Le blog de la rémunération variable

Comment un cabinet de conseil en rémunération peut devenir RGPD compliant ?

Rédigé par Charles Binet | 11 févr. 2019

D’après un sondage réalisé fin octobre 2018 par la Direction de l’Information légale et administrative, deux tiers des Français se déclarent plus sensibles qu’auparavant à la protection des données. Cela s’explique notamment par une prise de conscience de phénomènes tels que le piratage, le vol de données et la multiplication des spams et sollicitations commerciales.

Le 25 mai dernier, le Règlement Général de la Protection des Données ou RGPD entrait en application en France et en Europe. Cette loi, véritable avancée en termes de protection des données personnelles des utilisateurs, implique un renforcement de la sécurisation du traitement des données utilisées et stockées par les entreprises.

Alors que l’on recensait seulement 5 000 correspondants informatiques et libertés au sein des entreprises françaises avant le RGPD, elles sont aujourd’hui plus de 32 000 à avoir désigné des délégués à la protection des données ou DPO (Data Protection Officer) ! Cette appropriation croissante du RGPD par les entreprises doit s’accompagner d’une sensibilisation sur les nouvelles obligations légales de transparence, de contrôle et surtout de sécurisation des données.

Vous souhaitez comprendre comment fonctionne un cabinet de conseil RGPD compliant ?

Découvrez dans cet article comment Primeum a fait de la sécurisation des données personnelles un pilier dans l’accompagnement de ses clients !

Un secteur d'activité particulièrement concerné par le RGPD

Le calcul de primes nécessite l’identification des bénéficiaires

Du fait de leur activité, les services RH sont directement concernés par le traitement de données personnelles : recrutement, gestion des salaires, etc... Pour un grand nombre d’entreprises, ces services se retrouvent en première ligne face à la problématique de gestion des données personnelles des salariés. Ainsi, chez Primeum, nous avons géré les différents aspects liés à l’application du RGPD pour l’ensemble de nos salariés et accompagnons naturellement nos clients sur ce sujet.

Primeum, par son activité de conseil en rémunération variable et d'éditeur de logiciels de rémunération variable, est particulièrement concerné par les aspects de protection des données personnelles, notamment par ceux liés au calcul de primes salariales. En effet, nous réalisons des calculs de primes qui nécessitent une identification préalable des bénéficiaires et donc une gestion particulière des données personnelles liées à cette identification.

Il est très rare que des données sensibles interviennent dans le calcul de primes

L’utilisation de données sensibles nécessite de définir un cadre très précis et ne peut se faire que dans un contexte hautement justifié. Chez Primeum, nous ne sommes pas dans ce cas de figure, nous n’avons pas le besoin d’utiliser de données dites "sensibles" au sens RGPD pour réaliser nos calculs de primes et, par conséquent, ne souhaitons pas les recueillir. Par ailleurs, il s’agit également d’un enjeu de sécurité pour nos clients. Nous faisons en sorte d’identifier avec le client quelles données sont nécessaires au calcul de primes (typologie des absences des salariés, etc...). Cette démarche traduit la volonté de Primeum de minimiser les risques pour les clients dans la gestion de leurs propres données.


LA SÉCURISATION DES DONNÉES EST DANS L’ADN DE PRIMEUM

Depuis toujours, Primeum est très attentif à la protection des données personnelles

Les données fournies par nos clients sont considérées comme strictement confidentielles. La mise en place du RGPD n’a pas bouleversé notre façon de travailler et a, au contraire, permis d’apporter un cadre formel à des pratiques déjà existantes en matière de gestion des données personnelles. Par exemple, nous avons ajouté des éléments précis permettant d’identifier les données personnelles à utiliser spécifiquement dans le cadre de calcul de primes dans nos documents de travail.

Ainsi, dans nos documents de calculs de primes, nous précisons quelle est la nature des données personnelles traitées ce qui nous permet d’identifier et de responsabiliser chaque acteur du calcul de primes.

Primeum considère que toutes les données sont confidentielles

Quand certaines entreprises mettent en place des échelons et des niveaux de « confidentialité » de données, chez Primeum, nous avons fait le choix de ne pas les catégoriser et de toutes les sécuriser de manière maximum sans faire de distinction. Toutes les données traitées sont considérées comme confidentielles et ne sont pas différenciées, ainsi, elles sont toutes protégées au même titre. Ce procédé permet de simplifier la gestion des données personnelles tout en garantissant un niveau de protection optimal.

Primeum ne communique jamais les données de ses clients à des tiers car son business model ne comprend pas l’exploitation des données de ses clients.

Primeum accorde une grande importance aux valeurs de rigueur et de qualité de ses équipes

Cela se traduit notamment par une certaine exigence dans le choix de nos collaborateurs qui doivent présenter certaines dispositions : rigueur des analyses, précision des calculs, qualité des services rendus, etc... Ces valeurs de qualité et de rigueur se retrouvent dans les missions réalisées quotidiennement auprès de nos clients et s’inscrivent naturellement dans une démarche pro-active d’amélioration de la qualité mais aussi de la sécurité. En outre, la sensibilisation à la donnée fait partie intégrante de notre processus d’onboarding de nouveaux collaborateurs : chaque fois qu’un employé est intégré, il est formé spécifiquement sur cette question et il s'engage contractuellement à respecter la confidentialité des données clients.

Primeum s'est toujours assuré de la maturité de l'ensemble de ses prestataires

Nous vendons nos applications à nos clients et parfois sommes obligés de faire appel à des prestataires extérieurs comme Microsoft Azure pour notre infrastructure réseau. Dans ce cas précis, nous nous assurons qu’ils présentent une maturité suffisante au niveau du RGPD afin de pouvoir collaborer en toute sécurité. Les données de nos clients sont stockées soit dans nos locaux, soit sur des stockages cryptés utilisant Microsoft Azure, avec leur accord.

Primeum se donne les moyens de ses ambitions

Un sujet porté par la direction de l'entreprise

Apporter le plus de sécurité possible à la gestion des données est constitutif de notre façon de travailler. Dirigée en interne par Yvon Prevot, un associé devenu aujourd’hui Délégué pour la Protection des Données, la mise en place du RGPD a été réalisée en tenant compte des enjeux de sécurisation des données.

Les données sont protégées contre les accès non-autorisés grâce à un système de cryptage systématique et de restriction d’accès aux nouveaux outils informatiques, notamment les logiciels, qui sont alors paramétrés en ce sens.

Des audits et contrôles fréquents

Pour s’assurer de la sécurité des données, nous faisons appel depuis maintenant 5 ans à un cabinet externe spécialisé en cybersécurité. Ce cabinet nous permet de maintenir notre réseau et nos applications aux meilleures pratiques actuelles en termes de sécurité informatique et offre à nos clients un gage de sécurité supplémentaire.

Un responsable réseau et infrastructure dédié

Par ailleurs, nous avons au sein de nos effectifs, un spécialiste infrastructure et réseau, qui s’occupe à plein temps du bon fonctionnement et de la sécurisation de l’infrastructure réseau de Primeum. Ces bonnes conditions techniques, relativement rares pour une entreprise de notre taille, nous permettent de disposer de notre propre matériel pour offrir les solutions de stockage et de sécurisation des données les plus sûres possibles.

Une protection physique des données

Un réseau interne renforcé

Tout d’abord, nos locaux sont protégés et l’accès à l’immeuble, comme à la salle des serveurs, est contrôlé. Ensuite, l’entrée sur le plateau Primeum est également protégée par un badge d’accès. Enfin, les serveurs sur lesquels sont stockées les données sont entreposés dans une salle dédiée, sécurisée, et dont l’accès est également fermé. Les données sont protégées, ainsi « informatiquement » mais aussi « physiquement ».

Notre réseau principal se trouve ainsi dans une salle serveur sécurisée au sein même de nos locaux. Nos emails, ainsi que l’intégralité de nos échanges avec nos clients ne sont pas stockés sur un cloud, mais directement chez nous. De ce fait, nos mails internes ne transitent jamais sur internet et restent dans notre serveur interne.

L’ensemble des ordinateurs du personnel est crypté

Les collaborateurs Primeum disposent d’ordinateurs portables sur lesquels ils peuvent synchroniser les données nécessaires pour travailler. Chaque ordinateur est hautement sécurisé et est doté d’un disque-dur crypté. Primeum s’attache à utiliser les meilleurs équipements et dispositifs possibles en termes de matériel informatique afin d’assurer une sécurité optimale des données. Par ailleurs, si un collaborateur était amené à se faire dérober son ordinateur portable, aucune personne extérieure ne pourrait récupérer les données qu’il contient.

Que va changer le RGPD ?

Le RGPD nous donne le droit de responsabiliser davantage nos clients

Les rôles de chacun sont reprécisés et les clients comprennent mieux leur responsabilité propre quant à la gestion des données personnelles de leurs salariés. En effet, les clients utilisant nos outils et réalisant leur calcul de primes à l’aide de nos applications restent responsables de la donnée traitée même lorsqu’ils décident de nous missionner pour faire le calcul à leur place.

Les clients ont le devoir de s’assurer que Primeum travaille correctement : ainsi, ils nous questionnent sur nos pratiques et nous répondons régulièrement à des audits sur ces sujets. Nous nous conformons aux règles internes des entreprises nous sollicitant, notamment des grandes entreprises, qui peuvent parfois présenter des process de fonctionnement internes assez stricts et très formalisés auxquels nous nous adaptons spécifiquement. Primeum appuie ces clients pour justifier de la conformité effective des applications utilisées et de la façon de travailler relative à la réglementation RGPD. 

Aujourd’hui, au regard des nouvelles dispositions induites par le RGPD, nos clients revoient la nature de leur questionnaire en les orientant davantage vers la protection des données personnelles.

Le RGPD ne modifiera pas les dispositifs de primes

Les dispositifs de primes ne nécessitent pas suffisamment l’utilisation de données sensibles pour que le RGPD amène un changement dans leurs modalités de calculs. En revanche, il faudra être plus vigilant dans la manière de traiter les données recueillies. Chez Primeum, nous conseillons nos clients sur les bonnes données à nous transmettre afin de réaliser les calculs de primes et d’éviter la transmission de données personnelles inutiles, qui présentent un risque en termes de sécurité.