Votre politique générale de traitement des données personnelles

Recette RGPD Etape 6 : Enfournez votre plat

La cuisson de votre plat est lancée, c’est l’occasion de se poser pour rédiger une recette que vous pourrez conserver et transmettre à vos aides-cuisiniers. En matière de politique générale de traitement des données personnelles, le RGPD énonce plusieurs grands principes.

Quels sont les grands principes à retenir ?

Le principe de minimisation :

 

Vous ne devez collecter que ce qui est strictement nécessaire. Ne demandez pas le beurre et l’argent du beurre. Il est logique d’avoir les données nécessaires concernant son client pour assurer une qualité de prestation. Mais attention aux informations annexes qui ne sont pas strictement indispensables dans le cadre de la mission. Le principe est très simple d’application, notamment si vous faites un audit de votre existant : pouvez-vous justifier de la finalité des informations que vous avez demandées ? La réponse est non ? Il est temps de supprimer ces données.

Le principe de limitation de l’accès aux données :

C’est un sujet trop rarement adressé dans sa globalité. Si un gérant d’entreprise a le réflexe de limiter l’accès aux données de paie et aux données financières de son entreprise, il est rare qu’une politique interne globale de droits d’accès aux données soit mise en place. Le RGPD vous y contraint. Une chargée de planning a-t-elle besoin d’avoir accès aux coordonnées bancaires des clients ? Non. Cet accès est-il bien limité dans le logiciel métier ? Pas sûr. Ximi, via sa fonctionnalité de gestion des permissions vous permet de vous mettre en conformité.

Votre structure a beaucoup de licences d’accès à Ximi ? Nous proposons la mise en place de profils types. Au prochain recrutement, pas besoin de vous poser de question. Il suffira de sélectionner le profil de permissions adéquat et tout sera en place et homogène.

 

Le principe de protection par défaut :

Bonne nouvelle ! vous n’êtes pas seul. Ximi, en tant qu’éditeur, y est également soumis. Nous ne développons plus de fonctionnalité sans nous interroger au préalable sur sa conformité au RGPD. S’il nous venait à l’idée de mettre dans Ximi un champ portant sur une donnée sensible, nous nous interrogerions sur son emplacement dans Ximi pour que son accès puisse être restreint.
De votre côté, vous décidez d’acheter une armoire pour vos bureaux ? Le RGPD vous oblige à vous poser la question si cette armoire doit fermer à clé en fonction de ce qu’elle contiendra. Si ce sont des dossiers de salariés, la serrure est incontournable.

La durée de conservation des données :

Elle doit être surveillée comme le lait sur le feu. La loi ne précise aucune durée en tant que telle mais pose un principe général. La durée de conservation que vous définissez doit pouvoir être justifiée au regard de la durée du traitement et de sa finalité. Si l’un de vos salariés ne fait plus partie de vos effectifs, vous allez évidemment conserver les données de paie le concernant pour toute la durée sur laquelle un contrôle URSSAF pourrait porter. La CNIL a édité une matrice des durées de conservation en fonction des données concernées.

 

Une fois votre politique de durée de conservation définie, encore faut-il la mettre en œuvre. Ximi vous aide en cela avec une fonctionnalité d’anonymisation des données personnelles.

 

La charte informatique :

Si vous n’en avez pas déjà, la mise en conformité au RGPD est l’occasion de la mettre en place. Vous définirez ainsi les bonnes pratiques attendues en interne. Si le projet de mise en conformité au RGPD doit être porté par un chef de file, il ne peut et doit agir seul. Le RGPD doit se vivre au quotidien et est l’affaire de tous. Une bonne pratique est d’organiser en interne une sensibilisation au sujet et une formation aux process de travail adéquats. Prévoyez une feuille de présence émargée que vous pourrez présenter en cas de contrôle de la CNIL.

La recette du RGPD

Vous souhaitez en savoir plus sur le RGPD ? Retrouvez la recette complète du RGPD sur notre page dédiée !

Chacune des étapes décrites ci-dessus s’accompagne d’un article explicatif.
N’en perdez plus une miette en consultant notre site régulièrement !

Inscription Webinars

A chaque étape jusqu’au 25 mai, nous proposons un webinar pour reprendre les points importants et voir des exemples concrets d’application à mettre en pratique dans votre structure de services à la personne.

Astuces du chef !

Attention : toutes nos communications et notre accompagnement ont vocation à vous aider mais ils ne sauraient se substituer aux conseils d’un professionnel sur le sujet. Nous ne garantissons pas que ce que nous communiquons est exhaustif. Suivre nos conseils ne saurait garantir une conformité au RGPD qui relève in fine du responsable du traitement.