Accueil > Travail

S’y prendre autrement avec les données à caractère personnel

Annuska van den Eijnden est Agent de protection des données chez Hago Zorg. Elle s’assure que l’organisation soit aussi bien préparée que possible à l’introduction du règlement général sur la protection des données aux Pays-Bas. Tout se passe-t-il comme prévu ?

Depuis 2013, Annuska a pour fonction d’assurer le contrôle en matière de protection des données et de prodiguer des conseils. « La nouvelle législation qui sera en vigueur à partir du mois de mai 2018 au sein de l’Union européenne veille à ce que nous ne puissions pas utiliser autrement les données à caractère personnel. Nous devons surtout préciser comment notre organisation peut manier le traitement des renseignements personnels. »

Je travaille au développement d’une politique et d’instruments, à l’établissement de processus et à la distribution d’informations à cet égard.

Transparence

Aujourd’hui, les données sont encore plus précieuses. Elles valent de l’argent. Les pirates informatiques essaient quotidiennement d’avoir la main sur des données à caractère personnel. Il suffit d’ouvrir le journal ou de consulter les réseaux sociaux pour s’en rendre compte.

« On ne peut éviter les problèmes qu’en adoptant une communication claire quant au comment et au pourquoi d’une nouvelle stratégie en matière de protection des données. L’implication de tous les collègues dans les évolutions que nous connaissons est d’une importance capitale. » Selon Annuska, il est essentiel de faire preuve de transparence. « Quelles données recevez-vous ? Pourquoi les recevez-vous ? Qu’en faites-vous ? Comment leur sécurité est-elle garantie ? »

Changements

« Nous sommes dans les temps. Les nouvelles procédures et règles ont déjà été rédigées. Les données bénéficient d’un niveau de sécurité plus élevé. Ainsi, désormais, il faut souvent se connecter en deux temps et il est même parfois aujourd’hui devenu impossible de consulter des données directement. Qui plus est, il n’est clairement plus permis de tout enregistrer. »

Conclusion d’accords d’exploitation

À partir du moment où une partie contractuelle traite des renseignements personnels, nous sommes tenus par la Wbp de conclure un accord d’exploitation avec la partie en question. Prenez par exemple le fournisseur à qui nous avons sous-traité l’administration des salaires. En 2016, tous les agents de protection de la vie privée ont commencé à répertorier les fournisseurs concernés et ont lancé cette mesure en collaboration avec les différents services.

Signal de l’absentéisme

Annuska : « Depuis 2016, diverses entreprises au sein du groupe Vebego travaillent avec le Signal de l’absentéisme (système d’enregistrement de l’absentéisme en ligne). Au moment de l’instauration de ce système début 2016, la juriste d’entreprise Danielle Adams et moi-même avons notamment dû vérifier avec soin que nous n’agissions pas à contre courant de la Wbp. Parallèlement à cet aménagement, un certain nombre de collègues et moi-même avons été fort occupés par l’établissement d’une politique de l’enregistrement des absences et, le cas échéant, le système a été organisé en ce sens. En outre, tous les agents de protection de la vie privée ont reçu une formation au moment du déploiement du système. »

Mais concrètement, qu’est-il désormais interdit de faire ?

  • L’on ne peut plus enregistrer d’informations sur la nature et la raison d’un absentéisme dans le dossier d’absence. L’on ne peut plus non plus poser de questions à cet égard. Si quelqu’un raconte ouvertement ce qu’il a, il est interdit de le consigner dans le dossier, sauf s’il s’agit d’une urgence ou d’une nécessité impérieuse. Cette évolution touche aussi nos RH dans leur approche de l’absentéisme : nous regardons ce que quelqu’un peut faire et travaillons à partir de là plutôt que de regarder du point de vue de ce que quelqu’un ne peut pas faire.

  • Interdiction d’enregistrer des données médicales ou des données qui donnent des renseignements sur des diagnostics, des problèmes, des indications de douleurs et/ou tout médicament que prend quelqu’un.

  • Interdiction d’enregistrer des informations sur les traitements que quelqu’un suit et par quel spécialiste il passe.

Pour tout de même garantir une situation bien opérationnelle, un aperçu dans la stratégie permet de voir ce qui est encore autorisé en termes d’enregistrement. Concrètement, tous les syndromes sont convertis dans une table de traduction. Donc, tout ce que quelqu’un peut avoir a été réparti dans toute une série de catégories. 

Outre la méthode d’enregistrement, un regard critique est également porté aux différents rôles au sein du système. Dans la gouvernance, il est indiqué qui a accès à quoi. Différentes sessions d’informations se sont également tenues, qui ont permis de donner des renseignements plus précis sur le partage du dossier d’absentéisme avec des tiers, comme un médecin du travail, un bureau d’intégration, etc.

Sur le terrain

D’un point de vue pratique, les collaborateurs doivent également être attentifs dans une certaine mesure. Ainsi, ils ne peuvent plus lancer une impression sans réfléchir avec le risque que ce qu’ils ont imprimé reste toute la journée sur l’imprimante. Désormais, il faut confirmer le lancement de l’impression à l’imprimante par le biais d’un code personnel (impression protégée). Ou lorsque vous travaillez avec des tiers et que, par exemple, vous devez leur confier des données à caractère personnel pour un mailing, ce n’est plus guère non plus aussi simple. Aujourd’hui, tout est sécurisé par des mots de passe et/ou des plateformes comme SharePoint sont mises en place pour remplacer les messageries électroniques traditionnelles. Toutes ces petites actions sont au moins d’égale pertinence, à l’instar également de la loi d’obligation de notification des fuites de données en vigueur depuis le 1er janvier 2016 aux Pays-Bas. 

La sécurité à tout prix

Les différents services ne disposeront plus que des données dont ils ont vraiment encore besoin. Les e-mails arriveront désormais exclusivement aux personnes qui doivent réellement les recevoir. Et pour avoir accès à des données à caractère personnel bien déterminées, des opérations supplémentaires seront requises.

« Certains collaborateurs vont certainement devoir s’habituer à cette nouvelle mesure. Mais traiter les données personnelles avec soin et attention est un aspect positif, même s’il faut encore s’y habituer ou s’y faire. Car, après tout, il s’agit aussi de vos propres données... »