un seul et même emplacement sécurisé et les récupérer à tout moment en un seul clic. Grâce à l'outil de contrôle d'accès et d'anonymisation basé sur les rôles, vous pouvez vous assurer que seuls les utilisateurs autorisés peuvent consulter vos informations sensibles. En outre, toutes les actions appliquées à vos données sont enregistrées dans le système, de sorte qu'en cas d'audit, vous pouvez facilement prouver que vous êtes en conformité.

Le 25 mai n'est pas la fin, ce n'est que le début du respect d'un tout nouvel ensemble de lois.

Dernières paroles

Comme pour de nombreuses lois, vous verrez dans les années à venir de nouveaux développements, des modifications, des décisions de juges, et peut-être des adaptations complètes du GDPR. Il est impératif de vérifier régulièrement si vous êtes toujours conforme, si votre documentation est à jour et si vos collègues sont toujours attentifs en matière de vie privée.

Joyeux GDPR-ing !

Règlement général sur la protection des données (RGPD) - Mise en œuvre pour les équipes RH

Solutions pour les plates-formes

Voyez par vous-même ! Essayez gratuitement les dernières fonctionnalités de ProcessMaker Platform.

Essai gratuit

Catégories

Automatisation des processus d'entreprise (BPA) Gestion des processus d'entreprise (BPM) Hyperautomatisation Automatisation intelligente Traitement intelligent des documents (IDP) Cartographie des processus Automatisation des procédés robotisés (RPA) Automatisation des flux de travail

S'abonner à la Newsletter Hyper-Productivity™ de ProcessMaker

    Consentement à la politique de confidentialité En cochant cette case, vous consentez à Déclaration de confidentialité du fabricant de processus.

    Découvrez comment des entreprises de premier plan utilisent ProcessMaker pour rationaliser leurs opérations grâce à l'automatisation des processus.

    Contactez-nous

    Mise à jour sur la protection de la vie privée
    Nous utilisons des cookies pour rendre les interactions avec notre site web et nos services faciles et significatives. Les cookies nous aident à mieux comprendre comment notre site web est utilisé et à adapter la publicité en conséquence.

    Accepter