PeopleSpheres et le RGPD

PeopleSpheres est-il conforme à la RGPD ?

Oui, PeopleSpheres et ses solutions respectent la RGPD.

Si vous souhaitez en connaître davantage au sujet des obligations RGPD de PeopleSpheres, vous pouvez lire le reste de cet article ou les documents explicatifs fournis par nos équipes. Pour toutes questions supplémentaires, n’hésitez pas à contacter notre délégué à la protection des données (DPO) à l’adresse mail suivante : dpo@neospheres.eu

PeopleSpheres a-t-il une certification GDPR Compliant ?

Notre objectif est d’obtenir une certification en 2019. PeopleSpheres est actuellement en pleine étude des certifications possibles en France. Une des certifications ayant particulièrement retenu notre attention est la certification AFAQ Protection des données.

Nous vous tiendrons informés de chaque changement.

Comment PeopleSpheres gère le traitement du RGPD ?

Le règlement à la protection des données s’inscrit dans la suite logique de la loi informatique et liberté. Nous possédions ainsi une base. Ce nouveau règlement a ajouté des principes et des obligations : nous avons déployé les ressources nécessaires à la bonne mise en œuvre et application de ces nouvelles règles. Aujourd’hui, un DPO gère les différents sujets touchant à cette problématique.

Quelle méthode a été employée pour être conforme ?

Premièrement, nous avons commencé par prendre connaissance de la législation. Après cette phase de lecture et de compréhension, nous avons déterminé les points importants et les améliorations possibles de nos pratiques quotidiennes.

L’objectif était de développer encore plus le travail d’évaluation réalisé. PeopleSpheres s’est appuyé sur le label CNIL Gouvernance qui intègre les principes du RGPD. Finalement, ces deux phases nous ont donné un plan d’action clair et précis.

La suite de la méthodologie employée a été conduite à partir des fondamentaux de la gestion de risque. C’est-à-dire : évaluation, priorisation, corrections et prévention.

Quels sont les lieux de stockage des données chez PeopleSpheres ?

Nous avons obtenu différents lieux de stockage grâce à nos partenaires. La plupart des données sont stockées en France, le reste est stocké en Angleterre.

Sommes-nous obligés de posséder un stockage de nos données exclusivement local ?

Non, la législation pose une obligation sur le stockage des données en toute sécurité et oblige à poser un cadre sur les transferts de données hors UE.
Si vous aspirez à transférer les données hors Union Européenne, il vous faudra regarder si la CNIL autorise à transférer les données vers ce pays.

Vous avez accès ci-dessous à un lien vers une mappemonde dynamique. Elle vous permet d’estimer le taux de sécurité que le pays peut vous offrir.

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Concernant l’anonymisation des données, quelles règles et principes sont à respecter ?

La RGPD modifie les règles concernant la suppression / anonymisation à travers deux éléments.

  • Chapitre II, Article 5, Alinéa e) : « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »
  • Chapitre III, Section 3, Article 17 : Droit à l’effacement (« droit à l’oubli »).

Deux principes sont donc à prendre en compte.

Le premier principe porte sur la conservation. La conservation doit être appliquée aussi longtemps que nécessaire. La durée de conservation varie suivant les besoins de l’activité et les obligations légales.

Pour en savoir plus, nous vous invitons à consulter cet article : https://www.service-public.fr/professionnels-entreprises/vosdroits/F10029.

Le second principe est le droit à l’oubli. Lorsque la période de conservation obligatoire est dépassée, les données peuvent être supprimées à la demande de la personne.

Pour obtenir plus d’informations, vous pouvez consulter l’article du règlement ici : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17

PeopleSpheres met-il à disposition des documents explicatifs ?

Nous avons conscience de l’appréhension et de l’effet que peut provoquer cette loi pour les gestionnaires RH. C’est pourquoi tous nos clients peuvent trouver des documents explicatifs dédiés à la RGPD dans le centre de support PeopleSpheres.

Si vous souhaitez les consulter, allez dans la recherche et écrivez « RGPD ».

Vous aurez accès aux documents suivants :

  • RGPD : Droits des personnes concernées
  • RGPD : Informer mes collaborateurs
  • RGPD : Plan d’action Conformité NeoSpheres
  • RGPD : Rédiger votre politique interne concernant la protection des données
  • RGPD : Bases juridiques et intérêts légitimes*
  • RGPD : Renseigner MonPortailRH dans mon registre des traitements

Quelles sont les règles et les principes du RGPD que les consultants doivent respecter ?

L’équipe de consultants est soumise à des règles internes très strictes. Ils sont dans l’obligation de les respecter lors de leur travail :

  • Confidentialité
  • Règles de limitation de la conservation des données
  • Règles de sécurisation des transferts de fichiers
  • Agir sur consignes écrites

Gardez en tête que l’équipe des consultants n’est pas tenue d’assurer une réponse à toutes vos interrogations sur la protection de vos données. Vous serez orienté vers le délégué à la protection des données qui saura répondre à l’ensemble de vos interrogations.

Peut-on réceptionner des fichiers non cryptés ?

Non. Notre entreprise a renforcé ces procédures. Envoyer des fichiers contenant des données personnelles n’est plus possible : les consultants ne peuvent plus accepter ces documents.

Pour plus d’informations, vous pouvez faire une demande pour notre guide explicatif de ce nouveau fonctionnement.

La randomisation et la généralisation sont les deux principales approches d’anonymisation des données. Les éditeurs ont majoritairement recours à une de ses deux méthodes.

Pour la suppression, la manipulation permet d’effacer les données de la base active : elles seront supprimées par synchronisation des bases de sauvegarde.

Dans le cadre de l’exercice d’un droit sur le traitement des données personnelles, quel est le délai légal pour gérer la demande ?

Si vous souhaitez l’exercice de l’un de vos droits, une réponse doit vous être apportée dans le mois après que l’entreprise ait reçu votre demande.

Dans le cas où l’entreprise reçoit énormément de demandes, elle peut rajouter un temps additionnel de réponse de deux mois (ce qui peut faire un total maximum de trois mois).

Cependant, elle doit vous tenir informer de ce changement de délai dans le mois qui suit la réception de votre demande par l’entreprise. L’organisation n’est pas tenue de préciser les délais.