ÚOOÚ et le RGPD dans l'industrie tchèque
L'Úřad pro ochranu osobních údajů (ÚOOÚ) a émis 58 décisions d'application en 2024. Les entreprises manufacturières et automobiles représentaient 34 % d'entre elles. C'est la part la plus élevée de tous les secteurs.
Škoda Auto, Toyota, Foxconn et de nombreux équipementiers opèrent en Tchéquie. La conformité au RGPD y nécessite des outils capables de traiter les données locales. La plupart des outils utilisés ne le font pas.
Le problème de l'outil de la maison mère
Les données de l'ÚOOÚ révèlent un schéma d'échec clair. Les sociétés mères à l'étranger déploient des outils PII configurés pour l'étranger dans leurs unités locales.
Quand un grand groupe déploie son outil standard dans un bureau à Prague :
- L'outil est configuré pour des identifiants étrangers. Il ne couvre pas les identifiants locaux.
- Les contrats de travail et les dossiers RH sont en tchèque. L'outil n'a pas été entraîné sur des textes tchèques.
- La précision NER pour le tchèque est inférieure de 23 % à celle de textes équivalents dans d'autres langues. (Guide technique ÚOOÚ, 2024)
- Le rodné číslo est manqué dans les fichiers non marqués comme tchèques.
- Les données de santé et RH des employés sont transférées sans la protection exigée par les autorités.
67 % des entreprises locales utilisent des outils qui manquent les identifiants spécifiques au pays. L'ÚOOÚ tient le responsable du traitement local pour responsable. Le fournisseur de l'outil de la société mère n'est pas mis en cause.
Rodné Číslo : données de catégorie spéciale
Le rodné číslo est un numéro de naissance. Il utilise le format AAMMJJ/XXXX.
- Les chiffres 3–4 codent le mois de naissance. Pour les femmes, 50 est ajouté. Une femme née en janvier affiche 51, et non 01.
- Une barre oblique sépare la date du suffixe.
- Le suffixe comporte 3 à 4 chiffres avec un chiffre de contrôle modulo 11.
Le codage du genre fait de ce numéro une donnée de catégorie spéciale au sens de l'article 9 du RGPD. Il révèle le sexe par construction. Une protection renforcée s'applique.
Trois éléments doivent être couverts. Premièrement, le décalage mensuel pour les femmes — la règle des 50. Deuxièmement, la validation du chiffre de contrôle modulo 11. Troisièmement, les formats à 9 chiffres (avant 1954) et à 10 chiffres.
La reconnaissance de motifs seule ne satisfait pas aux exigences de l'ÚOOÚ.
Autres identifiants clés
Číslo občanského průkazu (OP) : Carte d'identité nationale. Neuf caractères alphanumériques. Présente sur les contrats, les registres de visiteurs et les dossiers médicaux.
IČO : Numéro d'identification d'entreprise à huit chiffres. Apparaît dans les contrats fournisseurs avec les données personnelles des représentants légaux.
DIČ : Format CZ + numéro de naissance (personnes physiques) ou CZ + IČO (sociétés). Le DIČ personnel figure dans les contrats de freelance.
IBAN : Format CZ + 22 chiffres. Courant dans les fiches de paie et les notes de frais.
Où l'industrie est exposée
Dossiers RH : La paie du personnel local inclut des numéros de naissance, des identifiants nationaux et des coordonnées bancaires. Les transferts RH transfrontaliers nécessitent des évaluations d'impact sur les transferts.
Traçabilité qualité : Les systèmes de production automobile associent souvent les enregistrements de défauts à des travailleurs individuels. Ce sont des données personnelles dans la technologie opérationnelle. Elles sont soumises au RGPD même en dehors des systèmes RH.
Données des concessionnaires : Les grands réseaux de constructeurs traitent des dossiers d'essais, des formulaires de financement et des historiques de service. Beaucoup contiennent des numéros de naissance.
Consultez notre guide de conformité RGPD et la vue d'ensemble de la détection PII multilingue pour comprendre comment les lacunes d'identification s'appliquent dans l'UE. Pour la couverture complète des entités, voir la référence des entités.
Le besoin fondamental est clair. La détection des numéros de naissance doit inclure la gestion du décalage de genre et la validation de la somme de contrôle. La NER native pour le traitement de texte est également requise. Les pipelines multilingues doivent être pris en charge.