La CNIL a publié en 2019 un référentiel relatif aux traitements de données a caractère personnel mis en œuvre aux fins de gestion du personnel.
https://www.cnil.fr/sites/default/files/atoms/files/referentiel_grh_novembre_2019_0.pdf
Ce document recense notamment les délais de conservation des données (chapitre 7).
« Les données à caractère
personnel ne doivent être conservées sous une forme permettant l’identification
des personnes que le temps strictement nécessaire à la réalisation des finalités
poursuivies »
Dans la pratique HR Access, les archives de paie, de rappel, et périodes DSN persistent dans la base active ... à juste titre puisqu'elles sont (au moins pour les 12 à 24 premiers mois) toujours interrogées.
Au delà de 5 à 6 ans, ces archives doivent normalement être purgées.
On trouve aussi des règles de sécurité (chapitre 10) à mettre en œuvre.
« Soit l’organisme adopte les mesures suivantes, soit il justifie de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir »
Par exemple :
On notera aussi :
- Tester sur des données fictives ou anonymisées
- Limiter les flux réseau au strict nécessaire
- Installer sans délai les mises à jour critiques
- Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
- Chiffrer les données avant leur envoi à un organisme extérieur
- Prévoir et tester régulièrement la continuité d'activité
- Détruire les archives obsolètes de manière sécurisée
Concernant l'authentification des utilisateurs, un peu de lecture :
Aucun commentaire:
Enregistrer un commentaire