CNIL / RGPD

En préambule, il est important de noter que le rôle de CRYSTAL INTÉRIM  est de rechercher à placer ou à déléguer des intérimaires ou permanents pour nos clients. CRYSTAL INTÉRIM  pour répondre à ce besoin collecte des données personnelles (Fiche Candidat DPC) stockées dans notre système de gestion de candidatures et intérimaires / permanents mais il est également en contact avec des entreprises et des partenaires.

Nous nous appuyons sur des prestataires informatiques qui stockent ces données personnelles dans leur infrastructure et nous sommes donc pleinement concernés par le RGPD.

  1. QU’EST-CE QUE LA CNIL

La CNIL est l’acronyme de la Commission Nationale de l’Informatique et des Libertés.  Une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée le 6 août 2004. Elle a le statut d’autorité administrative indépendante (AAI). La CNIL assure une veille et contrôle les usages informatiques afin qu’ils demeurent en conformité avec la loi française. Il s’agit notamment de s’assurer que les données qui circulent ou sont récoltées par l’intermédiaire des réseaux sont conformes aux libertés individuelles, à la liberté de pensée et aux grands principes des droits humains.
La CNIL est composée de 17 membres élus par les deux assemblées. Le collège élit ensuite un président en son sein. En tant qu’autorité publique, elle est chargée de statuer sur les litiges ou les plaintes qui lui sont soumis. Elle peut aussi émettre un avis sur les lois proposées par le Parlement ou la validité des fichiers créés par l’Administration.

Missions de la CNIL

La CNIL possède cinq grandes missions qui vont de la pédagogie au pouvoir de sanction.

  • Informer et protéger : Les salariés,  les entreprises ou les simples particuliers peuvent contacter la CNIL afin de demander des renseignements relatifs à la protection des données personnelles. L’autorité administrative indépendante met à disposition des outils pratiques et pédagogiques. Elle mène également des actions de sensibilisation.
  • Accompagner et conseiller : La CNIL accompagne au quotidien le législateur via des avis sur des projets de loi ou de décrets ou encore des recommandations. Elle intervient également dans les entreprises via les correspondants informatique et libertés.
  • Contrôler : La CNIL peut mener des contrôles sur place et sur pièces dans les entreprises, mais aussi au sein de l’administration. Ainsi, elle est en droit de contrôler la bonne utilisation des systèmes de vidéoprotection. Le site officiel de la CNIL est très clair : en cas de contrôle la commission peut  « accéder à tous les locaux professionnels, demander communication de tout document nécessaire et d’en prendre copie, recueillir tout renseignement utile et entendre toute personne, accéder aux programmes informatiques et aux données ».
  • Sanctionner : A l’issue d’un contrôle, la CNIL peut imposer une injonction de cesser le traitement, dénoncer des infractions au Procureur de la République voire imposer une sanction financière dont le montant maximum est de 3 millions d’euros. Elle peut également décider de rendre publique la sanction. Attention, la CNIL ne perçoit pas les amendes. Ces dernières doivent être réglées auprès du Trésor public.
  • Anticiper : Avec la digitalisation de la société, les enjeux liés à la protection des données personnelles sont en constante évolution. La CNIL mène donc un travail quotidien pour anticiper les nouvelles tendances et leur impact sur les libertés. Elle possède pour cela un comité de prospective qui peut faire appel à des spécialistes venant de l’extérieur, notamment du secteur privé.

CNIL et RGPD

Le Règlement Général pour la Protection des Données (RGPD) est une législation mise en place par l’Union européenne. Pour aider à la bonne compréhension et à la bonne application du règlement, la CNIL met à disposition des entreprises de nombreux outils. Ainsi, en association avec Bpifrance, elle a rédigé un guide pratique pour aider les TPE et les PME.

Notons que le RGPD ne changera pas le rôle et l’influence de la CNIL. Ainsi le site officiel précise que « les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent les mêmes ».

  • QU’EST-CE QUE LE RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) ou GDPR (General Data Protection Régulation), en anglais devient le nouveau texte de référence en matière de protection des données à caractère personnel.

Ce nouveau règlement vise à simplifier, harmoniser et renforcer le traitement des données à caractère personnelles et défini les règles relatives à la circulation de ces données.

Adopté en mai 2016, il est entré en vigueur le 25 mai 2018 et s’adresse à toutes les entreprises qui collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement permettre d’identifier une personne physique. Il a pour but de redonner aux citoyens le contrôle de leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises.

Le RGPD repose avant tout sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.

La protection des données est une priorité pour CRYSTAL INTÉRIM, puisque son objectif est de collecter et traiter des données personnelles sur les candidats et intérimaires / permanents mais également sur ses clients entreprises et prospects. Aussi, nous n’avons pas attendu la mise en application effective du RGPD pour prendre toutes les mesures nécessaires au respect de la vie privée des intérimaires et permanents ainsi que des entreprises.

  •  DÉFINITIONS

Données à caractère personnel ou DCP : toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Responsable du traitement : personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

4)   ACTIONS MISES EN PLACE

4.1.1  Nomination d’un DPO (Data Protection Officer) ou Délégué

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé : 


• d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés, 


• de contrôler le respect du règlement et du droit national en matière de protection des données, 


• de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution, 


• de coopérer avec l’autorité de contrôle (la CNIL)  et d’être le point de contact de celle-ci. 

Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Voici ses coordonnées si vous souhaitez le contacter : 

– Par Mail : donneespersonnelles@crystal-interim.com

– Par Courrier :

Crystal Intérim 
À l’attention du Délégué à la Protection des Données (DPO)

1 Bd Maurice BERTEAUX  95110 SANNOIS

4.1.2  Identification des données

Comme le stipule l’article 4 du RGPD: https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

CRYSTAL INTÉRIM  collecte les données contenues dans les dossiers des candidats ainsi que les données relatives à gestion de la paie ou le contrôle des horaires des salariés Il s’agit donc uniquement de données directement liées au service proposé : de recherche de candidats, de traitement des délégations du personnel intérimaire ou placement des permanents.

CRYSTAL INTÉRIM  est donc concernée par le RGPD en qualité de Responsable du traitement.

4.1.3 CONSERVATION DES DONNÉES

Pour respecter la règlementation du RGPD,  CRYSTAL INTÉRIM  prévoit 3 cas :

Tant que le candidat n’a effectué aucune mission pour le compte de notre société, ses données sont conservées au maximum 3 ans après la dernière modification de son dossier de candidature. Celle-ci pouvant correspondre à un entretien, un échange avec nos recruteurs, la mise à jour de son dossier, ou son accès à son Espace Personnel.

Dans le cas contraire, les données de salarié Intérimaire sont conservées dans les bases accessibles à nos services pendant une durée de 10 ans date de fin de contrat, afin de répondre à nos propres obligations légales.

D’autre part, Crystal Intérim porte à leur connaissance que les informations nécessaires à l’établissement des droits à la retraite sont conservées en archives sans limitation de durée.

Des scripts assurent la suppression des données automatiquement à la fin de la période de conservation.

4.1.4 Maitrise des données collectées

Le candidat, pour être référencé dans le SI Crystal Intérim, doit accepter les mentions légales du site CRYSTAL INTÉRIM  ou bien avoir validé les mentions légales lors de la dépose de son dossier personnel de candidature en agence (DPC) pour faire valoir son « Droit d’accès à l’information » (Chapitre III Article 13 et 14)

Cette acceptation est réalisée via une case à cocher, décochée par défaut, sur la page d’accueil de l’espace candidat du site CRYSTAL INTÉRIM.

Cette case à cocher contient un lien vers les mentions légales du site CRYSTAL INTÉRIM.

Conformément au RGDP, le candidat / intérimaire / permanent peut, à tout moment, demander la liste des données collectées ainsi que leur suppression pour faire valoir ses droits « Droit d’accès, Droit de rectification et d’effacement » (Chapitre III Article 15, 16, 17)

Cette demande peut être réalisée soit via le site CRYSTAL INTÉRIM  dans l’espace candidat, soit directement par demande au siège du CRYSTAL INTÉRIM  en utilisant l’adresse mail :

donnéespersonnelles@crystal-interim.fr

Dans les deux cas, CRYSTAL INTÉRIM  s’engage à traiter toute demande dans un délai de 72 heures  (délai en jours ouvrés).

5)  CONTRAINTES DE SÉCURITÉ

5.1.1 Localisation de l’hébergement

Le site Crystal Intérim est hébergé par OVH avec un niveau de responsabilité limitée au matériel.

Les infrastructures OVH sur lesquelles sont déployés les services associés au site Crystal Intérim sont localisées sur le territoire français

Les datacenters d’OVH contenant l’ensemble des données sont en France.

Les autres applications utilisées pour traiter les données intérimaires sont hébergées chez  CEGI groupe Evolia.

Les infrastructures sur lesquelles sont déployés les services sont localisées sur le territoire français.

Les données sont aujourd’hui hébergées en France, dans des Datacenter ultra sécurisés et supervisés par des équipes hautement qualifiées. Les données ne quittent jamais la France.

5.1.2 Sécurisation des données

Les données sont cloisonnées pour ne pas être exposées. Elles se trouvent dans un VLAN dédié au service et une connexion à un VPN est nécessaire pour y accéder. Elles ne sont accessibles que depuis notre infrastructure. Il n’y a pas d’accès extérieur sur les bases de données ou sur les serveurs utilisés par la solution.

Nos partenaires  maîtrisent la sécurité, réduisent les risques des cyber-attaques et mettent en place toutes les mises à jour nécessaires au bon fonctionnement de notre politique de sécurité.

Toutes les infrastructures Datacenter sont isolées les unes des autres et les données cryptées, garantissant une confidentialité maximale des données.

En cas de détection d’un événement engendrant une perte ou fuite de donnée, nos partenaires s’engagent à prévenir l’autorité de contrôle (la CNIL) et le responsable du traitement des données dans les 72h maximum suite à l’alerte.

Pour assurer la pérennité de notre entreprise en cas d’incident majeur, nos données sont sauvegardées et répliquées sur une seconde plateforme. Dans le but de renforcer nos compétences en management de sécurité de l’information et des données.

Nos partenaires et prestataires interviennent dans un cadre fiable et sûr pour sécuriser nos informations les plus sensibles.

5.1.3 Sécurisation des interfaces

Les interfaces identifiées sont :

Fourniture des offres à indexer dans la CRM,

Envoi des pièces candidats dans la CRM

Recherche d’offres via l’API du Site CRYSTAL INTÉRIM.

Envoi des informations via des interfaces de dématérialisation (contrats, bulletins, relevés d’heures) et formulaires de contact

Les flux liés à ces interfaces transitent, en plus d’un VPN, via des protocoles sécurisés et cryptés de bout en bout :

HTTPS

SFTP

Les données sont ainsi toujours cryptées lorsqu’elles transitent entre le site CRYSTAL INTÉRIM  et la solution de dématérialisation.

Le choix du mode de transfert doit être fait conjointement entre les équipes CRYSTAL INTÉRIM  et du prestataire informatique de l’outil de dématérialisation client.

Les données sont ainsi toujours cryptées lorsqu’elles transitent entre le site CRYSTAL INTÉRIM  et l‘ERP métier.