Le but de ce guide est d'examiner les fonctionnalités de CommunityWFM concernant les droits des personnes concernées par les données, ainsi que les processus de soumission et de réponse à l'exécution des demandes de droits des personnes concernées par les données.
Tutoriel vidéo (5:21)
Une brève introduction aux règlements sur la protection des données
Ces dernières années, de nombreux corps législatifs ont créé des lois régissant l'utilisation et la distribution des données personnelles des utilisateurs d'un site web ou d'une application. Les exigences initiales ont émergé dans le Règlement général sur la protection des données (RGPD) adopté par l'Union européenne en 2018, mais plus récemment, d'autres pays ainsi que plusieurs États individuels aux États-Unis ont adopté les principes fondamentaux de la législation. En mars 2025, aucune loi fédérale sur la confidentialité des données n'existe dans la législation fédérale américaine, mais de nombreux États (Californie, Colorado, Connecticut, Delaware, Floride, Iowa, Montana, Nebraska, New Hampshire, New Jersey, Oregon, Texas, Utah et Virginie) ont adopté des lois sur la protection des données similaires au RGPD.
Le but de cette législation est de s'assurer que les utilisateurs de services en ligne sont conscients et consentent à l'utilisation de leurs données personnelles et impose des exigences pour le stockage et la transmission des données personnelles vers et depuis le service en ligne.
Personnes concernées par les données
Génériquement, une « personne concernée par les données » est tout utilisateur d'un service en ligne (site web ou application web) qui collecte ou traite des informations personnellement identifiables (IPI). Les IPI incluent toute information pouvant identifier un utilisateur de la plateforme en tant que personne individuelle et incluent (mais ne se limitent pas à) des points de données tels que :
- Prénom et nom de famille
- Dates liées à la personne comme la date de naissance ou la date d'embauche
- Informations de crédit
- Informations de contact (numéros de téléphone, adresses, adresses e-mail, etc.)
- Photos
- Données d'utilisation (c'est-à-dire, historique d'activité dans une application web)
Les droits des personnes concernées par les données peuvent varier entre les différentes lois sur la protection des données, mais généralement la liste des droits des personnes concernées par les données inclut :
- Le droit d'être informé sur le type d'informations personnelles qu'une organisation détient sur un individu. Ce droit est généralement abordé par le biais de politiques de confidentialité en ligne.
- Le droit d'accéder aux informations personnelles. Ce droit est généralement abordé en créant une exportation des données personnelles.
- Le droit de rectification. Cela signifie que les personnes concernées peuvent contester l'exactitude de leurs informations personnelles et demander à une organisation de mettre à jour ou de corriger les informations personnelles.
- Le droit à l'effacement. C'est le droit qui comporte le plus d'exemptions et d'exceptions, ce qui signifie qu'il y a plusieurs raisons pour lesquelles les clients et/ou CommunityWFM peuvent choisir ou être tenus de refuser ces demandes. Ce n'est pas parce qu'un individu demande que ses informations personnelles soient supprimées qu'elles doivent l'être.
- Le droit de s'opposer au marketing direct et à la prise de décision automatisée.
- Le droit à la limitation. Ce droit est une option temporaire s'il y a un litige concernant l'exactitude des informations personnelles ou la légalité de l'utilisation des informations personnelles. Si une organisation n'a plus besoin des informations personnelles mais que la personne concernée a besoin que l'organisation conserve les données personnelles sans les utiliser à d'autres fins, ou si l'organisation envisage d'accorder une demande d'opposition, l'organisation limite le traitement jusqu'à ce que la décision soit prise.
- Le droit à la portabilité des données. Ce droit est similaire au droit d'accès, sauf que ce droit concerne la capacité des personnes concernées à obtenir leurs données personnelles d'une organisation dans un format commun et lisible par machine afin que la personne concernée puisse transmettre ces informations à une autre organisation pour les intégrer dans les systèmes de la deuxième organisation.
En vertu du RGPD et d'autres lois sur la protection des données, les personnes concernées peuvent exercer leurs droits en soumettant une « Demande d'accès de la personne concernée » (DSAR) au fournisseur en ligne. Le RGPD définit un délai de 30 jours pour satisfaire la demande. D'autres lois sur la protection des données peuvent avoir des délais plus courts ou plus longs pour répondre aux demandes des personnes concernées.
Satisfaire les DSAR dans CommunityWFM
CommunityWFM est responsable de vous aider à répondre aux demandes des personnes concernées, mais n'est pas en mesure de satisfaire ces demandes.
CommunityWFM prend en charge la satisfaction directe des DSAR dans l'application par un « défenseur de la confidentialité des données » désigné. Toute DSAR nécessitant une intervention administrative sera satisfaite par le défenseur, sous réserve des exigences de rapidité des règlements.
Le personnel de CommunityWFM n'est pas en mesure de :
- Vous dire si les IIP doivent être supprimées
- Vous dire si les IIP doivent être modifiées
- Vous dire si les IIP doivent être restreintes
- Évaluer la validité d'une DSAR
Encore une fois, le rôle du personnel de CommunityWFM est simplement de vous guider à travers l'interface de l'application une fois que vous avez décidé comment procéder avec la DSAR.
CommunityWFM prend en charge la satisfaction d'une DSAR par deux moyens :
- Les utilisateurs finaux peuvent exercer un droit de manière purement libre-service ; c'est-à-dire qu'aucune intervention administrative n'est requise.
- Les utilisateurs finaux peuvent exercer un droit nécessitant une intervention administrative.
Dans les deux cas, la DSAR est enregistrée dans un tableau d'audit et sera disponible pour examen. Pour toute DSAR nécessitant une intervention administrative, l'application notifiera le défenseur de la confidentialité des données du client en utilisant les canaux de notification établis (tels que les mémos internes, la passerelle de courriel externe, les messages SMS/texto, Teams, Slack ou les appareils mobiles). La responsabilité de satisfaire la DSAR incombe uniquement au défenseur (ou est déléguée à un autre administrateur).
Désignation d'un défenseur de la confidentialité des données
CommunityWFM 5.1 prend en charge la capacité de désigner un utilisateur de niveau administrateur comme défenseur de la confidentialité des données. Dans les Paramètres et préférences globaux, sélectionnez la personne désignée pour répondre et satisfaire aux demandes concernant les demandes d'accès aux données des personnes concernées (DSAR).
La valeur par défaut pour ce champ est le compte de service initial. S'il n'y a pas de défenseur de la confidentialité des données identifié, les messages sont transférés au premier utilisateur du système avec un rôle assigné d'administrateur ou supérieur.
La politique des droits des personnes concernées dans CommunityWFM
CommunityWFM 5.1 inclut la politique des droits des personnes concernées de l'application comme une partie intégrée de l'interface utilisateur. Tout utilisateur de CommunityWFM peut accéder à la politique en naviguant vers le menu personnel (sous le nom d'utilisateur) et en sélectionnant l'option « Infos sur l'application ».
Une nouvelle section « Droits des personnes concernées » inclut un lien vers la politique et un lien pour voir les demandes précédentes.
L'application permet à un utilisateur d'exercer ses droits de personne concernée directement depuis la page « Droits des personnes concernées » (trouvée en cliquant sur « Cliquez ici pour consulter la politique des droits des personnes concernées »). Pour plus d'informations, voir Ressources supplémentaires.
Le droit d'être informé
Quelles informations personnelles Votre Employeur collectera toujours?
- Votre prénom.
- Votre nom de famille.
- Votre identifiant d'employé de l'entreprise.
- Votre adresse courriel d'entreprise.
- Votre lieu de travail principal.
Quelles informations personnelles Votre Employeur collectera parfois?
- Informations relatives aux demandes de congé, y compris les dates, le type de demande et les commentaires.
- Informations relatives aux soldes de congés accumulés.
- Informations relatives à certaines mesures correctives ou plans d'accès restreint, y compris les documents justificatifs et les commentaires.
Quelles informations personnelles pouvez-vous choisir d'accepter ou de refuser (informations personnelles facultatives)?
- Votre photo utilisée dans l'application.
- Votre numéro(s) de téléphone personnel utilisé pour les notifications par message texte.
- Votre adresse(s) courriel personnelle utilisée pour les notifications par courriel.
- Les informations de votre appareil mobile, y compris le système d'exploitation, l'identifiant de l'appareil, le modèle de l'appareil et le fabricant si vous êtes autorisé et choisissez d'utiliser l'application mobile Community Everywhere pour les appareils iOS et Android.
Comment CommunityWFM utilise-t-il les informations ci-dessus?
- Fonctions normales de l'application et de l'entreprise, y compris la planification, les rapports et la notification des utilisateurs des événements importants liés à l'application.
- Les notifications d'événements système importants peuvent être partagées avec des fournisseurs de passerelles tiers (Teams, Slack, Twilio) et peuvent inclure le prénom et le nom, le statut d'approbation des congés et les informations d'accès restreint.
Informations supplémentaires
Ce droit offre la transparence nécessaire entre CommunityWFM et les utilisateurs finaux de l'application en définissant quelles données sont collectées et comment elles sont utilisées. L'application nécessite les informations ci-dessus pour effectuer les fonctions principales liées à la planification et au rapport pour les utilisateurs.
Le droit d'accès
Vous avez le droit d'accéder aux informations qui ont été collectées pour vous en tant qu'utilisateur de l'application. Si vous souhaitez accéder à vos données personnelles, veuillez cliquer sur le lien ci-dessous et fournir les informations pertinentes.
Cliquez ici pour accéder à vos informations personnelles. (À titre d'illustration seulement. Le lien est actif sur la page web).
Informations supplémentaires
Le droit d'accès permet aux personnes concernées de consulter toutes les données personnelles que le service en ligne a collectées à leur sujet. Dans CommunityWFM, cela inclut les informations mentionnées ci-dessus, en plus des affectations de compétences et des champs personnalisés définis au moment de l'installation pour les utilisateurs. Notez qu'il s'agit d'une DSAR en libre-service. Le résultat est une page contenant des valeurs en lecture seule pour toutes les propriétés des agents, similaire à la page « Profil » actuelle accessible aux agents.
Le droit de rectification
Vous avez le droit de demander une correction de toute donnée inexacte collectée par CommunityWFM telle qu'entrée par votre employeur. Si vous souhaitez demander une modification de vos données personnelles, veuillez cliquer sur le lien ci-dessous. Vous devez fournir des détails exacts concernant l'inexactitude des données ainsi que les valeurs corrigées. Notez que votre demande devrait être satisfaite dans les 30 jours suivant la soumission de votre demande.
Cliquez ici pour rectifier vos informations personnelles. (À titre d'illustration seulement. Le lien est actif sur la page web).
Informations supplémentaires
Le droit de rectification permet aux utilisateurs de soumettre des demandes de modifications de leurs données personnelles, soit parce que les données ont changé, soit parce qu'elles sont inexactes. L'exercice de ce droit nécessite que l'utilisateur fournisse des descriptions spécifiques des valeurs inexactes ainsi que les valeurs correctes. Notez que cette demande nécessite l'intervention de l'avocat de la protection des données pour satisfaire la demande.
Le droit à l'effacement
Votre employeur ne garantit pas le droit de vos données à être supprimées à tout moment. L'application conserve vos informations personnelles requises à des fins de rapport historique et de budgétisation.
Cependant, vous pouvez choisir de faire anonymiser vos données une fois que vous n'êtes plus un utilisateur de l'application. De plus, vous pouvez choisir, à tout moment, de faire supprimer toute information personnelle optionnelle de la base de données de l'application. Notez que votre demande devrait être satisfaite dans les 30 jours suivant la soumission de votre demande.
Veuillez vous référer aux options suivantes liées à l'effacement des données.
Cliquez ici pour indiquer que vous souhaitez que vos données personnelles soient anonymisées à la cessation de votre emploi.
Cliquez ici pour supprimer toutes les informations personnelles facultatives. (À titre d'illustration seulement. Le lien est actif sur la page web).
Informations supplémentaires
Le droit à l'effacement entre en conflit avec le besoin de conserver l'historique des données d'horaire et de conformité à des fins de rapports agrégés, la capacité de fournir nos services, et parfois avec d'autres lois. Par conséquent, ni les clients ni CommunityWFM ne soutiennent l'effacement complet des données d'un utilisateur à la suite d'une DSAR.
Cependant, CommunityWFM soutiendra deux options pour satisfaire le droit à l'effacement. En bref, anonymiser les données d'un utilisateur obscurcit suffisamment les données de l'utilisateur de manière à empêcher à jamais quiconque d'identifier la personne réelle représentée par cet utilisateur. Voir Détails supplémentaires sur les algorithmes d'anonymisation de CommunityWFM. Notez que l'anonymisation des données nécessite l'intervention de l'agent de protection des données.
La suppression de toutes les données personnelles supprimera immédiatement tous les points de données facultatifs décrits dans la règle du droit à l'information, y compris les photos des utilisateurs, toute information sur les appareils (appareil mobile, numéros de téléphone, etc.) et toute adresse courriel personnelle.
Notez que la suppression de toutes les informations personnelles facultatives ne nécessite pas l'intervention de l'agent de protection des données.
Le droit de restreindre le traitement automatique des données
Votre employeur ne garantit pas le droit de restreindre le traitement automatique des données. Le but fondamental de l'application est d'automatiser la génération d'horaires ainsi que de gérer (approuver ou refuser) les demandes de congé. Dans l'intérêt de l'efficacité, l'application met en œuvre des processus automatisés pour atteindre ces résultats. Par conséquent, les utilisateurs de l'application ne sont pas éligibles pour des activités de traitement de données restreintes.
Le droit à la portabilité des données
Vous avez le droit de récupérer dans un format lisible par machine les informations que votre employeur a collectées pour vous en tant qu'utilisateur de l'application. L'application vous permet d'exporter vos données personnelles dans un format de fichier de valeurs séparées par des virgules (CSV). Cependant, l'exportation de données restreint l'accès aux informations confidentielles ou exclusives de l'entreprise.
Cliquez ici pour demander vos informations personnelles. (À titre d'illustration seulement. Le lien est actif sur la page web).
Informations supplémentaires
Le droit à la portabilité des données permet théoriquement de déplacer les données d'un utilisateur d'une plateforme à une autre. Bien que cela ne soit pas une réalité pratique pour le type de données collectées pour tout utilisateur, l'application soutient le droit de récupérer les informations personnelles dans un fichier CSV. L'application exporte toutes les informations trouvées dans la section « Droit à l'information » vers un fichier CSV en utilisant l'identifiant d'agent attribué par le système comme nom de fichier. Notez qu'un message d'avertissement apparaîtra pour alerter l'utilisateur que, une fois les données exportées, CommunityWFM n'est plus responsable de leur protection.
Notez que l'exportation des informations personnelles de l'utilisateur nécessite l'intervention du défenseur de la vie privée des données. Cela vise à garantir que le fichier exporté ne contient pas d'informations confidentielles.
Le droit de s'opposer dans certaines conditions
Vous avez le droit de vous opposer au traitement des données personnelles au sein de CommunityWFM par votre employeur. Cependant, pour fonctionner, l'application doit traiter les informations personnelles requises décrites ci-dessus. Notez que CommunityWFM ne distribue aucune donnée personnelle à des organisations de marketing direct.
Le droit de restreindre le traitement
Votre employeur ne garantit pas explicitement le droit de restreindre le traitement. Si vous estimez avoir le droit de demander la restriction du traitement des données, veuillez contacter votre défenseur de la vie privée des données. Le défenseur de la vie privée des données de votre système est WFMSG, Admin A.
Informations supplémentaires
Le droit de restreindre le traitement est un processus « manuel » au sein de l'application, et donc la politique des droits des personnes concernées oriente les utilisateurs vers le défenseur de la vie privée des données.
Améliorations du profil utilisateur
Community 5.1 offre de nouvelles fonctionnalités pour faciliter la conformité au RGPD en faisant des droits des personnes concernées un élément de premier plan du profil utilisateur. Notez la nouvelle tuile de fonctionnalité intitulée « Droits des personnes concernées » qui servira de point de départ pour des fonctionnalités supplémentaires liées aux droits des personnes concernées.
Répondre à une demande
Lorsque vous recevez une notification qu'un utilisateur a fait une demande, accédez au profil personnel de la personne, sélectionnez Afficher les options des droits des personnes concernées, puis choisissez parmi les options.
Masquer les données de cet utilisateur
Cette option permet au défenseur de la vie privée des données de nettoyer ou de masquer les données de l'utilisateur pour empêcher l'identification, sous réserve des règles de l'algorithme de masquage des données sélectionné dans les Paramètres globaux & préférences.
** Le masquage des données utilisateur est permanent et ne peut pas être inversé **
Lorsque l'utilisateur clique sur « Masquer les données de cet utilisateur », la fenêtre de dialogue suivante apparaît :
Voir Algorithmes de masquage des données pour plus de détails sur les différents algorithmes de masquage des données disponibles dans l'application.
Si un agent demande que ses données soient masquées à la fin de l'emploi, la demande est automatiquement marquée comme terminée, et lors de la création d'une transition d'emploi, vous verrez un message concernant la demande.
Exporter les données de cet utilisateur
Cette option existe pour faciliter le droit d'un utilisateur à la portabilité des données et exige que le défenseur de la vie privée exporte l'information vers un fichier (comme décrit précédemment) et la fournisse à l'utilisateur demandeur dans les 30 jours suivant la demande. Notez que la période de réponse de 30 jours est dictée par les lois sur la protection de la vie privée applicables et est un paramètre configurable dans CommunityWFM. Pour modifier l'intervalle de réponse, un représentant des services techniques devra avoir accès à la base de données de l'application. La capture d'écran suivante montre la page d'exportation avec deux options pour l'exportation – « Télécharger en CSV » et « Télécharger en XLSX ». Le téléchargement CSV crée un fichier texte simple sans mise en forme tandis que le téléchargement XLSX crée un fichier Excel formaté.
Afficher les demandes de confidentialité des données
Cette option permet au défenseur de la vie privée de revoir les DSAR pour un utilisateur spécifique. CommunityWFM créera automatiquement des demandes de confidentialité des données lorsqu'un utilisateur clique sur un lien ou soumet une demande tout en exerçant l'un des droits des personnes concernées décrits précédemment. Cela inclut l'exercice de ces droits qui ne nécessitent pas l'intervention du défenseur de la vie privée.
Cliquer sur « Afficher les demandes de confidentialité des données » affiche cette boîte de dialogue :
Algorithmes de masquage des données
CommunityWFM prend en charge une variété d'algorithmes de masquage des données. Notez que l'algorithme de masquage des données est un paramètre global et s'appliquera à toutes les opérations de masquage des données pour tous les utilisateurs.
Anonymisation complète
Cet algorithme efface les données personnelles pour toute information pouvant servir d'identifiant à un utilisateur. Ceci est permanent et ne peut pas être annulé !
| Propriété des données | Méthode d'effacement |
| Prénom | 10 caractères aléatoires |
| Nom de famille | 10 caractères aléatoires |
| Initiale du deuxième prénom | Valeur vide / NULL |
| Date d'embauche | 01 janv. 1900 |
| Affectation du superviseur | Aucune affectation – Valeur NULL |
| Valeur de départage | 0 |
| Adresse courriel | Valeur vide ou NULL |
| Titre | Valeur vide ou NULL |
| Fuseau horaire | Valeur NULL |
| Propriétés de profil personnalisées | Toutes retournées à une valeur vide ou NULL |
Autres propriétés
Notez que les affectations d'activités doivent être conservées afin de satisfaire aux exigences de rapport. Cependant, l'application supprime définitivement les points de données supplémentaires suivants à la suite de l'anonymisation complète :
- Préférences d'horaire
- Disponibilité d'horaire
- Affectations de groupes d'utilisateurs
- Demandes de congé en attente
- Informations sur l'appareil (numéros de mobile ou identifiants d'appareils mobiles)
- Adresses courriel externes
- Détails du plan d'action restreint
- Transactions d'horaire (échanges, retraits, dons, etc.)
- Journaux de synchronisation des agents, adhésion (en tant que source ou cible directe)
- Participation au calendrier de congés
- Participation ASAP
- Notifications, messages ou rappels contextuels existants
- Connexion à la source de données (facultatif – cela peut être configuré pour utiliser une connexion anonymisée pour les rapports de conformité futurs)
- Affectations de modèles d'horaire
- Liste des éléments « À faire »
Notes supplémentaires
L'anonymisation complète empêchera toute modification ultérieure du compte utilisateur (profil) pour garantir que l'utilisateur ne puisse plus avoir accès au système et qu'aucun utilisateur (même pas un super utilisateur ou un administrateur) ne puisse « réactiver » un utilisateur anonymisé.
L'administrateur effectuant la fonction de masquage des données a la possibilité de créer automatiquement une transition d'emploi vers l'inactivité afin de « désactiver » l'utilisateur.
Il existe une piste d'audit qui enregistre qui a effectué le masquage et quand. C'est le seul endroit dans le système qui conserve le nom de l'agent.
Anonymisation partielle
Cet algorithme offre un degré d'obfuscation similaire à l'algorithme d'anonymisation complète mais laisse le profil utilisateur dans un état modifiable.
Pseudonymisation
Cet algorithme nettoie les données mais d'une manière qui réduit, sans éliminer, la capacité de lier les données à un utilisateur. Les propriétés et la méthode de nettoyage des données sont les suivantes :
| Propriété des données | Méthode de nettoyage |
| Prénom | L'identifiant utilisateur attribué par le système (attribué par le système de GDT) |
| Nom de famille | L'identifiant utilisateur attribué par le système (attribué par le système de GDT) |
| Initiale du deuxième prénom | Valeur vide ou NULL |
| Date d'embauche | Ne change pas |
| Affectation du superviseur | Ne change pas |
| Valeur de départage | Ne change pas |
| Adresse courriel | L'identifiant utilisateur attribué par le système concaténé avec le domaine de l'adresse courriel existante |
| Titre | Valeur vide ou NULL |
| Fuseau horaire | Ne change pas |
| Propriétés de profil personnalisées | Toutes retournées à une valeur vide ou NULL |
Autres propriétés
Notez que les affectations d'activités doivent être conservées pour satisfaire aux exigences de rapport. Cependant, l'application supprime définitivement les points de données supplémentaires suivants en raison de la pseudonymisation :
- Affectations de groupes d'utilisateurs
- Demandes de congé en attente
- Informations sur l'appareil (numéros de mobile ou identifiants d'appareils mobiles)
- Adresses courriel externes
- Détails du plan d'action restreint
- Transactions d'horaire (échanges, retraits, dons, etc.)
- Journaux de synchronisation des agents, adhésion (en tant que source ou cible directe)
- Participation au calendrier de congés
- Participation ASAP
- Notifications, messages et rappels contextuels existants
Notes supplémentaires
La pseudonymisation laissera le profil utilisateur dans un état modifiable, similaire à l'anonymisation partielle, de sorte que, si désiré, une modification du profil soit possible.
Ressources supplémentaires
Si vous souhaitez lire le texte complet du RGPD :
Si vous souhaitez lire le guide complet de conformité au RGPD :
Guide complet de conformité au RGPD
Si vous souhaitez lire spécifiquement sur les droits des personnes concernées :