RGPD : stop à l’envoi des bulletins de PAIE* et autres données personnelles par MAIL!
(* et autre données personnelles 😉)
En tant qu’employeur, vous êtes responsables des données personnelles qui vous sont confiées et de celles que vous générez ou faites générer (à un sous-traitant).
Vos obligations sont de trois ordres :
Minimiser la collecte et la conservation des dites données au seul intérêt légitime que vous pouvez avoir
Empêcher leur divulgation à toute personne ne relevant pas de cet intérêt légitime
Les sécurisez de façon à ne pas les perdre irrémédiablement
Comment se traduisent ces obligations ?
D'après les recommandations de la CNIL, il convient, en pratique, de
Rendre IMPOSSIBLE l’accès aux données sans autorisation, même en cas de piratage : le chiffrage des données personnelles qui deviennent ainsi illisibles sans la clé de déchiffrement est un impératif. Leur anonymisation est un plus lorsqu’elle est possible.
Limiter STRICTEMENT les accès : chaque donnée personnelle, fonction de sa catégorie, de la personne concernée, etc… doit avoir des droits d’accès spécifiques ne permettant sa consultation que par un nombre le plus restreint possible de personnes, et durant un laps de temps nécessaire (si vous avez à valider les fiches de paie par exemple mais qu’il n’y a pas d’intérêt sauf exceptionnel à ce que vous y ayez accès par la suite, chaque fiche de paie ne doit vous être visible que le temps de la validation);
Limiter la durée de CONSERVATION : chaque document possède ses régles en matière de conservation, et ses règles doivent être scrupuleusement respectées pour ne pas exposer des données personnelles plus longtemps que nécessaire.
Quelles sanctions encourez-vous ?
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
prononcer un rappel à l’ordre ;
enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
limiter temporairement ou définitivement un traitement ;
suspendre les flux de données ;
ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
prononcer une amende administrative (jusqu’à 20 millions d'€ ou 4% du chiffre d'affaires annuel mondial)
Comment se mettre en conformité au regard du RGPD ?
Tout d'abord en mettant fin au transit de données personnelles par mail. La position de la CNIL à ce sujet est claire :
« Sans mesure complémentaire, les canaux de transmission de données grand public (ex. : messagerie électronique, messagerie instantanée, plateforme de dépôt de fichiers) constituent rarement un moyen de communication sûr”
”Ce qu’il ne faut pas faire :
Transmettre des fichiers contenant des données personnelles en clair via des messageries et autres plateformes grand public.
Ne pas prévoir la suppression (de préférence automatique) des fichiers transmis à l’aide d’une plateforme de transfert de fichiers. »
Une plateforme sécurisée d'échange de fichiers telle qu’Hubshare et M-Files ou Zeendoc est donc un moyen à la fois simple et efficace de répondre aux exigences du RGPD, à condition qu’elle réponde à un certain nombre d’aspects techniques :
chiffrement des données au repos et lors de leur transit, idéalement de bout en bout, avec des niveaux de chiffrement élevé
gestion automatisée des droits fonction de la typologie des données, des équipes, des étapes de validation, etc…
gestion automatisée des durées de conservation, avec dans un premier temps un archivage “mort” puis une destruction planifiée.
traçabilité des accès
M-Files permet en outre de détecter automatiquement des données personnelles et d’appliquer ainsi des règles de gestion spécifiques, améliorant grâce à l’intelligence artificielle la sécurisation des dites données.
