Depuis le 25 mai 2018, l’installation d’un logiciel de gestion des temps ou de contrôle d’accès nécessite l’utilisation et le traitement de données à caractère personnel. Toutes les entreprises de l’Union Européenne sont dans l’obligation de se conformer aux exigences du Règlement Général pour la Protection des Données (RGPD).
1. La réglementation du RGPD pour un logiciel de gestion des temps et de contrôle d’accès
Toute organisation publique ou privées (entreprises, collectivités locales) faisant partie de l’Union Européenne et traitant des données personnelles de ses employés ou agents doit respecter le RGPD qui implique les règles suivantes :
1- Le respect de droits relatifs aux données personnelles
2- La sécurité des données personnelles recueillies.
3- La mise en œuvre d’une politique de gestion responsable du traitement des données recueillies
4- La nomination d’un interlocuteur unique au sein de l’organisation : le DPO (Data Protection Officer) ou Délégué à la Protection des Données.
5- Le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés)
2. Les différents modes d’utilisation du logiciel ZEUS®
1- Le mode « On Premise » (sur site)
Vous avez acquis une licence d’utilisation d’un logiciel. Ce dernier est installé au sein de votre centre informatique (Data Center) ou sur l’un de vos serveurs. Vous en maîtrisez l’accès et l’exploitation des données. Chez DEHO SYSTEMS, la facturation d’un logiciel en mode On Premise est un achat (un « investissement » sur le plan comptable).
2- Le mode « SaaS » (Software as a Service)
Le logiciel est installé sur les serveurs de l’éditeur du logiciel (notre partenaire ISGUS). Vous avez un droit d’utilisation du service, mais ne maîtrisez ni l’exploitation du logiciel ni la localisation géographique des données. Chez DEHO SYSTEMS, la facturation d’un logiciel en mode SaaS est un abonnement (une charge sur le plan comptable).
3. Le logiciel ZEUS® et la mise en conformité au RGPD
L’utilisation d’un logiciel de gestion des temps ou de contrôle d’accès ne garantit pas la conformité globale au RGPD mais apporte une réponse au respect d’une bonne gestion des données personnelles, en permettant en particulier :
1- d’encadrer le traitement des données personnelles
2- de centraliser leur hébergement (en cas de mode SaaS)
3- d’assurer la protection des données (accès sécurisés, droits d’accès, etc.)
4- d’optimiser les demandes et les démarches d’exercice de droits de retraits
En ce sens, les solutions logicielles ZEUS® (en mode SaaS et On Premise) ont été développées pour permettre aux entreprises et aux organisations à se conformer au Règlement Général sur le Protection des Données (RGPD) dans le traitement et la protection des données personnelles de leurs collaborateurs.
4. Le « Privacy by Design » dans ZEUS®
Qu’est-ce que le « Privacy by Design » ?
Le principe de « Privacy by design » (traduisez par protection des données dès la conception) signifie que tout éditeur doit désormais intégrer la protection des données à caractère personnel dès la conception de logiciels rattachés au traitement des données personnelles. Cela permet de minimiser les risques d’un non-respect du traitement des données au RGPD entré en vigueur depuis le 25 mai 2018. L’éditeur doit prendre des mesures techniques et organisationnelles appropriées au traitement des données au regard de la finalité recherchée par l’entreprise dans le traitement.
L’application de ce principe permet donc de mettre en œuvre des mesures préventives visant à limiter les risques d’amendes RGPD : les mesures doivent empêcher la collecte de données personnelles sans raison légitime d’une part, et la suppression de données d’une base de données s’il n’y a pas ou plus de raisons de la stocker d’autre part.
Que dit le texte de la loi RGPD ?
Selon l’article 25.1, « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée. »
Comment cela se traduit dans ZEUS® ?
1. Sécurité des données : limitation des champs obligatoires de saisie des données aux seuls champs indispensables au traitement des données du collaborateur. En effet, afin de respecter le droit de consentement (opt in) et d’empêcher la saisie de données « facultatives » sans le consentement préalable de la personne concernée, le paramétrage des profils des utilisateurs dans ZEUS® embarque un système permettant d’interdire la saisie de données facultatives.
2. Politique avancée de gestion des droits des utilisateurs. ZEUS® une granularité des droits en fonction des profils. Cette granularité permet de répondre au devoir de restriction d’accès aux données à caractère personnel uniquement aux collaborateurs en ayant besoin. En ce sens, ZEUS® permet un paramétrage pointu des droits-utilisateurs et une communication des données nécessaires uniquement réservées aux personnes gestionnaires autorisées (affectation de droits par profil, individu, etc.)
3. Pseudonymisation des données. ZEUS® permet une ségrégation des données à caractère personnel au sein de la base. Ainsi, avec ZEUS® la pseudonymisation ne permettra pas une identification d’une personne spécifique. Le RGPD dans son article 4, point 5, définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ».
5. Le « Privacy by Default » dans ZEUS®
Qu’est-ce que le « Privacy by Default ?
Le principe de « Privacy by Default » (traduisez par protection de la vie privée par défaut) impose aux éditeurs de paramétrer, par défaut, leurs logiciels avec un haut niveau de protection avant toute utilisation. En d’autres termes, lors de sa première utilisation, l’utilisateur ne devrait pas avoir besoin de modifier les paramètres pour renforcer la protection de ses données ; tout devrait être déjà pré-configuré. Cette protection “par défaut” garantit également aux utilisateurs d’éviter que leurs données ne soient utilisées dans un but autre que celui pour lequel la collecte a été effectuée.
Que dit le texte de loi RGPD ?
Selon l’article 25.2, « Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »
Comment cela se traduit dans ZEUS® ?
Données hautement sécurisées. Que ce soit en mode On Premise (chiffrement des données, audits réguliers de sécurité, authentification nécessaire, etc.) ou en mode SaaS (hébergement hautement sécurisé avec politique fine de firewalls, système de redondance de sauvegardes, etc.)
6. Exercice des droits relatifs aux données à caractère personnel
Selon l’article 12, « Les personnes physiques ayant communiqué leurs données (salariés, clients) ont des droits sur leurs données. Elles peuvent consulter, rectifier, demander l’oubli de leurs données, etc.) L’organisation doit s’assurer de pouvoir respecter ces droits à tout moment et pour tous ces traitements et ce dans un délai d’un mois maximum ».
Droit d’accès (article 15) / Rectification (article 16). Avec ZEUS®, il est possible d’accorder aux collaborateurs des droits leur permettant de consulter librement les données personnelles les concernant et / ou le droit d’en demander la modification.
Droit à l’oubli (article 17). Avec ZEUS®, la suppression de données est possible. Celle-ci doit être demandée par la personne concernée et réalisée par un administrateur du logiciel. La personne faisant la demande devra pouvoir justifier de son identité. Toutefois, les solutions de ressources humaines prévoient, en général, le respect des obligations légales de conservation et de suppression des documents. ZEUS® bénéficie d’une fonction de suppression automatiques paramétrables afin de déclencher la purge des données dès lors que leur durée de conservation est dépassée.
Export des données (article 20). ZEUS® intègre des outils d ‘export de données sous des formats standards (.xls, .csv., .pdf). Cela a pour objectif de pouvoir restituer manuellement des données par les administrateurs du logiciel.
7. Tenue, par le client, d’un Registre des Activités de Traitement
Le Règlement Général sur la Protection des Données (RGPD) a été instauré afin de responsabiliser pleinement l’organisation sur la protection de ses données. Pour ce faire le client est dans l’obligation de tenir, à jour, un « Registre des Activités des Données » (article 30). Cliquez ici pour télécharger un exemplaire de Registre d’Activités.
8. La position de DEHO SYSTEMS par rapport au RGPD
Toute entreprise ou organisation est considérée comme « Responsable de Traitement ». De fait, elles sont pleinement responsables de la gestion et de la protection des données à caractère personnel, que les traitements soient internalisés ou sous-traités auprès de tiers.
- Dans le cadre d’une solution en mode SaaS (Software as a Service) : DEHO SYSTEMS est « sous-traitant »
Dans le cas d’un mode SaaS, le logiciel est installé sur les serveurs de notre partenaire-éditeur Isgus. Ainsi, dans le cadre du RGPD, en tant que client, vous avez un droit d’utilisation du service mais ne maîtrisez ni l’exploitation du logiciel, ni la localisation géographique des données.
En ce sens, DEHO SYSTEMS est « Sous-traitant » de ses clients dans le cadre de ses prestations d’hébergement en mode SaaS, d’intégration logicielle et de support/maintenance.
- Dans le cadre d’une solution en mode On Premise (achat) : DEHO SYSTEMS n’est pas sous-traitant
Dans le cas d’un mode On Premise, vous avez acquis le logiciel. Il est installé au sein de votre centre informatique. Vous en maîtrisez donc l’accès et l’exploitation. Au titre de la licence, DEHO SYSTEMS n’est pas considéré comme « sous-traitant ». En effet, vous avez fait l’acquisition d’une solution logicielle que vous utilisez de manière indépendante sous votre responsabilité. Au titre de la licence, DEHO SYSTEMS n’accède pas à vos données. DEHO SYSTEMS n’est donc pas le sous-traitant de vos données personnelles. C’est la position de la CNIL.
Toutefois, DEHO SYSTEMS, s’engage à vous fournir une application logicielle conforme au RGPD, vous permettant d’effectuer vous-même les traitements devenus obligatoires, comme la pseudonymisation. En effet, le logiciel ZEUS® a été conçu dans le respect du « Privacy by Design » (voir paragraphe 4 plus haut).