top of page

Politique de Protection
des Données Personnelles
dans les Mandats RH

CATÉGORIE III : POLITIQUE 11

Date d'entrée en vigueur : 01 octobre 2025

Version : v3.0

Applicable à : Tous les membres de l'équipe NexaRH.

Juridictions couvertes : Canada (Québec), France, États-Unis et toute juridiction où NexaRH opère pour ces clients internationaux.

RGPD, Loi 25 (Québec), CCPA (California), données sensibles à faible probabilité, impact élevé. 

 

11.1 Principe de Précaution

  • Bien que NexaRH ne collecte ni ne traite habituellement de données RH individuelles dans le cadre de ses mandats de conseil en stratégie, il existe des situations où de telles données peuvent être rencontrées de façon incidente : lors d'audits de systèmes SIRH, de revues de configuration, d'analyses de processus avec données de démonstration, ou lors de présentations clients incluant des données d'employés.

  • Ce scénario est de faible probabilité mais d'impact potentiellement élevé. Le principe de précaution s'impose.

 

11.2 Cadre Réglementaire Applicable

  • (Loi sur la protection des renseignements personnels et les documents électroniques, Canada)

  • Loi 25 (Québec, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) en vigueur depuis septembre 2023

  • (Règlement général sur la protection des données, UE) applicable pour les clients européens

  • (California Consumer Privacy Act) applicable pour les clients américains concernés

 

11.3 Obligations en Cas de Contact avec des Données Personnelles RH

  • Signaler immédiatement à la direction toute exposition non anticipée à des données personnelles d'employés d'un client.

  • Ne jamais copier, extraire ou conserver ces données sans autorisation écrite explicite du client et sans base légale valide.

  • Traiter ces données exclusivement dans les environnements approuvés par NexaRH (voir Politique 9).

  • Demander au client la pseudonymisation ou l'anonymisation des données avant tout partage aux fins du mandat.

  • Ne jamais croiser les données RH d'un client avec des informations provenant d'autres sources sans autorisation.

 

11.4 Obligations Contractuelles

Lorsqu'un mandat implique une probabilité de contact avec des données personnelles, NexaRH inclut dans son contrat une clause de sous-traitant de données (Data Processing Agreement ou DPA) conforme aux exigences du RGPD et de la Loi 25, précisant : les finalités du traitement, les mesures de sécurité, les durées de conservation et les droits des personnes concernées.

 

11.5 Gestion des Incidents

Tout incident impliquant des données personnelles RH doit être signalé à la direction dans les 24 heures. NexaRH notifiera le client et les autorités compétentes dans les délais légaux (72h pour le RGPD ; délai raisonnable selon la Loi 25).

 

11.6 Formation

Tout collaborateur susceptible d'être impliqué dans un mandat touchant à des données RH sera formé aux bases de la protection des données personnelles avant le début du mandat.

bottom of page