Politique RGPD des salariés et candidats

  1. Préambule

Le RGPD renforce les droits et obligations des responsables de traitement, des sous-traitants, des personnes concernées et des destinataires des données.

Pour la compréhension de la présente politique, il est précisé que le « responsable du traitement » s’entend de la personne physique ou morale qui détermine les finalités et les moyens d’un traitement de données à caractère personnel. Au titre de la présente politique, le responsable du traitement est HCI Sarl.

L’article 12 du RGPD impose au responsable de traitement de porter à la connaissance des personnes concernées, soit les personnes dont les données sont traitées, en l’occurrence les salariés, plusieurs informations relatives au traitement de leurs données d’une manière concise, transparente, compréhensible et aisément accessible.

  1. Objet

Pour satisfaire à son bon fonctionnement, HCI Sarl est tenue de mettre en œuvre et d’exploiter des traitements de données à caractère personnel relatifs à ses salariés quel que soit leur statut ainsi qu’au personnel détaché dont les données sont susceptibles d’être traitées.

La présente politique a pour objet de satisfaire à notre obligation d’information et de rappeler les droits dont vous disposez en matière de données à caractère personnel.

  1. Base légale

Les traitements mis en œuvre par HCI Sarl au titre de la présente politique ont tous pour base légalement l’exécution du contrat de travail ou le respect d’une obligation légale.

  1. Finalités

Nous traitons vos données à caractère personnel pour les finalités suivantes :

  • Gestion et suivi des candidatures ;
  • Gestion des ressources humaines ;
  • Mise à disposition d’outils de travail ;
  • Organisation d’opérations de formation ;
  • Gestion des élections professionnelles s’il y a lieu ;
  • Gestion de la paie et des autres aspects financiers et comptables ;
  • Organisation d’évènements d’entreprise ;
  • Contrôle d’accès et du temps de travail ;
  • Garantie de la sécurité des biens et des personnes ;
  • Réalisation d’états statistiques.
  1. Destinataires

Le RGPD définit les « destinataires de données » comme des personnes physiques ou morales qui reçoivent communication des données à caractère personnel.

À ce titre, les destinataires peuvent être internes à l’entreprise ou extérieurs à celle-ci ; dans tous les cas, HCI Sarl s’assure que les données de ses salariés ne leur soient accessibles que s’ils bénéficient d’une autorisation à ce titre.

Les destinataires internes sont tous les services habilités à traiter vos données (responsable des ressources humaines, responsable de la paye, etc.), les représentants du personnel, les moyens généraux, le personnel médical interne et toutes les autres directions et personnels désignés par nous.

Les destinataires externes sont les organismes sociaux, bancaires, financiers et de formation, l’URSSAF, le Pôle Emploi, la médecine du travail, les conseils externes et autres prestataires.

  1. Durée de conservation

Vos données sont traitées pendant une durée limitée que nous déterminons au regard des contraintes légales et contractuelles qui pèsent sur nous et, à défaut, en fonction de nos besoins. Les principes suivants sont retenus :

  • données de candidature : conservées pendant 2 ans à compter du dernier contact avec le candidat ;
  • données relatives à la gestion administrative et aux ressources humaines : conservées pendant 5 ans à compter de votre départ ;
  • données relatives à la paie : conservées pendant 5 ans à compter du versement de la paie ;
  • données relatives à l’établissement des droits du personnel : conservées sans limitation de durée ;
  • données de connexion : conservées pendant 6 mois à compter de leur collecte.
  1. Vos droits

Vous êtes investi des droits suivants s’agissant de vos données à caractère personnel :

  • un droit de nous demander confirmation que des données vous concernant sont traitées, d’accéder à ces données et d’en demander une copie ;
  • un droit de faire rectifier toute donnée vous concernant qui serait erronée ou obsolète.

En revanche, vous ne disposez pas du droit de solliciter l’effacement de vos données, d’obtenir la limitation d’un traitement ou de de vous y opposer car les conditions d’exercice de ces droits telles que posées par le RGPD font défaut en l’espèce.

Nous ne procédons à aucune décision individuelle automatisée vous concernant.

La demande d’exercice de vos droits doit émaner de vous exclusivement, être accompagné d’un titre d’identité et être formulée par écrit à destination du responsable des ressources humaines.

  1. Sous-traitance

Le RGPD définit le « sous-traitant » comme toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.

Au cas où l’entreprise déciderait de recourir à tout sous-traitant de son choix dans le cadre du traitement des données du salarié, elle s’assurera du respect par ce dernier de ses obligations en vertu du RGPD et s’engagera à signer avec lui un contrat écrit qui lui imposera les mêmes obligations que celles qu’elle s’impose en matière de protection des données. De plus, l’entreprise se réservera le droit de procéder à un audit auprès de ses sous-traitants afin de s’assurer du respect de ses obligations.

  1. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles que nous estimons appropriées pour lutter contre la destruction, la perte, l’altération ou la divulgation non autorisées de données.

En cas de recours à un sous-traitant, nous nous engageons à lui imposer contractuellement des garanties de sécurité par le biais de mesures techniques et organisationnelles appropriées.

  1. Violation de données

En cas de violation de données, nous nous engageons à en notifier la Cnil dans les conditions prescrites par le RGPD.

Si ladite violation fait peser un risque élevé pour nos salariés, nous nous engageons à en aviser les salariés concernés et à leur communiquer les informations et recommandations nécessaires.

  1. Délégué à la protection des données

Dans l’hypothèse où nous désignerions un délégué à la protection des données, nous nous engageons à vous communiquer ses coordonnées dans un document ultérieurement porté à votre connaissance. Il vous sera alors possible de le saisir si vous souhaitez obtenir une information particulière ou rencontrez un problème avec le traitement de vos données, auquel cas il vous donnera une réponse dans un délai raisonnable au regard de votre demande.

  1. Flux transfrontières

Nous nous réservons la possibilité de mettre en œuvre des flux transfrontières hors de l’UE des données que nous traitons, ce dont vous serez informé. Dans une telle hypothèse, nous assurerons le respect de vos droits et signerons si nécessaires un ou plusieurs contrats permettant d’encadrer ces flux avec le(s) pays destinataire(s).

  1. Registre des traitements

Lorsque la règlementation nous l’impose nous tenons à jour, à la disposition de la Cnil, un registre des opérations de traitement.

  1. Contacts Cnil

Comme la loi vous y autorise, vous pouvez introduire une plainte auprès de la Cnil à l’adresse suivante : Service des plaintes de la Cnil, 3 place de Fontenoy – TSA 80751, 75334 Paris Cedex 07 ou par téléphone au 01.53.73.22.22

  1. Révision

En cas d’évolution règlementaire ou de recommandations de la Cnil, nous nous réservons le droit de modifier la présente politique. Toute nouvelle politique vous est notifiée avant son entrée en vigueur.