- Le blog et les actualités de Witik
- Comment protéger les données de ses collaborateurs ?
Comment protéger les données de ses collaborateurs ?
Au sein des organismes (entreprises, collectivités territoriale, associations, etc.) beaucoup de services sont amenés à traiter les données personnelles de leurs collaborateurs, notamment des données dites « sensibles », comme le numéro d’inscription au répertoire des personnes physiques (NIR) ou encore des données de santé. Ces traitements sont nécessaires pour le bon fonctionnement des organismes ou pour la gestion de la carrière des employés mais cela implique d’assurer la sécurité de leurs données personnelles. S’il existe une multitude de mesures pour assurer la sécurité des données, il est nécessaire de rappeler quelques bonnes pratiques pour instaurer des règles de bonne conduite.
L’identification des traitements de données personnelles
La sécurité des données personnelles des collaborateurs au sein des organismes passe en premier lieu par l’identification des traitements de données les concernant. Si de nombreux traitements sont communs à la plupart des organismes : gestion de carrière, gestion de la paie, etc. D’autres sont parfois mal identifiés : gestion des badges, ou encore recouvrement des contraventions routières.
Il revient ainsi au pilote interne de la conformité, en règle générale le Délégué à la Protection des Données, de rencontrer tous les services manipulant des données de collaborateurs d’identifier ces traitements pour les inscrire au registre des traitement de l’organisme.
Le recensement des traitements va permettre d’identifier les finalités et les données traitées, pour en apprécier les risques et donc définir les** mesures techniques et organisationnelles de sécurité** appropriées à mettre en œuvre.
La mise en place des mesure techniques et organisationnelles de sécurité : la gestion des habilitations
Une des mesures techniques et organisationnelles de sécurité que les organismes doivent mettre en place pour assurer la sécurité des données de leurs collaborateurs, est la gestion des habilitations.
Ce process a pour objectif de limiter les accès aux seules données dont les services ont besoin dans l’exercice de leurs missions, et ainsi protéger les collaborateurs des accès illégitimes à leur données. Autrement dit, seuls les services ayant une légitimité fonctionnelle à accéder aux données des collaborateurs doivent être habilités en ce sens.
Ainsi, chaque service doit définir et documenter des profils d’habilitations en fonction des activités de chacun, en identifiant par exemple, les applications qui sont nécessaires à chaque collaborateur pour réaliser ses missions. A titre d’exemple, le Service Marketing ne doit pas pouvoir accéder à l’ensemble des données et fonctionnalité des applications nécessaires à l’établissement de la paie, mais uniquement aux fonctionnalités lui permettant de déclarer son activité mensuelle.
La taille de l’organisme est à prendre en compte, puisqu’une PME ne va pas nécessairement avoir la même organisation interne qu’une grande entreprise. Si dans le premier cas, la structure de la société justifie qu’un seul et même service puisse avoir accès aux données de l’ensemble des collaborateurs, dès lors qu’elle a la charge du recrutement, de la paie, du dossier professionnel, etc. A contrario, dans le second cas, la Direction des Ressources Humaines va être découpée en plusieurs services (gestion de la paie, gestion du recrutement, action sociale, etc.), il est important que plusieurs profils d’habilitation soient définis par service.
Une fois les profils d’habilitations définis par les différents services ayant accès aux données des collaborateurs, il est nécessaire de gérer ces habilitations au sein des organismes. De nouveaux collaborateurs vont arriver au sein de l’organisme, d’autres vont changer d’activité ou encore, vont quitter l’organisme. Dès lors, les habilitations dont ils disposaient ne vont plus être les mêmes voire, nécessaires pour réaliser leurs missions. C’est pourquoi, une autre mesure technique et organisationnelles de sécurité doit être mise en place, à savoir la gestion des entrées et des sorties.
Le choix de ses sous-traitants
Pour diverses raisons aujourd’hui beaucoup d’organismes font appel à des prestataires spécialisés pour externaliser une partie de la gestion des ressources humaines. Cela a pour conséquence, que les données des collaborateurs vont être en partie traitées par ces prestataires, ayant ainsi la qualité de sous-traitants au sens du Règlement.
Face à une multitude d’offres présentes sur le marché, il est indispensable que les organismes n’aient recours qu’à des prestataires présentant des garanties suffisantes quant au respect des exigences du Règlement.
Autrement dit, il appartient à l’organisme de faire une étude de marché pour identifier le prestataire offrant le plus de garanties. Tous les aspects visant à protéger les données des collaborateurs doivent être pris en compte, dans cette étude.
Par exemple :
Identifier les prestataires qui fournissent de la documentation sur les mesures techniques et organisationnelles de sécurité qu’ils mettent en place ;
Vérifier si le prestataire fait appel à des sous-traitants de second rang, et si oui, est-ce que cela implique des transferts de données en dehors de l’Union européenne ;
Privilégier les prestataires qui acceptent de négocier les obligations de chacune des parties dans les contrats, plutôt que les prestataires qui imposent leurs modèles de contrats.
Le choix du sous-traitant ayant accès aux données des collaborateurs doit nécessairement prendre en compte la protection des données personnelles de ces derniers.
La formation et sensibilisation des collaborateurs
La protection des données des collaborateurs au sein des organismes est l’affaire de tous. Une des causes principales des incidents de sécurité entrainant une violation de données est souvent d’origine humaine. Aussi, des actions de sensibilisation et de formation doivent être mises en place pour les collaborateurs, pour les informer sur les risques informatiques (phishing, spam, etc.) mais aussi pour les informer des mesures prises pour réduire les risques sur les données (l’usage des clés USB, diffusion des mots de passe, etc.).
Des actions de sensibilisation doivent être régulièrement mises en œuvre, notamment à travers des opérations mensuelles via l’envoi de courriels, ou d’un message visible sur la page d’accueil de l’intranet de l’organisme. L’objectif étant d’octroyer aux collaborateurs des mécanismes et/ou des bonnes pratiques pour réduire les risques sur les données.
Certaines personnes ou services sont amenés à traiter un plus grand volume de données ou des données plus sensibles, notamment celles des collaborateurs. Pour ces personnes, il va être nécessaire de leur proposer des formations plus adaptées à leur activité, sur les risques liés aux libertés, à la vie privée et sur la sécurité informatique.
Enfin, la rédaction d’une charte informatique à valeur contraignante pour les collaborateurs est indispensable pour assurer la protection des données des collaborateurs. Ce document va contenir l’ensemble de obligations qui s’imposent à chaque collaborateur lorsqu’ils accèdent aux ressources informatiques et donc aux données personnelles. Par exemple, ce document va définir les modalités d’utilisation de la messagerie électronique, ou encore interdire l’utilisation d’applications non fournies par le service informatique. L’application de ces règles va directement avoir pour conséquence de protéger les données personnelles des collaborateurs.
En conclusion, la protection des données des collaborateurs nécessite la mise en place de mesures techniques et organisationnelles de sécurité au sein de chaque organisme. Le choix de ces mesures va dépendre des risques pour les droits et libertés des collaborateurs, lesquels doivent les apprécier en réalisant une analyse de risque dès la phase de conception des traitements de données personnelles.
Par ailleurs, un organisme composé de seulement quelques collaborateurs ne va pas disposer des mêmes moyens humains, structurels ou financiers pour assurer la protection des données de ses collaborateurs qu’une grande entreprise. Néanmoins, la sécurité de données des collaborateurs ne doit pas pour autant être négligée.
Si vous souhaitez en savoir plus sur le sujet nous vous invitons à consulter notre article sur les limites de l'enregistrement des conversation téléphoniques des salariés.