Le RGPD et les logiciels de gestion RH
Comment s'applique-t-il au sein d'un logiciel de gestion ?
Qu’est ce que le RGPD ?
Le Règlement Général sur la Protection des Données est une législation européenne. Il vise à renforcer la protection des données personnelles des individus. Il impose de collecter, traiter et stocker les données de manière transparente, sécurisée et avec le consentement des personnes concernées. Le RGPD accorde également aux individus des droits sur leurs données, tels que le droit d’accès, de rectification et de suppression.
Quelles sont les données concernées par le RGPD ?
Le règlement RGPD et les logiciels de gestion
L’article 25 du règlement RGPD énonce : “Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée”.
Dans un logiciel de gestion RH, l’entreprise doit pouvoir justifier l’utilité de la collecte de données et leur stockage pour l’activité. Aussi, l’entreprise doit pouvoir justifier qui a accès et qui utilise les données. C’est pourquoi les processus complets doivent être recensés et vérifiés pour garantir une sécurité des données lors de leur traitement.
RGPD : les responsables de traitement et les sous-traitants
Dans le cas d’un logiciel de gestion, le responsable de traitement est le client (l’utilisateur du logiciel de gestion), car il saisit les informations, valide les documents, rembourse les notes de frais, etc. Il est donc responsable de la sécurité des données qu’il collecte et enregistre.
Un sous-traitant est une entreprise qui traite les données pour le compte du client. Par exemple, le sous-traitant peut effectuer le stockage et la sauvegarde des données d’une entreprise.
Par exemple, Un client Notys en mode SaaS est responsable de traitement et NOTYS est sous traitant, puisqu’il stocke et sauvegarde les données.
La mise en conformité RGPD
La CNIL liste six étapes pour mettre en œuvre une mise en conformité :
- Désigner un responsable de traitement : pour faciliter l’organisation des données et le contact avec le client.
- Cartographier les opérations : permet d’avoir un aperçu global de toutes les opérations menées avec les données.
- Prioriser les opérations : créer un ordre aide les entreprises à mieux visualiser les données importantes et à anticiper les risques.
- Gérer les risques : une bonne appréhension des risques les limite fortement.
- Organiser les processus internes : réaliser les opérations de manière sécurisée.
- Documenter la conformité : assurer un suivi et une conservation des bonnes pratiques.
Aussi, toute entreprise doit tenir un registre des traitements des données personnelles, et ce, peu importe son statut juridique. La tenue de ce registre est obligatoire et doit contenir toutes les informations prouvant la conformité du traitement des données.
Les entreprises de plus de 250 salariés et le RGPD
Pour les entreprises d’au moins 250 salariés, il est obligatoire de réaliser une analyse d’impact relative à la protection des données sur tous les traitements de l’entreprise. Ces entreprises doivent s’assurer de mener cette opération pour garantir un traitement conforme des données.
Qu’est ce qu’une analyse d’impact relative à la protection des données (AIPD) ?
Le RGPD et les entreprises de moins de 250 salariés
Pour les entreprises comptant moins de 250 salariés, les règles diffèrent. Certains type d’opérations ne requièrent pas d’analyse d’impact relative à la protection des données. Cependant, le responsable de traitement doit contrôler et vérifier ces opérations ainsi que leur conformité au RGPD.
Dans la liste des opérations exonérées, on va retrouver :
- la gestion de la paye, l’émission des bulletins de salaire
- la gestion du restaurant d’entreprise, la délivrance des chèques repas
- le remboursement des frais professionnels
- le contrôle du temps de travail
- …
Avec Notys, vos données sont sécurisées et les processus sont garantis conformes au RGPD. Traitez vos absences, congés, et frais professionnels plus simplement et plus sereinement dès maintenant ! En savoir plus.