Hero Background Image

Compte à rebours pour le RGPD

 

L'horloge tourne : en mai 2018, le Règlement général de l'UE sur la protection des données (RGPD) entrera en vigueur. Sachant cela, le moment est venu de parler de la façon dont Workday propose des outils aidant ses clients à répondre à leurs obligations relatives au RGPD.

Mais d'abord, voici un bref rappel : le RGPD est un règlement de l'Union Européenne visant à harmoniser le large éventail de lois sur la protection des données en Europe. Le RGPD ne se contente pas d'abroger et de remplacer la directive actuelle de l'UE sur la protection des données, il s'attaque aussi aux rouages complexes des lois sur la confidentialité adoptées par chaque membre de l'UE en vertu de cette directive.

Un partenariat de responsabilités pour le RGPD

En termes de conformité avec le RGPD, Workday et ses clients ont des responsabilités : nos clients en tant que contrôleurs des données et Workday en tant que responsable du traitement des données. Pour citer la page officielle de la foire aux questions du RGPD, « Le contrôleur de données définit les finalités des données personnelles, leurs conditions et leurs modes de traitement. Le processeur de données, quant à lui, se charge des opérations au nom du contrôleur. »

Nous présentons ci-dessous quelques points clés des protections fournies par Workday en tant que responsable du traitement des données ainsi que les outils que nous proposons à nos clients pour assumer leurs responsabilités en tant que contrôleurs de données. Workday a déjà pris des mesures pour mettre à jour les conditions générales en matière de traitement de données que nous offrons à nos clients pour répondre aux exigences du RGPD. De plus, notre site Web communautaire dédié aux clients, Workday Community, possède plusieurs foires aux questions que nous tiendrons à jour au fur et à mesure que des conseils supplémentaires sont publiés.

Workday en tant que responsable du traitement des données

Sécurité : Workday a développé des normes de sécurité et de protection des données pour passer régulièrement des audits de conformité rigoureux auprès de tiers en termes de sécurité, de confidentialité, de disponibilité, d'intégrité du traitement et des contrôles de confidentialité. Plus précisément, l'infrastructure des applications Workday permet à nos clients de gérer et de contrôler l'accès de leurs utilisateurs aux applications Workday et offre une infrastructure mise aux normes afin de définir un accès basé sur les rôles.

Flux de données transfrontaliers : Le RGPD continue à autoriser le flux de données personnelles par-delà les frontières nationales et inclut des dispositions pérennisant la validité des mécanismes de transfert de données existants. Les clients de Workday peuvent choisir parmi un large éventail de mécanismes de transfert de données conformes avec le RGPD pour transférer les données personnelles hors de l'Espace Économique Européen vers Workday. Les clients peuvent tirer parti de la certification Privacy Shield (Bouclier de Protection des Données) de Workday ou signer des clauses contractuelles standard.

Études d'impacts sur la vie privée (EIVP) : Le RGPD nécessite des EIVP pour de nombreux types de traitement de données. L'équipe Workday en charge de la protection de la vie privée effectue des EIVP régulières et méthodiques sur les fonctionnalités, l'intégration des tiers et les opérations liées à nos services. Bien que nous n'anticipions aucun changement notable dans nos méthodes existantes, notre équipe continue à suivre le RGPD pour garantir que nos EIVP répondent aux nouveaux prérequis.

Failles de sécurité : Le RGPD introduit de nouvelles règles de notification pour toute faille de sécurité causant la perte, la destruction ou l'accès non autorisé aux données personnelles. Workday a mis en place un plan interne et formel de réponse aux incidents qui est conforme à ces exigences en matière de notifications.

Le client en tant que contrôleur de données

En plus des obligations de conformité de Workday en tant que responsable du traitement des données personnelles de ses clients dans le cadre du RGPD, Workday aide également les clients à remplir leurs obligations dans le cadre du RGPD de diverses manières. Voici quelques exemples notables.

Purge de données : Pour assurer la conformité des clients au droit à l'oubli, Workday propose un catalogue de fonctionnalités de purge. Par exemple, un client peut être amené à purger certains ensembles de données personnelles datant de plus de cinq ans pour les anciens employés d'une filiale en France. Grâce à la fonctionnalité de purge des données personnelles, nos clients peuvent sélectionner l'ensemble des anciens employés dont les données doivent être supprimées.

Droits d'accès : Workday offre une suite de fonctionnalités configurables destinées à aider les clients à se conformer aux droits d'accès dans le cadre du RGPD. Plus précisément, l'infrastructure des applications Workday permet aux clients de gérer et de contrôler l'accès de leurs utilisateurs aux applications Workday et offre une infrastructure mise aux normes afin de définir un accès basé sur les rôles.

Enregistrement des activités : Pour aider ses clients à protéger leurs données personnelles contre les menaces de sécurité, Workday enregistre l'activité de chaque compte. Ce processus inclut les connexions réussies et les tentatives infructueuses, ainsi que les modifications ou les ajouts aux données réalisés par nos clients et leurs utilisateurs finaux. Les administrateurs chargés de la sécurité peuvent consulter les rapports d'authentification/d'échec d'authentification tandis que les individus possédant un rôle d'auditeur peuvent effectuer des rapports pour voir les changements apportés aux données dans le système au cours d'un certain intervalle de temps. Nos clients peuvent également mettre en avant le contrôle et la surveillance des accès, affichant ainsi un niveau élevé d'assurance de la conformité.

Audits indépendants des contrôles et processus de Workday : Nos clients peuvent mentionner et s'appuyer sur les procédures réalisées par nos auditeurs indépendants dans le cadre des procédures SOC et ISO pour montrer leur conformité au RGPD. Par ailleurs, ils peuvent également partager notre rapport SOC-3, disponible au public et faisant office de version résumée du rapport SOC-2. En outre, les clients peuvent s'abonner au programme d'audit des clients Workday s'ils ont besoin d'en savoir plus sur les contrôles de Workday.

Nous prenons la conformité très au sérieux et nous travaillons de manière proche avec nos clients, afin que nous puissions tous assumer nos responsabilités dans le cadre du RGPD. Nous continuerons à publier des foires aux questions et des blogs en attendant l'entrée en vigueur du RGPD. En deux mots, grâce à Workday, nos clients peuvent être sûrs de posséder des fonctions et fonctionnalités leur permettant d'être conformes au RGPD.

Cette parole d'expert, écrite par Barbara Cosgrove, a été publiée initialement en anglais sur le blog Workday.

Veuillez autoriser les cookies pour continuer.

Ce contenu est bloqué en raison de vos préférences de cookies pour ce site. En cliquant ici, vous acceptez les conditions d'utilisation et règles de confidentialité de YouTube. Workday enregistrera vos préférences dans un cookie de session.