Un collaborateur quitte l’entreprise, à terme celle-ci doit donc, conformément au RGPD effacer les données privées le concernant, soit au terme des durées de conservation auxquelles elle s’engage soit à la simple demande de l’ex employé.

Tout cela est encadré par le RGPD, et l’entreprise doit s’y conformer, mais est-ce vraiment le seul élément en jeu, et pourquoi constate-t-on un embarras certain des DSI et des DRH sur ce sujet ?

 

L’effacement des données personnelles

Le RGPD fixe la durée maximale de conservation des données inactives à « la durée nécessaire à la réalisation de l’objectif » ce qui est tout sauf explicite.

En pratique, la conservation au-delà de certaines durées pourra apparaitre comme illégitime mais cela reste à vous d’en fixer la valeur.

Ces durées sont variables selon les types de traitement et rien ne vous empêche de faire plus court que les valeurs mais attention, selon où vous appliquez la règle, elle peut avoir un impact sur d’autres obligations

Penchons-nous sur trois localisations probables des données personnelles des collaborateurs :

    • Le SIRH.
    • Le SI.
    • Les journaux de données et de sécurité.

 

Cet article pourrait vous intéresser :
SIRH et SI : un État dans l’État

 

Les données personnelles du SIRH

Commençons par un constat : j’ai accès au quotidien à des SIRH pour exploiter les données qui y sont présentes, en général sans vraie restriction, c’est donc à moi de filtrer tant la nature que la validité des données et il m’arrive d’y trouver des données de personnels partis depuis plusieurs dizaines d’années.

D’un point de vue du droit du travail, la société doit conserver des données pendant au moins trois ans pour se protéger d’un recours du salarié ou des demandes de l’URSSAF. C’est un strict minimum que l’on appelle la « prescription sociale », au-delà il reste prudent de conserver les données pendant 10 ans ne serait que sur le « registre unique du personnel » qui contient des données personnelles, et comme son nom l’indique suit l’entreprise sa vie entière.

 

Cet article pourrait vous intéresser :
Construire son annuaire d’entreprise

 

Ydentity

Les données personnelles du SI

Si l’on écoute un RSSI, les utilisateurs doivent disparaitre dès leur départ du SI, voire même avant dans certains cas. C’est un problème de sécurité élémentaire.

En pratique, cela se concrétise par une désactivation ou une suppression du compte et des données dans le système central d’authentification.

Eventuellement ce changement peut se répliquer de façon immédiate dans les applications qui y sont connectées en adoptant un comportement similaire : désactivation ou suppression.

On est là bien au-delà des exigences du RGPD, dès lors que l’on procède à une suppression.

 

Les journaux de données

Le même RSSI qui vient de faire supprimer les données des collaborateurs partis va devoir se raviser dès lors qu’il se souviendra tant de ses obligations légales en matière de conservation des journaux d’accès que de l’aspect « sécurité « de son métier.

La suppression devra alors être repoussée d’au moins six mois voire de plusieurs années selon la nature des données concernées.

 

Mais au fait, suppression ou anonymisation ?

La CNIL parle de suppression mais soit c’est par souci de simplification, soit ses experts ont séché le cours de base de données.

Une base de données ne vous garantira jamais que des données sont supprimées et cela pour deux raisons :

  • Effacer des données ne vaut pas écrasement ou destruction, il faut imaginer réécrire des données en lieu et place pour être sûr de faire disparaitre les données précédentes, c’est dans la nature physique d’un fichier informatique que de libérer des espaces sans en effacer le contenu en cas de suppression.
  • L’effacement dans une base de données est en pratique impossible dès lors que les données ont fait l’objet de références, ou même de copies internes.

Dans un cas comme dans l’autre, seule l’anonymisation permet de se débarrasser définitivement des données sources et encore en s’assurant que celle-ci est appliquée à toutes les occurrences des copies de la donnée personnelle.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

Newsletter

Categories: RGPD