Protéger les données personnelles de celles et ceux que nous servons

Comment Workplace Options se conforme au nouveau règlement général sur la protection des données (RGPD) de l’Union Européenne

 

Message à nos clients

 

Le 25 mai 2018, une nouvelle loi portant sur la protection des données des citoyens de l’Union Européenne (UE) est entrée en vigueur. Baptisée « règlement général sur la protection des données » (RGPD), elle devra être respectée par toutes les entreprises servant des individus de pays de l’UE.

La direction, les professionnels de la sécurité et l’équipe juridique de Workplace Options, en sa qualité de prestataire mondial de services de bien-être des employés, ont travaillé au renforcement de nos politiques et procédures actuelles et ont déployé les changements nécessaires.

Vous trouverez sur cette page des informations utiles sur les mesures que nous prenons pour nous conformer et protéger les données personnelles de celles et ceux à qui nous proposons nos services.

Nous avons préparé un livret informatif, disponible ici, qui contient des renseignements divers sur le RGPD et le travail que nous avons fait dans son cadre. Une version française sera bientôt disponible.

Si vous avez la moindre inquiétude ou question sur le RGPD ou sur la façon dont Workplace Options s’est préparé aux changements, n’hésitez pas à nous contacter à l’adresse security@workplaceoptions.com.

Vue d’ensemble

L’Union européenne a adopté la loi actuelle en matière de protection des données baptisée RGPD (règlement général sur la protection des données) le 14 avril 2016. Le RGPD a remplacé la directive 95/46/CE sur la protection des données personnelles. Il vise à protéger et à valoriser la confidentialité des données des citoyens de l’UE où qu’ils se trouvent dans le monde et à guider les organisations dans la protection des données personnelles.

Le RGPD étend la portée de la protection des données personnelles des citoyens de l’UE et accroît les sanctions pour les organisations qui ne s’y conformeraient pas. Enfin, il renforce les droits des citoyens de l’UE concernant le contrôle des données collectées à leur sujet.

Le RGPD a pris effet le 25 mai 2018 et est depuis applicable.

Éléments clés du RGPD

Le secteur du bien-être des employés doit répondre à cette loi pour continuer de servir sa clientèle à travers l’UE. La protection croissante des données et la multiplication des réglementations en la matière assurent une plus grande sécurité des données personnelles des clients. Le RGPD inclut un ensemble de droits pour les individus :

  • • le droit d’être informés
  • • le droit d’accès
  • • le droit de rectification
  • • le droit à l’effacement
  • • le droit à la limitation du traitement
  • • le droit à la portabilité des données
  • • le droit d’opposition
  • • le droit de ne pas faire l’objet d’une prise de décision individuelle automatisée, y compris le profilage

Voici quelques-unes des exigences clés de la nouvelle loi :

  • • les individus auront le contrôle absolu de la façon dont ils souhaitent ou non que soient utilisées leurs données personnelles ;
  • • les individus disposeront d’une nouvelle série de droits en matière de données personnelles qui consolideront le fait qu’ils ont le contrôle de leurs données ;
  • • les entreprises devront soumettre une demande orale ou écrite (y compris par voie électronique) pour obtenir l’accord ou non d’un individu au traitement de ses données personnelles conformément à la nouvelle loi ;
  • • en cas de violation des données personnelles, les entreprises seront tenues de la notifier dans les 72 heures, sans quoi elles seront soumises à une sanction calculée selon le pourcentage du revenu global.

 

Engagement actif

Workplace Options s’est toujours engagé en faveur de la protection et de la confidentialité des données de ses clients et utilisateurs finaux, comme en témoigne la certification ISO 27001:2013 obtenue en 2016. Début 2017, Workplace Options a lancé un projet d’analyse de la conformité de ses opérations commerciales mondiales au RGPD. Cette analyse garantira la réalisation de contrôles de données pour l’ensemble de nos processus et offrira aux citoyens européens un maximum de confort à l’égard des informations que nous recueillons en leur nom.

Notre organisation œuvre de manière active et continue au renforcement des règles de confidentialité et de sécurité des données. Dès 2012, Workplace Options a intégré des éléments uniques à ses systèmes technologiques pour les rendre adaptables aux changements annoncés et aux nouvelles exigences potentielles. Notre système interne de gestion des cas UCMS nous permet de stocker les données privées des membres dans l’UE ou dans n’importe quel pays disposant d’exigences de stockage similaires.

Workplace Options a documenté et analysé le flux opérationnel dans chacun de ses centres de services dans le monde. Cette auto-évaluation examine quelles informations nous recueillons sur les citoyens, la manière dont nous les traitons et l’endroit où elles sont stockées. Workplace Options a mis sur pied un groupe chargé de garantir la conformité au RGPD, composé de représentants de la sécurité, de l’équipe juridique et de la direction ainsi que de chaque responsable de département opérationnel au sein de l’organisation. Cette étape est un élément fondamental du RGPD et une tâche complexe que nous menons pour protéger les données personnelles de celles et ceux qui bénéficient de nos services.

Workplace Options a par ailleurs activement œuvré au maintien des certifications requises. Workplace Options était certifié par Safe Harbor et l’est désormais par les boucliers de protection des données UE-États-Unis et Suisse-États-Unis. Elle détient également la certification ISO 27001:2013. Workplace Options est par ailleurs membre de l’International Association for Privacy Professionals et dispose de contrats types avec les partenaires et filiales qui traitent les données en notre nom. Tous les contrats et accords de partage de données de Workplace Options sont constamment réexaminés et actualisés pour assurer leur conformité aux normes du RGPD.

12 étapes pour se conformer au RGPD

Les États membres de l’UE s’attachent actuellement à définir des lignes directrices pour assurer la conformité au RGPD. Voici les 12 recommandations adressées aux organisations à cette fin. Pour chacune d’elles, nous avons indiqué la réponse de Workplace Options.

  1. 1. Information

« Assurez-vous que les décideurs et personnes clés de votre organisation sont informés de l’entrée en vigueur du RGPD.  Ils doivent être au fait des effets potentiels du changement de loi. »

  • Workplace Options dispose d’une équipe dédiée représentant la sécurité, l’équipe juridique et la direction ainsi que tous les responsables de département opérationnel au sein de l’organisation. Ce groupe a assuré la conformité au RGPD, a formé les membres de l’organisation à son sujet et garantit le succès opérationnel. Nous avons également recruté des conseillers externes chargés d’orienter les changements et de contrôler leur conformité à titre indépendant.

 

  1. 2. Les informations que vous détenez

« Consignez par écrit quelles données personnelles vous détenez, d’où elles proviennent et avec qui vous les partagez. Un audit des systèmes d’information sera peut-être nécessaire. »

  • Le traitement interne est réalisé au moyen d’UCMS, le système interne de gestion des cas de Workplace Options. Nous consignons intégralement la manière dont nous recevons les données personnelles (e-mail, téléphone, site internet, application mobile, etc.) ; l’endroit et la manière dont nous stockons les données personnelles reçues (lieu sûr dans une base de données UCMS de l’UE) ; et avec qui nous les partageons (partenaires et filiales, personnes concernées, etc.).

 

  1. 3. Communiquer les informations sur la protection des données

« Réexaminez vos dispositions actuelles en matière de protection de la vie privée et établissez un plan pour effectuer en temps utile tout changement nécessaire à la mise en œuvre du RGPD. »

  • Workplace Options applique une politique de confidentialité rigoureuse et dispose d’une déclaration sur la collecte d’informations personnelles conforme au RGPD qui sera communiquée à chaque client nous contactant avant que toute donnée soit collectée. Le client aura la possibilité d’accepter ou de refuser et les services seront fournis de manière anonyme même à celles et ceux qui refusent notre déclaration.

 

  1. 4. Les droits des individus

« Contrôlez vos procédures pour vous assurer qu’elles couvrent tous les droits revenant aux individus, y compris au niveau de l’effacement des données personnelles ou de leur mise à disposition par voie électronique et dans un format communément utilisé. »

  • Workplace Options est au fait des droits individuels et s’y conforme dans le soutien qu’elle apporte à sa clientèle et aux utilisateurs finaux. Workplace Options a obtenu la certification ISO 27001:2013 en 2016. Notre système de gestion des cas UCMS a actuellement la possibilité d’effacer les données personnelles et de les fournir par voie électronique et dans un format communément utilisé. Workplace Options possède aussi la certification ISO 9001, preuve de son engagement en faveur de la qualité et du traitement.

 

  1. 5. Les demandes d’accès des personnes concernées

« Mettez à jour vos procédures et planifiez la manière dont vous gérerez les demandes dans les nouveaux délais et fournirez les données complémentaires. »

  • Workplace Options a conçu et met en œuvre un système de suivi des informations sanitaires protégées (Protected Health Information Tracker), qui suit l’intégralité du processus de demande et de fourniture de données personnelles. Parmi les informations pertinentes pour garantir la conformité figurent celles concernant le moment de la réception de la demande, les motifs de celle-ci, son origine, la fourniture des données et les délais.

 

  1. 6. La base légale pour le traitement des données personnelles

« Identifiez la base légale de votre activité de traitement dans le RGPD, documentez-la et actualisez vos dispositions en matière de confidentialité pour l’expliquer. »

  • Workplace Options soutient les besoins de bien-être des individus. Nous avons besoin d’un accès aux données personnelles pour offrir à nos membres des services appropriés et efficaces.

 

  1. 7. Consentement

« Examinez comment vous sollicitez, enregistrez et gérez le consentement et la nécessité éventuelle d’effectuer des changements. Actualisez dès à présent les consentements dont vous disposez déjà s’ils ne répondent pas aux exigences du RGPD. »

  • Workplace Options demande un consentement verbal qui est ensuite consigné dans UCMS, notre système de gestion des cas.

 

  1. 8. Enfants

Les organisations qui offrent des services aux enfants doivent disposer de « systèmes permettant de vérifier l’âge des individus et d’obtenir le consentement d’un parent/tuteur à toute activité de traitement des données. »

  • La politique de protection de la vie privée et les lignes directrices de procédure de Workplace Options énoncent clairement les services accessibles aux mineurs et les cas dans lesquels le consentement d’un parent/tuteur est requis.

 

  1. 9. Violation des données

« Assurez-vous d’avoir mis en place les procédures requises pour détecter, notifier et enquêter sur toute violation de données personnelles. »

  • Dans le cadre de sa certification ISO 27001:2013, Workplace Options dispose de procédures expliquant dans le détail l’intégralité du processus en cas de violation des données personnelles, notamment en matière de détection, de notification et d’enquête.

 

  1. 10. Protection des données dès la conception et évaluation de l’incidence sur la protection des données

« Familiarisez-vous dès à présent avec le code de pratique d’ICO sur les évaluations de l’incidence sur la protection de la vie privée ainsi qu’avec les dernières lignes directrices du groupe de travail de l’article 29, et définissez comment et quand les mettre en œuvre au sein de votre organisation. »

  • Workplace Options a évalué l’incidence sur la protection des données qui examine la nécessité et l’adéquation de notre manière de traiter les données. Celle-ci nous a permis d’effectuer tous les changements nécessaires en temps utile.

 

  1. 11. Délégués à la protection des données

« Nommez une personne responsable de la conformité à la protection des données et évaluez comment ce rôle s’intégrera à la structure de votre organisation et aux accords de gouvernance. Vérifiez si vous êtes tenu de nommer officiellement un délégué à la protection des données. »

  • Workplace Options a nommé une équipe d’individus responsables de l’évaluation et de la conformité au RGPD. Nous avons désigné un délégué à la protection des données (DPD) en plus de notre chef de la sécurité.

 

  1. 12. International

« Si votre organisation opère dans plus d’un État membre de l’UE (c’est-à-dire si vous effectuez un traitement transfrontalier), déterminez votre autorité principale de contrôle de la protection des données. Les lignes directrices du groupe de travail de l’article 29 vous y aideront. »

  • Workplace Options a choisi la France comme autorité principale de contrôle de la protection des données.

 

Conclusion

L’équipe de Workplace Options a travaillé avec toute la diligence requise pour actualiser adéquatement ses exigences en matière de consentement, en préparation aux changements du RGPD. Workplace Options s’assure que chaque individu que nous servons dispose d’informations appropriées sur les droits que lui confère le RGPD constitue une priorité de notre organisation. Nous nous attachons également à offrir un mécanisme transparent et efficace permettant aux citoyens de l’UE de demander l’accès à leurs données dans le but de les réviser, de les corriger et de les effacer.

Cette page sera actualisée dès que de nouvelles informations utiles seront disponibles.

Ressources

Plusieurs groupes basés dans l’UE ont préparé des guides distincts comportant des suggestions sur la manière d’aider les organisations à se conformer au règlement. Pour consulter leurs documents respectifs, veuillez suivre les liens suivants :

 

Sources

Note : les citations ci-dessus sont tirées du document « Preparing for the General Data Protection Regulation (GDPR) 12 steps to take now » d’ICO, cité ici : https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32016R0679

https://www.cnil.fr/fr/reglement-europeen/lignes-directrices

http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights

https://www.dlapiper.com/en/uk/insights/publications/2016/12/a-guide-to-the-general-data-protection-regulation