RH : les conseils pour héberger vos données en sécurité

Il est impossible de dissocier processus de recrutement et collecte de données personnelles. En effet, dès l’instant où une personne candidate, elle est dans l’obligation de transmettre des données personnelles susceptibles de l’identifier en tant qu’individu, comme le nom, le numéro de téléphone, ou l’adresse e-mail et son âge. Si ces données personnelles sont nécessaires pour un processus de recrutement, elles doivent aussi être intégrées dans un cadre juridique et technique précis qui engage la responsabilité de l’employeur. Êtes-vous sûr de bien héberger vos données RH en toute sécurité ? Faisons le point sur la question.

Comment gérer les données personnelles dans le cadre d’un recrutement ?

Pendant un processus de recrutement, les informations collectées doivent seulement être utilisées pour évaluer les compétences d’un candidat pour le poste (qualifications, expérience, etc.). Il est ainsi interdit de demander le numéro de sécurité sociale d’un candidat ou de collecter des informations sur sa famille, ses opinions politiques ou son affiliation syndicale.

A la suite de l’embauche, l’employeur pourra collecter des informations supplémentaires utiles pour :

• La gestion administrative du personnel (ex: type de permis de conduire ou coordonnées en cas d’urgence).
• L’organisation du travail (ex: photo facultative pour annuaires internes et organigrammes).
• Les avantages sociaux proposés par l’employeur (ex: informations sur les ayants droit du salarié).

L’employeur doit protéger les informations et permettre seulement à des personnes autorisées de les consulter, et ce si et seulement si le cadre leur mission légitime l’accès à ces données. Il est d’ailleurs important de noter que les actions sur les données effectuées par les personnes autorisées doivent être enregistrées (elles le sont le plus souvent sous forme de logs par les solutions SIRH ou ATS utilisés).

De plus, un candidat peut obtenir une copie de ses données personnelles sur simple demande sans avoir à la justifier. Si une candidature n’aboutit pas, le recruteur doit informer le candidat de son souhait de conserver le dossier pour lui permettre de demander sa suppression. Enfin s’il n’y a pas de nouvelle action d’un candidat, les données doivent être anonymisées 2 ans après le dernier contact, sauf accord formel du candidat pour une conservation plus longue (source : CNIL).

Les solutions pour sécuriser vos données RH

Alors que la question de la gestion des données personnelles n’a jamais été aussi importante, il est crucial de mettre en place les bons processus et outils au sein de votre organisation. Exemples et solutions concrètes.

La solution la plus efficace : Pseudonymisation et cryptage des données des candidats et collaborateurs

C’est une technique qui consiste à chiffrer les données RH stockées sur les ordinateurs et les serveurs pour les protéger contre les cyberattaques. En cas de fuite, ces données seraient ainsi inutilisables par les pirates. Le cryptage et la pseudonymisation contribuent à protéger les données personnelles des candidats qui sont hébergées chez des acteurs certifiés et reconnus. À noter qu’il est de la responsabilité des sous-traitants et des responsables du traitement des données d’étudier une approche basée sur les risques pour la mise en œuvre d’une solution de pseudonymisation, en prenant en compte la finalité et le contexte global du processus de traitement des données à caractère personnel, ainsi que les niveaux de fonctionnalité et d’évolutivité souhaités.

Disposer d’un ATS ou d’un SIRH qui permettent d’anonymiser automatiquement les données des candidats à distance est une démarche qui s’inscrit dans le cadre d’un respect scrupuleux du RGPD. En effet, en cas d’intrusion, la donnée brute reste inutilisable en l’absence de la clé de chiffrement, vos données candidats restent donc .

Bonne pratique : La sécurisation des accès

« 123456 », « azerty » ou « motdepasse ». Voici les mots de passe les plus utilisés, et surtout les moins sécurisés. Une étude de l’institut Ponemon souligne que 42% des entreprises s’appuient sur des Post-its pour la gestion des mots de passe. Une autre étude de Google menée aux États-Unis montre aussi que 43% des personnes ont partagé leur mot de passe avec quelqu’un. Autant de mauvais exemples à ne surtout pas reproduire. La CNIL recommande une série de bonnes pratiques qui s’appliquent dans toutes les organisations pour choisir le bon mot de passe et sécuriser l’accès aux données de candidats :

• Il doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux.
• Personne ne doit deviner un mot de passe à partir d’une information personnelle (nom de votre chien ou de votre film préféré). C’est la même chose pour le code de votre smartphone : préférez un nombre aléatoire à une année.
• Chaque compte en ligne doit être verrouillé avec un mot de passe propre et unique.
• Évitez à tout prix les post-its, les notes et fichiers textes sur vos téléphones et ordinateurs, leur stockage n’est pas sécurisé pour contenir de telles informations.
• Ne jamais enregistrer les mots de passe dans le navigateur d’un ordinateur partagé.
• Si vous avez de nombreux mots de passe, utilisez un gestionnaire de mots de passe sécurisé.

Enfin, le SSO, ou single sign-on, est une solution tout aussi utile et pertinente. C’est un service d’authentification de session qui permet à un utilisateur d’utiliser un ensemble d’outils et de services à partir de services tiers (voir la définition Wikipédia). Ainsi, votre compte Office 365 ou Google Workspace peuvent sécuriser l’accès à votre ATS.

Sécurisation des flux de données

Aujourd’hui, la plupart des organisations interconnectent de nombreux logiciels (le plus souvent en Saas) et solutions entre eux pour gagner du temps, mais aussi pour réduire les risques de fuites dans les exports/envois de documents.

Pour autant, il est important de vérifier que ce qui est importé par vos utilisateurs ou ce qui transite entre les API des ces logiciels.

Pour l’usage de solutions Saas dans un navigateur web, assurez-vous que vous outils sont compatibles avec les protocoles de sécurité de haut niveau, tels que SSL/TLS (idéalement en utilisant des navigateurs qui supportent les dernières versions de SSL 3.0 et TLS 1.3), pour protéger les données en transit.

Pour les échanges API, assurez-vous qu’elles prennent en compte le SSL, et privilégiez les solutions proposant des tokens à rafraîchir régulièrement ou bien via OAuth 2.0.

Limitation des accès et du risque de phishing

À partir du moment où une donnée est partagée, elle doit être protégée. Pour cela, il faut vous assurer de pouvoir documenter tous les changements et les évolutions dans les données avec lesquelles vous travaillez. Le but est d’éviter les pertes de données, les accès non autorisés, les fuites de données ou les altérations volontaires ou non. Une bonne gestion des permissions couplée à un système de stockage dans le cloud permet de limiter l’accès aux données RH aux personnes autorisées seulement, en utilisant des droits d’accès et des stratégies de contrôle d’accès.

En parallèle, il est nécessaire de former ses équipes à la sécurité des données et à la sensibilisation aux menaces en ligne, afin qu’ils puissent reconnaître et éviter les pièges de phishing et autres attaques en ligne. Une formation en cybersécurité coûte peu par rapport au bénéfice rapporté. En partageant des informations et des bonnes pratiques adaptées aux besoins de vos salariés, votre entreprise peut ainsi prévenir de nombreux incidents. Quelques exemples de sujets sensibles à aborder absolument :

• Identification des emails de phishing : recherchez les erreurs de syntaxe et de grammaire; vérifiez la provenance du message; ne jamais cliquer sur un lien pour se connecter à un organisme connu sans passer par le site officiel ; et contactez le destinataire directement au téléphone si la demande semble inappropriée, suspecte ou inusuelle.
• Installation des applications mobiles : ne jamais télécharger des applications mobiles en dehors des marketplaces officielles (App Store pour iOS et Google Play pour Android). Parce que même sur ces sites officiels, des applications pirates peuvent passer à travers les mailles du filet, il est toujours essentiel d’en vérifier la légitimité auprès de votre direction informatique.
• Connexion sans fil : ne jamais se connecter à un réseau Wi-fi public, quel que soit l’endroit. C’est le meilleur moyen pour qu’un pirate accède à vos données, incluant coordonnées bancaires, mots de passe et fichiers présents sur votre terminal. Une connexion 4G/5G sera beaucoup plus sécurisée et difficile à pirater.

Respect des normes et certifications en vigueur appliquées au recrutement

Pourquoi réinventer la roue si vous avez besoin de cadrer votre politique de sécurité informatique en matière de collecte, de gestion et d’hébergement de données RH ? Il existe des standards de qualité, des normes et des certifications officielles qui permettent d’atteindre un haut niveau de protection. Visez en particulier ces certifications et le respect scrupuleux de ces normes. Voici quelques exemples spécifiques au secteur des RH :

• ISO 27001 : cette norme internationale définit les exigences pour la mise en place d’un système de gestion de la sécurité de l’information. Elle couvre les aspects techniques, organisationnels et juridiques de la sécurité de l’information.
• SOC 2 : élaborée par l’American Institute of CPA, la certification SOC 2 définit les critères de gestion des données des clients sur la base de cinq principes : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Bien que la conformité SOC 2 ne soit pas une obligation pour les fournisseurs de SaaS et de cloud computing, son rôle est très important, en particulier pour les entreprises qui se développent en Amérique du Nord où elle est incontournable.
• RGPD (Règlement général sur la protection des données) : cette réglementation de l’Union européenne s’applique aux entreprises et organisations qui traitent des données à caractère personnel. Elle vise à protéger les droits et les libertés fondamentaux des personnes physiques en matière de protection de leurs données personnelles.

Mise en place de processus et protocoles liés à la cybersécurité

Comment savoir si votre plan de défense est solide ? C’est simple, il faut le mettre à l’épreuve ! Pour cela, il est important d’établir des protocoles de gestion des incidents de sécurité pour gérer rapidement toute violation de sécurité des données RH. Qui fait quoi, quand, et à quel moment ? Vous devez être prêt à gérer tous les scénarios avec des plans d’action de gestion de crise. Pour vous y préparer, vous pouvez réaliser des tests grandeur nature :

• Tests de pénétration pour simuler une attaque informatique contre le système, détecter les vulnérabilités et évaluer la résistance du SI face aux attaques.
• Tests de vulnérabilité pour identifier les faiblesses du système et recommander des mesures de correction.
• Tests de conformité pour vérifier que le système respecte les normes et réglementations en matière de sécurité (par exemple, PCI DSS pour les transactions en ligne).
• Tests de sécurité du code pour vérifier que le code du système ne comporte pas de failles de sécurité.

En parallèle, vos données RH doivent aussi reposer sur des systèmes de sauvegarde redondants pour minimiser les pertes en cas de problème technique ou de cyberattaque.

Tous ces éléments liés à la cybersécurité, à la gestion et à l’hébergement de vos données RH doivent figurer dans un cahier des charges au moment de choisir la bonne solution en matière solution au sein de votre SIRH. Parfois, il vous faudra faire des compromis. Parfois, vous trouverez une solution clé en main capable de répondre à l’ensemble de vos besoins. En externalisant l’hébergement de vos données RH, vous gagnez du temps en confiant cette tâche à des experts qui mettent régulièrement à jour leur stratégie. De quoi vous concentrer sur votre cœur de métier : le recrutement et la gestion des talents !

Crédit photo : Unsplash