FAQ RGPD

Cette FAQ RGPD a pour but de

Vous donner des informations générales sur la manière dont SECUREX se prépare au RGPD.

Répondre aux questions les plus fréquentes que vous vous posez sur le RGPD comme client SECUREX.

Q: Qu’est-ce que le RGPD?

A : « RGPD » est l’acronyme de Règlement Général sur la Protection des Données (ou GDPR pour General Data Protection Regulation en anglais). Le RGPD est la nouvelle réglementation en vigueur en matière de protection des données et remplace les anciens textes sur le sujet (la Directive 95/46/CE et la loi vie privée du 8 décembre 1992). Le RGPD entrera en vigueur le 25 mai 2018. Quoique les grands principes du RGPD soient les mêmes que ceux des législations antérieures, il présente aussi certaines nouveautés (en matière de droits accordés aux personnes dont les données sont traitées et d’obligation des sous-traitants, par exemple).

Q: Que fait SECUREX pour se préparer au RGPD ?

A : SECUREX a mis en place un plan d’action pour assurer son respect des règles du RGPD dans tous les aspects de ses activités et processus. La réalisation de ce plan est en cours. Un visuel reprenant les grands axes de ce plan d’action (workstreams) est disponible ici.

Q: Quels sont les grands axes du plan d’action RGPD de SECUREX ?

A : Le plan d’action RGPD de SECUREX reprend les 5 grands axes (workstreams) suivants :

Workstream 1 - Governance (Gouvernance): la revue et l’adaptation des politiques internes, procédures et processus et, le cas échéant, l’établissement de nouvelles procédures, politiques ou processus.

Workstream 2 - Registers (Registres): la revue de tous les traitements de données (data flows) et l’établissement des registres des données pour chaque activité/entité du groupe SECUREX.

Workstream 3 – Customers (Clients) : la revue de toutes les clauses contractuelles avec les clients des différentes entités du groupe SECUREX.

Workstream 4 – Vendors & Partners (Fournisseurs et Partenaires): la revue des clauses contractuelles avec les fournisseurs, sous-traitants et partenaires de SECUREX.

Workstream 5 – Training & Awareness (Formations des équipes Securex) : la formation et l’information du personnel de SECUREX à la problématique de la protection des données.

Q: Est-ce que SECUREX est « GDPR-compliant » ?

A : Aucune entreprise ne peut prétendre à l’heure actuelle être « GDPR-compliant » car un certain nombre de textes (aux niveaux européens) sont encore nécessaires pour comprendre le détail de certaines des obligations découlant du RGPD. SECUREX suit de très près les documents publiés récemment ou attendus d’ici mai 2018 pour préciser ces obligations et a mis en place un plan d’action pour assurer son respect du RGPD dans tous les aspects de ses activités et processus. La réalisation de ce plan est en cours.

Q: SECUREX dispose-t-elle d’une certification RGPD ?

A : Quoique les autorités européennes souhaitent à terme voir se développer des systèmes de certification RGPD, ceux-ci n’existent pas encore. SECUREX suivra avec attention le développement des plans de certification futurs et évaluera, le moment venu, l’opportunité d’y adhérer.

Q: SECUREX dispose-t-il d’un « Data Protection Officer »?

A : Oui. Une des nouveautés du RGPD est d’imposer dans certains cas aux entreprises de nommer un « Data Protection Officer » (DPO) comme, par exemple, quand les activités de base de l’entreprise en question consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Ceci est le cas pour SECUREX qui, dans ses différentes activités, traite un grand nombres de données personnelles de travailleurs, indépendants ou chefs d’entreprises.

Q: Est-ce que SECUREX est « responsable de traitement » ou « sous-traitant »?

A : C’est une question à laquelle il faut répondre activité par activité. Dans un grand nombre d’activités, SECUREX est sous-traitant (par ex : l’activité d’administration des salaires dans les différentes entités secrétariat social) car elle traite des données personnelles d’employés sur base d’instructions des employeurs qui sont, eux, les responsables de traitement. Pour d’autres activités, SECUREX est responsable de traitement car elle détermine elle-même les finalités du traitement des données et les modalités de celui-ci (par ex. : enquêtes) ou la loi lui donne cette qualité (ex : contrôle médical).

Q: En tant qu’employeur, suis-je le responsable du traitement de mes données RH ?

A : De manière générale pour ce qui concerne les activités de secrétariat social, l’employeur (vous) êtes le responsable du traitement (puisque vous donner les instructions nécessaires à l’établissement et l’envoi de la fiche de paie) et SECUREX secrétariat social est le sous-traitant (puisque SECUREX agit sur vos instructions).

De manière similaire, en ce qui concerne les prestations de médecine de contrôle (SMS*), SECUREX est le responsable du traitement des données relatives à la santé des travailleurs concernés (en raison de l’indépendance du médecin par rapport à l’employeur).

Q: Qu’est-ce qu’une violation de données ?

A : Une violation de données (ou data breach en anglais) est tout cas où une violation de la sécurité entraîne de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d'une autre manière. Sont donc par exemple des violations de données au sens du RGPD : l’intrusion sur un serveur avec consultation des données personnelles qui s’y trouvent, la destruction accidentelle (en dehors de toutes les procédures de sécurité informatique prévues pour le faire) d’un disque dur sur lequel se trouve des données personnelles, la divulgation non autorisée de données personnelles d’employés de nos clients obtenues sur l’infrastructure du Groupe SECUREX.

Q: Que se passe-t-il en cas de violation de données ?

A : Dans le cas où SECUREX est sous-traitant (pour le secrétariat social, par exemple), elle vous avertira par le biais d’un formulaire spécifique dans les meilleurs délais. Ce formulaire reprendra toutes les informations nécessaires pour vous permettre de remplir vos obligations de notification à la Commission Nationale de l’Informatique et des Libertés (CNIL).

Les responsables du traitement (vous pour le secrétariat social, SECUREX même pour d’autres missions, cf. ci-dessus) doit dans certaines conditions notifier la CNIL de la survenance d’une violation de données.

SECUREX mettra en place pour mai 2018 une procédure et des formulaires adéquats pour vous communiquer dans les délais nécessaires les informations à reprendre dans la notification que vous devriez faire à la CNIL (ou pour remplir sa propre obligation de notification à la CNIL le cas échéant).

Q: Quelles sont les mesures de sécurité appliquées par SECUREX pour protéger les données personnelles traitées ?

A : SECUREX a mis en place des mesures organisationnelles (nomination d’un DPO, d’un CISO…) et procédurales (procédures, polices, manuel de sécurité) pour assurer la sécurité informatique et physique des données personnelles qu’elle traite. De plus, certaines de ses activités font l’objet de certifications

Q: Quelles sont mes obligations en tant qu’employeur dans le cadre du RGPD ?

En ce qui concerne vos obligations en en tant qu’employeur, veuillez trouver ci-après un lien vers la Commission Nationale de l’Informatique et des Libertés (CNIL) pour en savoir plus : https://www.cnil.fr/fr/la-cnil-en-france

Si vous souhaitez un avis concret et/ou connaître l’impact du RGPD sur vos politiques RH, vous pouvez obtenir un avis payant et/ou demander un screening RGPD de toutes vos politiques RH (payant) à notre service juridique..

Q: Où sont localisées les données de mes employés que SECUREX traite ?

A : Les serveurs de SECUREX (sur lesquels sont localisées, par exemple, les données de vos employés pour les prestations de secrétariat social) sont situés en Belgique.

Pour certains services spécifiques, des sous-traitants peuvent avoir accès à certaines données personnelles, et ce de manière limitée. Dans ce cas, la politique de SECUREX est d’exiger que ces données soient traitées dans l’Union Européenne par ces sous-traitants ou dans des conditions de protection adéquate (par ex : par une entreprise US certifiée « EU-US Privacy Shield » ou avec laquelle des « EU Model Clauses » ont été signées).

Un exercice de vérification du respect de ce principe par tous les sous-traitants concernés est en cours dans le cadre du plan d’action RGPD.