I. CNIL / RGPD

En préambule, il est important de noter que le rôle de QAPA est de rechercher à placer ou à déléguer des intérimaires ou permanents pour nos clients. Le site QAPA pour répondre à ce besoin collecte des données personnelles (Fiche Candidat DPC) stockées dans notre système de gestion de candidatures et intérimaires / permanents.

Nous nous appuyons sur des prestataires informatiques qui stockent ces données personnelles dans leur infrastructure et nous sommes donc pleinement concernés par le RGPD.

1.1 Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données ou GDPR (General Data Protection Regulation) devient le nouveau texte de référence en matière de protection des données à caractère personnel.Ce nouveau règlement vise à simplifier, harmoniser et renforcer le traitement des données à caractère personnelles et défini les règles relatives à la circulation de ces données.

Adopté en mai 2016, il entrera en vigueur le 25 mai 2018 et s’adresse à toutes les entreprises qui collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement permettre d’identifier une personne physique. Il a pour but de redonner aux citoyens le contrôle de leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises.

Le RGPD repose avant tout sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.La protection des données est une priorité pour QAPA, puisque son objectif est de collecter et traiter des données personnelles sur les candidats et intérimaires / permanents. Aussi, nous n’avons pas attendu la mise en application effective du RGPD pour prendre toutes les mesures nécessaires au respect de la vie privée des intérimaires et permanents.

1.2 Définitions

Données à caractère personnel ou DCP: toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Responsable du traitement : personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

1.3 Nomination d’un DPO (Data Protection Officer) ou Délégué

« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
• d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés,
• de contrôler le respect du règlement et du droit national en matière de protection des données,
• de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution,
• de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Les missions du délégué couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Voici ses coordonnées :
Julien ROS

cto@qapa.com

II. Identification des données

Comme le stipule l’article 4 du RGPD: https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4

QAPA collecte les données contenues dans les dossiers des candidats ainsi que les données relatives à gestion de la paie ou le contrôle des horaires des salariés Il s’agit donc uniquement de données directement liées au service proposé : de recherche de candidats, de traitement des délégations du personnel intérimaire ou placement des permanents.

QAPA est donc concernée par le RGPD en qualité de Responsable du traitement.

III. Conservation des données

Pour respecter la réglementation du RGPD QAPA prévoit 3 cas :

  • Tant que le candidat n’a effectué aucune mission pour le compte de notre société, vos données sont conservées au maximum 2 ans après la dernière modification de votre dossier de candidature. Celle-ci pouvant correspondre à un entretien, un échange avec nos recruteurs, la mise à jour de votre dossier, ou vos accès à votre Espace Personnel.
  • Dans le cas contraire, les données de salarié Intérimaire sont conservées dans les bases accessibles à nos services pendant une durée de 10 ans date de fin de contrat, afin de répondre à nos propres obligations légales.
  • D’autre part, QAPA porte à votre connaissance que les informations nécessaires à l’établissement de vos droits à la retraite sont conservées en archives sans limitation de durée.

IV. Maîtrise des données collectées

Le candidat, pour être référencé dans le site QAPA, doit accepter les mentions légales du site QAPA ou bien avoir validé les mentions légales lors de la dépose de son dossier personnel de candidature en agence (DPC) pour faire valoir son « Droit d’accès à l’information » (Chapitre III Article 13 et 14).

Cette acceptation est réalisée via une case à cocher, décochée par défaut, sur la page d’accueil de l’espace candidat du site QAPA. Cette case à cocher contient un lien vers les mentions légales du site QAPA. Conformément au RGDP, le candidat / intérimaire / permanent peut, à tout moment, demander la liste des données collectées ainsi que leur suppression pour faire valoir ses droits « Droit d’accès, Droit de rectification et d’effacement » (Chapitre III Article 15, 16, 17)

Cette demande peut être réalisée soit via le site QAPA  dans l’espace candidat, soit directement par demande au siège du QAPA en utilisant l’adresse mail interim@qapa.com.

Dans les deux cas, QAPA s’engage à traiter toute demande dans un délai de 2 jours ouvrés.

V. Contraintes de sécurité

5.1 Localisation de l’hébergement

Le site QAPA est hébergé par Microsoft Azure dans le cloud.

VI. Sécurisation des données

Les données sont cloisonnées pour ne pas être exposées. Elles se trouvent dans un VLAN dédié au service et une connexion à un VPN est nécessaire pour y accéder. Elles ne sont accessibles que depuis notre infrastructure. Il n’y a pas d’accès extérieur sur les bases de données ou sur les serveurs utilisés par la solution.

VII. Sécurisation des interfaces

Les interfaces identifiées sont :

  • Fourniture des offres à indexer dans la CRM,
  • Envoi des pièces candidats dans la CRM
  • Recherche d’offres via l’API de Site QAPA.
  • Envoi des informations via des interfaces de dématérialisation (contrats, bulletins, relevés d’heures)

Les flux liés à ces interfaces transitent, en plus d’un VPN, via des protocoles sécurisés et cryptés de bout en bout :

  • HTTPS
  • SFTP

VIII. ANNEXE

Accord de confidentialité QAPA. Accessible depuis l’espace client du site QAPA. En cochant cette case, le candidat reconnait avoir pris connaissance et accepte les Infos légales.