GDPR & D365 for Talent : Parlons de la confidentialité des adresses et des contacts

    Let’s talk about privacy for addresses and contacts par Tom Elliott

    @Tom : Je travaille depuis peu avec une entreprise qui risquait de tomber dans le GDPR, car le partenaire avec lequel ils travaillaient auparavant n’avait pas correctement sécurisé l’adresse de leurs travailleurs et leurs coordonnées pendant la phase de migration des données. Nous l’avons réparé pour eux, mais c’était fastidieux et cela a coûté quelques livres en heures passées à ranger. Il aurait été bien mieux que leur partenaire connaisse l’importance des « lieux privés » lors de la première migration des données.

    De quoi est-ce que je parle? Dans Talent, vous trouverez un certain nombre d’endroits où, si vous ne faites pas attention, vous pouvez exposer des adresses et des informations de contact à des utilisateurs qui ne disposent pas de droits d’accès légitimes sur ces données. Ce n’est pas un bug, le système fonctionne comme prévu et, en tant que partenaire Microsoft, nous sommes très familiers avec cette situation et travaillons avec nos clients pour faire en sorte que cela soit évité. De plus en plus, cependant, les entreprises ont la possibilité de mettre en œuvre Talent elles-mêmes. Ce faisant, sans connaître les tenants et les aboutissants et les pièges potentiels, elles peuvent s’exposer à de tels risques.

    Quels sont les endroits à surveiller?

    En tant que membre de l’équipe des ressources humaines, lorsque je survole le nom d’un travailleur dans une liste, on me présente une carte qui ressemble à ceci:

    Ce que vous voyez ici sous téléphone et courrier électronique est le contact principal de chaque type entré contre le travailleur. Bon si c’est leur contact professionnel, mais pas si bien si c’est leur numéro de téléphone personnel ou leur adresse e-mail et qu’ils n’ont pas donné la permission de le partager avec tout le monde.

    En outre, si vous avez lancé le libre-service et que vous avez laissé l’annuaire des entreprises disponible, votre personnel peut également consulter les contacts de chacun – cela ressemble à ceci. Si vous ne savez pas comment éviter cela:

    Cependant – il y a une dernière place. Ce n’est pas évident Et cela génère le plus gros risque de tous.

    Je ne vais pas publier où le trouver car cela semble assez irresponsable, mais il existe un moyen de faire ressortir le numéro de téléphone principal, le courrier électronique et l’adresse entrés pour chaque personne de votre base de données.

    Ce que vous voyez ici, ce sont les données primaires entrées dans l’  enregistrement de personne . Il s’agit donc du téléphone et de l’email principaux (même si l’objet n’est pas défini sur «entreprise») et de l’adresse principale. Pas l’adresse du bureau comme la carte de travailleur, mais l’adresse principale. Et cela s’applique à toutes les «personnes» de la base de données – pas seulement aux travailleurs. En bref, il s’agit d’un cauchemar pour la protection des données et vous devez savoir comment l’éviter.

    Alors, quel est le moyen de contourner le problème ?

    Cet indicateur  » privé  » qui est disponible sous les options avancées chaque fois que vous entrez une adresse, un courriel ou un numéro de téléphone. Ou une adresse pour un contact personnel comme un bénéficiaire ou un contact en cas d’urgence. Vous pourriez penser que cela ne fait pas grand-chose dans un monde de talents où il n’y a que des utilisateurs RH en arrière-plan, mais c’est tout aussi important ici que dans les Finances et les Opérations. Si vous activez ce drapeau privé, vous protégez cet enregistrement contre tout utilisateur qui n’a pas l’un des rôles utilisateur qui ont été configurés pour afficher des données privées. L’utilisateur moyen ayant un rôle d’employé ne sera pas en mesure d’aller creuser et potentiellement trouver l’adresse personnelle du gestionnaire qui les a fait passer pour une promotion, ou la personne attrayante de l’équipe suivante qui continue à les refuser poliment quand on lui demande de sortir à une date….

    Il y a un onglet sous’Paramètres globaux du carnet d’adresses’ (Administration de l’organisation > Carnet d’adresses global > Paramètres globaux du carnet d’adresses) appelé’Sécurité des emplacements privés’. Ici, vous pouvez définir quels rôles d’utilisateur dans votre environnement Talent doivent pouvoir voir les adresses privées, les e-mails et les téléphones. Habituellement, vous voudriez que vos rôles internes en RH soient ajoutés ici. Ce que vous ne voudriez certainement pas ajouter, ce sont les utilisateurs finaux standard comme les employés et les gestionnaires – ou pire, les utilisateurs du système (qui est le rôle attribué par défaut à tous ceux qui ont un compte utilisateur)

    .

    Ainsi, lorsque vous chargez vos données, prenez le temps de vous assurer que vous définissez ce drapeau privé sur les informations personnelles de votre travailleur. Vous vous en remercierez plus tard.

    Sur une note connexe, je vous recommande fortement de personnaliser les pages de libre service des employés où ces détails sont ajoutés, afin de rendre ce drapeau privé plus visible. Dans la solution standard, le drapeau privé est caché dans les « options avancées » et les utilisateurs risquent fort de ne pas en apprécier l’importance. Rendez-le aussi visible que possible en l’ajustant dans la vue en grille, puis indiquez à vos utilisateurs ce que cela signifie lorsque vous lancez le libre-service:

    Si vous travaillez avec un partenaire pour déployer Talent, renseignez-vous sur ce drapeau privé. S’ils vous disent que cela n’a pas vraiment d’importance dans Talent, car seuls les utilisateurs des ressources humaines y ont de toute façon accès, prenez vos jambes à votre cou. Ou mieux encore, laissez-moi un mot @Tom ou @Thierry

      Leave a Reply

      Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

      error: