Kelio et le RGPD
Accélérez votre mise en conformité RGPD avec le logiciel Kelio !
La mise en place d’un logiciel de gestion des ressources humaines et de contrôle d’accès requiert l’utilisation et le traitement de données à caractère personnel. Les organisations de l’Union Européenne doivent ainsi se conformer aux exigences du RGPD – le Règlement Général pour la Protection des Données Personnelles.
La règlementation du RGPD pour les logiciels RH et de contrôle d’accès
Toute organisation traitant des données personnelles de ses collaborateurs en Union Européenne est soumise au respect du RGPD, lequel exige :
- la sécurisation des données personnelles recueillies
- le respect de droits, relatifs aux données personnelles
- la mise en place d’une démarche de gestion responsable de ces données (incluant une procédure d’alerte en cas de violation de données)
- la nomination d’un interlocuteur
Le logiciel Kelio et la mise en conformité au RGPD
La mise en place d’un logiciel RH ou de contrôle d’accès ne garantit pas la conformité au RGPD mais constitue une aide à la mise en œuvre d’une bonne gestion des données personnelles, en permettant de :
- repenser et encadrer le traitement des données personnelles
- centraliser leur hébergement et mieux protéger ces données (système sécurisé, droits d’accès…)
- répondre plus rapidement et facilement aux demandes d’exercice de droits.
Les solutions logicielles de gestion de temps, de gestion RH et de contrôle d’accès Kelio ont été conçues pour aider les organisations à se conformer au RGPD, en encadrant le traitement et la protection des données personnelles des salariés.
"Privacy by design" dans Kelio
Article 25.1 : Le Privacy by Design consiste à tenir compte, dès la création ou la modification d’un traitement, des droits et obligations concernant les données à caractère personnel, en prenant des mesures proactives pour prévenir d’éventuels incidents liés à l’atteinte de la vie privée.
Restriction des champs de données à saisie obligatoire aux seuls champs indispensables au traitement du contrat du collaborateur. Pour respecter le Droit consentement / Opt-In et éviter la saisie de données facultatives sans le consentement des personnes, le paramétrage des profils des utilisateurs de Kelio permet d’interdire la saisie de données facultatives.
Gestion précise des droits d’utilisateur, permettant l’affectation de droits hyper-personnalisés et la communication des données nécessaires aux seules personnes autorisées (affectation de droit par profil, par individu, par motif, par champ de données, etc.). Par défaut, le logiciel propose des droits d’accès restreints. Kelio permet par exemple de donner à chaque salarié des droits d’accès en lecture seule ou en modification à son dossier individuel.
"Privacy by default" dans Kelio
Article 25.2 : Toutes données personnelles, peu importe leur format (papier, numérique), qu’elles soient sensibles ou non, doivent-être sécurisées. Une organisation doit veiller à en protéger l’accès (contrôle d’accès par badge, armoires fermées à clé) mais aussi préserver le papier de la dégradation (protection contre le feu, l’eau, etc.).
Données hautement sécurisées dans le logiciel Kelio : que ce soit en mode licence (chiffrement des données, audits de sécurité réguliers, authentification nécessaire…) ou en mode SaaS (hébergements hautement sécurisés certifiés ISAE3402 et ISO27001, firewalls hautement sécurisés, redondance de sauvegarde…).
Sécurisation physique de vos bâtiments grâce au contrôle d’accès Kelio, favorisant la protection des données personnelles : désactivation d’un badge d’accès perdu, droits d’accès autorisés en fonction du planning de présence des collaborateurs, suivi des événements d’accès en cas d’incident, etc.
Exercice des droits relatifs aux données à caractère personnel
Article 12 : Les personnes physiques ayant communiqué leurs données (salariés, clients) ont des droits sur leurs données. Elles peuvent consulter, rectifier, demander l’oubli de leurs données, etc… L’organisation doit s’assurer de pouvoir respecter ces droits à tout moment et pour tous ces traitements et ce dans un délai d’un mois maximum.
Droit à la consultation (Article 15) / rectification (Article 16) : avec Kelio, vous pouvez donner aux salariés des droits leur permettant la libre consultation de leurs données personnelles et/ou le droit de modifier leur fiche salarié en toute autonomie.
Droit à l’oubli (Article 17) : la suppression de données et de leurs traces techniques est réalisable dans le logiciel Kelio. Elle peut être effectuée par un administrateur Kelio, à la demande d’une personne justifiant son identité. En RH, ce droit est toutefois borné par les obligations légales de conservation et de suppression des documents. Kelio intègre des purges automatiques paramétrables, pour déclencher la suppression de données, une fois leur durée de conservation dépassée.
Portabilité des données (Article 20) : des reportings et exports de données sous des formats standards (PDF, Excel, CSV) sont proposés dans Kelio, permettant la restitution des données à la main des administrateurs du logiciel.
Aide à la réalisation de la documentation minimale
Le RGPD introduit la notion de responsabilisation de l’organisation (Accountability). Elle est tenue d’être proactive sur la protection des données et de le prouver au moyen d’une documentation minimale obligatoire.
Mise à disposition d’un modèle pré-rempli de registre de traitement des données de Kelio, facilitant la réalisation de la documentation minimale exigée par le RGPD (Article 30).
La démarche de Kelio au regard du RGPD
Les entreprises et organisations (dites « Responsable de Traitement ») demeurent pleinement responsables de la gestion et de la protection des données à caractère personnel, que les traitements soient internalisés ou sous-traités auprès de tiers.
Kelio est « Sous-Traitant » de ses clients dans le cadre de ses prestations d’hébergement en mode SaaS, d’intégration logicielle et de support/maintenance. Au-delà des mesures de sécurité préexistantes (sécurité logicielle, surveillance des locaux, sauvegardes, audit sécurité réguliers, etc.) Kelio a mis en œuvre des mesures supplémentaires visant à renforcer auprès d’eux le respect des exigences exprimées par le RGPD :
- Nomination d’un Data Protection Officer (DPO), Article 37, et d’un comité de pilotage de la protection des données. Notre DPO est l’interlocuteur spécialisé dans la protection des données à caractère personnel, il est chargé de veiller à la préservation de la vie privée et à la bonne application des règles du RGPD. Il met en place et contrôle la Politique de Gestion des données à caractère personnel au sein de l’entreprise. Pour toute information :
- Sensibilisation de son personnel de conception, de ses consultants/techniciens et de ses conseillers support aux exigences de confidentialité et de bonne gestion des données à caractère personnel
- Engagements contractuels auprès de ses clients « Responsables de Traitement » Article 28: (engagement de notification,…).
Points d’attention spécifiques à l’adresse des professionnels traitant les données RH des collaborateurs
Au-delà de la gestion des données dans Kelio, d’autres mesures techniques et organisationnelles ne doivent pas être négligées :
- La sensibilisation : vos collaborateurs amenés à travailler régulièrement sur les logiciels RH ou de contrôle d’accès et traitant des données personnelles, doivent être sensibilisés aux exigences du RGPD et connaître les dispositifs de sécurité des données personnelles mis en place. Et ce d’autant que certaines données personnelles des salariés peuvent être sensibles comme celles relatives au contrôle par biométrie (empreintes digitales), à l’appartenance syndicale ou encore les données médicales (Article 9).
- Le « Lock out » : une organisation ne peut pas conserver des données inutiles et doit donc effacer les droits d’un salarié qui quitte l’entreprise afin qu’il ne conserve plus ses anciens accès. C’est aussi le cas pour un salarié qui change de service ou de poste : il s’agit de supprimer ses anciens droits et de lui en créer de nouveaux correspondant à son poste.
- Les purges automatiques : chaque type de données et de document possède une date limite de conservation. L’organisation doit veiller à la mise en place de purges automatiques à la fin de chaque durée de conservation des différentes informations. Cela permet de réduire le risque de violation.
- La nomination d’un DPO : elle est conseillée dans tous les cas mais n’est obligatoire que dans certains cas détaillés dans l’article 37 notamment pour les organismes publics, pour les organisations gérant des données sensibles ou pour celles dont l’activité de base les conduisent à effectuer un suivi régulier et systématique de personnes à grande échelle (ex : hôpitaux...).
- La notification en cas de violation de données : en cas de violation de données (fuite, altération, destruction involontaire ou perte de données), l’organisation doit en évaluer l’importance et l’impact avant de notifier cette violation, le cas échéant, à son autorité de contrôle.