A partir de mai 2018 le RGDP sera introduit en Europe. Sur cette page vous trouverez toute l'information sur l'influence du RGDP sur votre organisation.
La vie privée est de plus en plus importante dans notre ère des technologies de l’information. Nous voulons savoir ce qui se passe avec nos données et nous voulons éviter que ces données soient accessibles publiquement.
D’un point de vue européen, il existe la loi sur la vie privée: la “General Data Protection Regulation (GDPR)”. Cette loi est connue sous l’appellation Algemene Verordening Gegevensbescherming (AVG) aux Pays-Bas et en Flandre. En Belgique francophone, elle est connue sous le nom de « Règlement Général sur la Protection des Données (RGPD) ». Cette loi a été votée pour nous garantir que tout est mis en œuvre pour protéger nos données : qu’elles ne soient pas utilisées pour des processus dont nous n’avons pas connaissance et qu’elles ne soient pas accessibles publiquement.
A partir du 25 mai 2018, cette loi, qui est d’ailleurs déjà entrée en vigueur en 2016, est consolidée. Cela signifie que lorsque vous collectez des données personnelles, vous devez respecter les règles du RGPD/GDPR.
La plupart des organisations ont déjà commencé à se préparer. Nous vous expliquons ce qu’AFAS peut faire pour vous aider à respecter cette loi. Si vous ne respectez pas les règles, vous risquez notamment des amendes pouvant grimper jusqu’à quatre pour cent de votre chiffre d’affaires annuel.
Il s’agit ici par exemple d’un utilisateur du logiciel, un collaborateur d’une organisation ou un contact qui est enregistré dans le système GRC. Pour AFAS, les 3 piliers les plus importants de la Loi dans ce domaine sont:
1. La transparence: les entreprises doivent informer les citoyens de manière à ce qu’ils comprennent comment les données sont collectées et traitées.
2. Le droit d’être oublié: les entreprises doivent pouvoir effacer les données personnelles si la personne en question le demande ET si aucun contre-argument valable ne peut être donné.
3. L’obligation de notification en cas de fuites de données: les entreprises sont obligées de signaler une fuite de données dans les 72 heures, à moins qu’elles puissent démontrer que la fuite ne représente pas un danger pour les données personnelles collectées.
Par données personnelles on entend toutes les informations par lesquelles un citoyen peut être identifié : le nom, le numéro de téléphone, l’adresse, l’adresse e-mail, les photos et davantage encore.
Vous vous demandez si le RGPD/GDPR est d’application pour votre organisation ? C’est très simple: si vous travaillez avec l’une des données citées précédemment, alors le RGPD/GDPR s’applique à votre organisation.
Les personnes ont le droit de corriger leurs données ou de les faire supprimer. En outre, chaque personne doit donner son consentement spécifique et sans ambiguïté en toute connaissance de cause. Ou bien : en tant qu’entreprise, vous devez expliquer spécifiquement ce qui va se passer avec les données personnelles récoltées lors de chaque formulaire à remplir, chaque permission d’infolettre. Cela signifie souvent une adaptation de votre gestion.
En ce qui concerne notre logiciel, il convient de prendre en compte les points de la législation RGPD/GDPR suivants.
Le droit d’être oublié
Le ‘droit d’être oublié’ peut simplement être activé pour bloquer les données concernées afin qu’elles ne soient pas utilisées, pour les supprimer ou pour empêcher leur identification. Dans AFAS, il existe différentes possibilités pour:
Bloquer les informations. Il est maintenant possible de bloquer des données qui ne sont plus utilisées. A cet effet, l’usage (ou l’abus) de données peut être évité.
Supprimer des pièces du dossier et des candidats. C’est possible, tout comme le ‘logging’ sur les pièces de dossiers. A cet égard, on peut également démontrer que les données ont été supprimées.
Supprimer les données personnelles (personne, organisation, collaborateur, etc.). C’est possible.
Étude quant à l’anonymisation des données personnelles. AFAS a commencé une étude vers l’anonymisation automatique des données personnelles. Nous espérons pouvoir vous en dire plus dès septembre 2018.
Portabilité des données
La législation y porte une attention particulière, et plus spécifiquement à cause de la possibilité d’exportation de données personnelles afin qu’elles puissent à nouveau être utilisées dans d’autres situations. Les possibilités actuelles dans notre logiciel, comme les analyses, les rapports par le biais de PDF et/ou XML suffisent pour respecter la législation.
Utilisation de données
L’utilisation des différentes données personnelles doit correspondre au but pour lequel ces données sont utilisées. Par exemple: dans le cas d’un manager qui doit juger de la demande d’un congé d’un collaborateur, il n’est pas nécessaire qu’il voie le numéro de registre national du collaborateur.
Clarifiez les données personnelles utilisées par votre organisation et de quelle manière vous les traitez. On doit savoir quelles données personnelles sont utilisées, dans quel but, où elles sont stockées et qui y a accès. Faites un Privacy impact assessment (PIA). Ce dernier est souvent disponible par le biais de votre propre association professionnelle. D’après le RGPD, les organisations sont obligées d’identifier au préalable les risques liés au traitement de données.
AFAS permet de voir pour chaque champ s’il s’agit d’un champ de personne. Ensuite, nous vous donnons la possibilité de voir où ces champs de personnes sont utilisés dans l’intranet.
Le Privacy by design permet de tenir compte, lors de la conception de (nouveaux) produits et services, de la protection des informations relevant de la vie privée.
Le Privacy by default fait en sorte que vous ne traitiez que les données personnelles qui sont nécessaires au but spécifique.
En tant qu’organisation vous restez responsable des données traitées, des personnes qui peuvent les traiter et du lieu où celles-ci peuvent être traitées.
Lors du développement d’une (nouvelle) fonctionnalité, AFAS tient compte par défaut de la vie privée.
Etant donné que les données ne sont stockées qu’une seule fois dans la base de données et que nous ne gérons que d’une seule manière l’autorisation, le privacy by design est garanti.
En utilisant cette autorisation on peut parfaitement déterminer que des données soient visibles ou mutées uniquement par la bonne personne.
De plus en plus souvent, nous lisons que des hackers se sont emparés de données personnelles et les ont mises à disposition pour en tirer profit. Mais n’oubliez pas non plus que vous pourriez simplement perdre un pc portable sans le vouloir. Ce sont de sérieux risques entrepreneuriaux. En toutes circonstances vous devez informer les personnes concernées de la fuite de données. En outre, il faut tout faire pour l’éviter.
Où se situent les risques pour votre organisation ? Regardez vos procédures pour la documentation et la notification de fuites de données. Dans le RGPD, l’obligation de notification en cas de fuites de données est élargie à l’obligation de documenter toutes les fuites de données, pour que ce soit vérifiable par l’autorité chargée de la protection des données.
AFAS vous soutient pour éviter une fuite de données et vous aide à enregistrer cela. Un flux de travail par défaut ‘Obligation de notification en cas de fuites de données’ est également fourni.
La nouvelle législation impose des exigences plus sévères concernant l’autorisation que les personnes doivent donner pour le traitement des données. Evaluez la manière dont vous demandez l’accord des personnes pour le traitement de leurs données personnelles, mais aussi la manière dont vous les enregistrez.
Vous devez pouvoir démontrer que vous avez bien reçu le consentement valable des personnes.
La demande et l’enregistrement de l’accord peuvent parfaitement être réglés au moyen de flux de travail sur le portail clients pour les clients et chaque personne qui visite le site internet. Pour ce qui concerne les collaborateurs, c’est évidemment la même procédure sur l’intranet.