La nouvelle réglementation européenne RGPD

Mars 2018

RGPD

La nouvelle réglementation européenne RGPD entrera en vigueur le 25 mai 2018 et a déjà fait couler beaucoup d’encre. Pour mémoire, elle s’applique à tout traitement de données personnelles de ressortissants de l’UE.

Un label n’est pas obligatoire pour justifier qu’on est conforme au RGPD. Il est nécessaire de prendre des mesures pour assurer la protection des données en continu et le prouver par une documentation écrite.

Parmi les éléments principaux impactant directement ou indirectement l’ERP se dégagent :

  • Consentement éclairé
  • Licéité du traitement
  • Droit à la portabilité des données ( pour les données fournies par la personne )
  • Transparence, accès à ses données personnelles, droit de rectification
  • Droit à l’oubli
  • Limitation du traitement
  • Sécurité
RGPD et ProConcept

Concernant l’ERP

Accès aux données personnelles
Concernant la consultation de ses données, deux modules sont particulièrement touchés: le CRM et les Salaires. De nombreux rapports existent dans l’ERP, notamment la fiche employé, qui permettent de regrouper les données personnelles de façon à présenter un dossier uniforme à la personne qui en ferait la demande. La plateforme self service eHRM offre une solution élégante combinant transparence et gestion de processus.


Droit à l'oubli

Les données doivent être collectées et traitées de manière licite, loyale, transparente, être adéquates, limitées au strict nécessaire et conservées pendant une durée en rapport avec la finalité du traitement. Pour répondre à ce besoin, des mécanismes peuvent être activés de manière à pseudonymiser ou supprimer des données après un délai de rétention défini.
Pour tout complément d'information en fonction de vos besoins, contactez votre consultant.

Quant à la question de la priorité entre RGPD et code des obligations, ce dernier est déterminant dans tous les cas. Toutefois, les mesures à prendre quant aux pièces comptables sont de régir les droits d’accès des utilisateurs pour répondre aux exigences RGPD.


Sécurité

Le règlement GDPR indique un cadre, mais pas des préconisations techniques et n'indique pas explicitement les actions à entreprendre. Certaines pistes sont mentionnées en fonction des risques encourus par l'entreprise et des moyens techniques disponibles.

  • Chiffrement de certaines données
  • Garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes
  • Permettre de rétablir la disponibilité des données dans des délais appropriés
  • Tester et évaluer l'efficacité des mesures techniques et organisationnelles

 
Dans la pratique, nous recommandons vivement de sécuriser les systèmes :

  • Définir les droits d’accès dans l’ERP et les organiser de manière synthétique à l’aide des groupes
  • Générer des sauvegardes de la base de données protégées par mot de passe systématiquement
  • Sécuriser la base de données en n'utilisant pas de mots de passe évidents
  • Sécuriser les accès en utilisant des rôles protégés par mot de passe pour accéder à l'ERP de manière à éviter les accès via des outils tiers
  • Sécuriser les accès au serveur de base de données, configurer le firewall pour définir les autorisations
  • Eviter de stocker des mots de passe dans des documents Excel / ODBC. Utiliser des utilisateurs spécifiques pour ces connexions.
  • Mettre à jour régulièrement aussi bien l'ERP, la base de données que les applications tierces

Contactez-nous en cas de question :