Vous souhaitez mettre en place un coffre-fort numérique pour vos salariés ? Vous avez bien raison. Soyez attentif dans le choix du fournisseur de la solution de dématérialisation.
Comme vous le savez sans doute, la collecte de documents et données personnels est très réglementée en Europe. Mais, à l’ère du digital, les frontières ont tendance à disparaître, avec des conséquences significatives sur la protection des données personnelles.
En matière de protection des données personnelles, il est donc encore plus important de se renseigner sur le fournisseur choisi, son origine, le droit auquel il est soumis, l’endroit où se trouvent les serveurs d’hébergement, …
1. Rappel : A quoi sert un coffre-fort numérique ?
Un coffre-fort numérique (aussi appelé coffre-fort électronique) est une solution permettant d’archiver et de consulter les documents administratifs (bulletins de paie, attestations de mutuelle, certificats de formation, etc.) des salariés.
Les coffres-forts numériques ne servent pas uniquement d’espace de stockage : ils visent avant tout à protéger la documentation. Ils assurent donc la confidentialité, la traçabilité et l’intégrité des documents et des données qu’ils contiennent.
Ces données sont strictement personnelles. Elles appartiennent à vos collaborateurs : montant de salaire, bonus mensuel ou annuel, matricule salarié, nombre de congés pris …
Grâce au coffre-fort numérique, les salariés ont ainsi accès, en quelques clics, à l’ensemble de leurs documents RH, à tout moment et de n’importe où (y compris en dehors de l’entreprise, en période de congés…).
Pour bénéficier pleinement des atouts du coffre-fort numérique, il faut vous assurer d’en choisir un qui garantisse la sécurité des données personnelles qu’il contiendra.
2. Droit européen en matière de propriété des données personnelles
LE RGPD :
Dans les pays européens, le droit à la propriété des données personnelles est encadré par le RGPD (Règlement Général sur la Protection des Données). Le principal intérêt de ce règlement est d’augmenter le niveau de protection des données tout en harmonisant le droit applicable dans les pays de l’UE.
L’utilisateur doit donner son consentement et il doit être informé du traitement qui sera fait de ses données : collecte, utilisation, portabilité, etc. Il conserve les droits d’accès aux données qui lui sont relatives, ainsi qu’un droit à l’oubli.
Pour être conformes au cadre juridique européen, les droits des propriétaires des données doivent être assurés grâce à un système d’opt-out.
Ce système de recueil des refus se fait le plus souvent (lorsqu’il est question de numérique) par l’action de cocher une case sur un formulaire.
- L’opt-out, c’est lorsque le destinataire de la communication doit cocher pour refuser de recevoir des communications commerciales.
- L’opt-in, c’est l’inverse; c’est obtenir l’accord explicite du destinataire. L’internaute doit cocher la case pour signaler son accord à recevoir des communications.
Ainsi, si une entreprise européenne chargée de la collecte de données décide soudain d’en faire un usage différent de celui initialement prévu, il lui faut l’accord des propriétaires des données et donc refaire une campagne de communication pour collecter les accords.
Le règlement européen oblige également à notifier toute violation de données (notamment dans le cas d’une cyberattaque) : la CNIL doit être informée dans les 72 heures, de même que les personnes physiques auxquelles appartiennent les données.
Une plateforme spécifique a été ouverte et mise à disposition de tout organisme victime de violation de données.
Le droit Français :
Outre le RGPD, les entreprises françaises proposant des coffres-forts numériques doivent suivre des règles très strictes en matière de protection des données.
- Ils doivent – en premier lieu – respecter la norme NF Z42-020 qui garantit la fourniture des fonctions d’un composant de Coffre-Fort Numérique (CCFN) comme l’intégrité des données
- Ils doivent également s’assurer d’être conformes aux exigences du décret n° 2018-418 qui précise les modalités de mise en œuvre des Services de Coffres-Forts Numériques (SFCN) en France.
- Par ailleurs, afin de prouver la sécurité de leurs solutions, votre fournisseur de coffres-forts numériques français doit avoir obtenu la conformité ISO 27 001.
3. Zoom sur le droit international américain :
Aux États-Unis, la sécurisation des données personnelles est moins contrôlée qu’en Europe, et pourtant nous sommes nombreux à utiliser des services hébergeant nos données aux USA.
En janvier 2017, le Président Trump a signé un décret pour renforcer la sécurité intérieure du pays, excluant les non-Américains de tout programme américain de protection de la vie privée.
Qu’advient-il alors des données européennes détenues par des entreprises américaines ?
À ce jour, ces données restent protégées par le « Privacy Shield » de 2016.
Ce « Bouclier de Protection des Données » a été signé par la Commission européenne avec les Etats-Unis et autorise les sociétés européennes à transférer des données à caractère personnel auprès d’une entreprise américaine – sous réserve que cette dernière dispose
-
d’une certification active (renouvelable annuellement)
-
que la certification couvre les données en question (plus particulièrement : les données RH, les données non-RH respectivement).
Mais au delà du Privacy Shield qui a montré ses faiblesses dans l’affaire de Cambridge Analytica et Facebook, c’est le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui inquiète nombreuses entreprises et particuliers.
Destiné à clarifier les règles encadrant les réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, le texte « étend les compétences des services répressifs américains et étrangers en leur permettant de cibler et d’accéder aux données des personnes au-delà des frontières internationales sans recourir aux instruments d’entraide judiciaire (MLAT) ».
Vous l’aurez compris, lorsqu’il est question de mettre à disposition de vos collaborateurs une solution utilisant leurs données personnelles, il est essentiel de faire le choix de la sécurité de leurs données et du respect de leur vie privée avant tout.
Le coffre-fort numérique Digiposte respecte les dernières normes européennes et françaises en matière de confidentialité et de sécurité des données : RGPD, mais aussi Afnor NF Z 42-020 et ISO 27 001. Avec ce coffre-fort, vous vous assurez de mettre à l’abri les documents numériques de vos salariés.
Découvrez-le immédiatement en cliquant ici.
