Le devenir des données privées dans les SI et SIRH

Publié par Olivier Piochaud le

Un collaborateur quitte l’entreprise, à terme celle-ci doit donc, conformément au RGPD effacer les données privées le concernant, soit au terme des durées de conservation auxquelles elle s’engage soit à la simple demande de l’ex employé.

Tout cela est encadré par le RGPD, et l’entreprise doit s’y conformer, mais est-ce vraiment le seul élément en jeu, et pourquoi constate-t-on un embarras certain des DSI et des DRH sur ce sujet ?

 

L’effacement des données personnelles

Le RGPD fixe la durée maximale de conservation des données inactives à « la durée nécessaire à la réalisation de l’objectif » ce qui est tout sauf explicite.

En pratique, la conservation au-delà de certaines durées pourra apparaitre comme illégitime mais cela reste à vous d’en fixer la valeur.

Ces durées sont variables selon les types de traitement et rien ne vous empêche de faire plus court que les valeurs mais attention, selon où vous appliquez la règle, elle peut avoir un impact sur d’autres obligations

Penchons-nous sur trois localisations probables des données personnelles des collaborateurs :

    • Le SIRH.
    • Le SI.
    • Les journaux de données et de sécurité.

 

Cet article pourrait vous intéresser :
SIRH et SI : un État dans l’État

 

Les données personnelles du SIRH

Commençons par un constat : j’ai accès au quotidien à des SIRH pour exploiter les données qui y sont présentes, en général sans vraie restriction, c’est donc à moi de filtrer tant la nature que la validité des données et il m’arrive d’y trouver des données de personnels partis depuis plusieurs dizaines d’années.

D’un point de vue du droit du travail, la société doit conserver des données pendant au moins trois ans pour se protéger d’un recours du salarié ou des demandes de l’URSSAF. C’est un strict minimum que l’on appelle la « prescription sociale », au-delà il reste prudent de conserver les données pendant 10 ans ne serait que sur le « registre unique du personnel » qui contient des données personnelles, et comme son nom l’indique suit l’entreprise sa vie entière.

 

Cet article pourrait vous intéresser :
Construire son annuaire d’entreprise

 

Les données personnelles du SI

Si l’on écoute un RSSI, les utilisateurs doivent disparaitre dès leur départ du SI, voire même avant dans certains cas. C’est un problème de sécurité élémentaire.

En pratique, cela se concrétise par une désactivation ou une suppression du compte et des données dans le système central d’authentification.

Eventuellement ce changement peut se répliquer de façon immédiate dans les applications qui y sont connectées en adoptant un comportement similaire : désactivation ou suppression.

On est là bien au-delà des exigences du RGPD, dès lors que l’on procède à une suppression.

 

Les journaux de données

Le même RSSI qui vient de faire supprimer les données des collaborateurs partis va devoir se raviser dès lors qu’il se souviendra tant de ses obligations légales en matière de conservation des journaux d’accès que de l’aspect « sécurité « de son métier.

La suppression devra alors être repoussée d’au moins six mois voire de plusieurs années selon la nature des données concernées.

 

Mais au fait, suppression ou anonymisation ?

La CNIL parle de suppression mais soit c’est par souci de simplification, soit ses experts ont séché le cours de base de données.

Une base de données ne vous garantira jamais que des données sont supprimées et cela pour deux raisons :

  • Effacer des données ne vaut pas écrasement ou destruction, il faut imaginer réécrire des données en lieu et place pour être sûr de faire disparaitre les données précédentes, c’est dans la nature physique d’un fichier informatique que de libérer des espaces sans en effacer le contenu en cas de suppression.
  • L’effacement dans une base de données est en pratique impossible dès lors que les données ont fait l’objet de références, ou même de copies internes.

Dans un cas comme dans l’autre, seule l’anonymisation permet de se débarrasser définitivement des données sources et encore en s’assurant que celle-ci est appliquée à toutes les occurrences des copies de la donnée personnelle.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

Newsletter

Categories: RGPD

Publications similaires

Pseudonymisation
RGPD

La pseudonymisation

La pseudonymisation : la loi « Informatique et Libertés » impose au responsable de traitement de prendre toutes les précautions pour garantir la protection des données placées sous sa responsabilité, en mettant un point d’honneur Lire la suite…

big data
Développement & Web

Focus : c’est quoi le Big Data ?

Si vous entendez les termes “capture, recherche, partage, stockage, analyse et présentation des données”… À quoi cela vous ramène-t-il ? C’est ainsi que se résume un phénomène, apparu en 1997 ; ce concept a été nommé Lire la suite…

EIPV étude d'impact sur la vie privée
RGPD

RGPD : qu’est-ce que le PIA ou EIVP ?

Il est une notion dont on entend beaucoup parler avec RGPD, une notion qui reste floue et qui fait peur, c’est le PIA (Privacy Impact Assessment), en français l’EIVP (Etude d’Impact sur la Vie Privée). Lire la suite…