Charte de protection des données personnelles

COMITE SOCIAL ET ECONOMIQUE D’ENTREPRISE SOCIETE GENERALE

Services Centraux Parisiens

1. OBJET DE LA CHARTE

Le Comité Social et économique d’Entreprise Société Générale des Services Centraux Parisien est respectueux de la réglementation relative à la protection des données personnelles, notamment en ce qui concerne les données personnelles des Salariés et des retraités SG France ainsi que leurs ayants droit (Bénéficiaires).

Dans le contexte de l'évolution de la réglementation relative à la protection des données personnelles liée à l'entrée en vigueur du Règlement Général pour la Protection des Données le 25 mai 2018¹ (le "RGPD"), le CSEE a souhaité formaliser ses engagements et ses modes de fonctionnement au travers de cette Charte de protection des données personnelles.

La Charte vise à informer les bénéficiaires des opérations de traitement dont les données personnelles font l'objet au sein du CSEE, des grands principes de protection applicables à ces traitements et de la manière dont le CSEE respecte les exigences de la réglementation. Elle bénéficie à l'ensemble des bénéficiaires dans leurs relations avec le CSEE et engage l’ensemble des membres de l’équipe administrative ainsi que les élus.

La Charte présente les principes généraux appliqués aux traitements des données personnelles des bénéficiaires et mentionne une information détaillée sur les traitements de ces données.

¹ Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CSEE

2. QUELQUES DEFINITIONS PREALABLES

Les définitions ci-dessous sont appliquées dans la Charte :

1. Bénéficiaire : toute personne ayant bénéficié ou pouvant bénéficier d’une prestation du CSEE, à savoir les ouvrants droit du CSEE et leurs ayants droit au sens du règlement intérieur du CSEE approuvé en séance ordinaire plénière le 27 novembre 2019. En application du règlement intérieur du CSEE sont :
   • Ouvrants droit
     • Tous les salariés SG des Centraux Parisiens
     • Les retraités SG des Centraux Parisiens
     • Les expatriés SG des Centraux Parisiens
   • Ayants droit
     • Le Conjoint marié, pacsé, concubin, déclaré dans le Système d’Information de la RH
     • Les Enfants du salarié selon les critères définis en fonction de la nature des ASC.
       
       
2. Donnée personnelle : toute information se rapportant à un bénéficiaire identifié ou identifiable, c’est à- dire un bénéficiaire qui peut être identifié, directement ou indirectement, notamment par référence à un identifiant ou à un ou plusieurs éléments spécifiques propres à son identité. Les données personnelles peuvent être des coordonnées des ouvrants droit (nom, prénom, date de naissance, adresses postale et mail, coordonnées téléphoniques, CSP…), de ses ayants droit déclarés (y compris les ayants droit majeurs), des coordonnées bancaires ainsi que tout document (feuille d’imposition, CNI, Passeport, attestations diverses, certificat de scolarité, factures et justificatifs divers) transmis directement par le collaborateur pour bénéficier de prestations du CSEE. La donnée personnelle peut être physiquement matérialisée par une valeur dans une base de données mais peut également se matérialiser sous forme d’un document papier ou informatique ou d’une pièce jointe.
   
   Donnée personnelle sensible : au sens de la CNIL, les données sensibles concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. Le RGPD, ajoute trois catégories de données particulières : les données génétiques, les données biométriques et les données faisant apparaître l’orientation sexuelle de la personne.
   
   
3. Traitement : toute opération (ou ensemble d'opérations) effectuée sur des données personnelles, par exemple la collecte, l'organisation, la conservation, la modification, l'utilisation, la transmission, la diffusion ou l'effacement de données personnelles.
   
   
4. Finalité : l'objectif pour lequel est réalisé un traitement de données personnelles. Dans le cadre de la présente Charte, les finalités des traitements des données personnelles sont mentionnées au paragraphe 4.2 ci-dessous.
   
   
5. Destinataire : toute personne physique ou morale, toute autorité publique, tout service ou tout autre organisme qui reçoit communication de données personnelles.
   
   
6. Sous-traitant : toute organisation autre que le responsable de traitement qui traite des données personnelles pour le compte et sur les instructions du responsable de traitement.

3. ROLES MIS EN ŒUVRE PAR LE CSEE POUR LE RGPD

Plusieurs rôles sont explicitement identifiés par le RGPD et déclinés dans son application sur le périmètre du CSEE SG des Centraux Parisiens.

1. Le responsable de traitement
   Le responsable de traitement est le CSEE au sens personne morale, représenté par son secrétaire ou le remplaçant éventuel de ce dernier tel que défini dans le règlement intérieur du CSEE.
   
   
2. Le délégué à la protection des données (Data Protection Officer ou DPO)
   Le DPO du CSEE est chargé de veiller au respect de la réglementation en matière de protection des données personnelles.
   Le DPO s'assure que les traitements des données personnelles réalisés par le CSEE ou ses sous-traitants sont conformes au RGPD. Le DPO est également chargé de la coopération avec les autorités de protection des données personnelles.
   Le DPO exerce ses fonctions en toute indépendance et est soumis à une obligation de confidentialité en ce qui concerne l'exercice de ses fonctions.
   Le DPO est en cours de nomination, dans cette attente une boite email permet de correspondre avec le responsable de traitement.

4. POURQUOI LE CSEE TRAITE-T-IL DES DONNEES PERSONNELLES DE SES BENEFICIAIRES ?

1. Bases légales des traitements des données personnelles
   
   Le RGPD impose que les traitements des données personnelles des bénéficiaires aient une base légale. Ainsi, les traitements ne pourront être mis en œuvre que s'ils reposent sur l'une des justifications suivantes :
   
   
   • Pour permettre l'exécution d'un contrat liant un collaborateur et le CSEE
   • Afin de respecter une obligation légale s'imposant au responsable de traitement.
   • Pour répondre à un intérêt légitime du responsable de traitement. Les intérêts légitimes peuvent notamment être d'ordre juridique, administratif ou technique. Dans le cas où des données personnelles sont traitées sur le fondement d'un intérêt légitime, il est toujours fait en sorte qu'il ne soit pas porté atteinte aux intérêts, droits et libertés fondamentaux des collaborateurs.
   • Dans certaines situations, les traitements des données personnelles sont mis en œuvre à la demande des bénéficiaires, c'est à dire avec leur consentement.
     • Le consentement d'un ouvrant droit à l'utilisation de ses données personnelles doit toujours être libre, informé et explicite.
     • Ce consentement vaut pour les données personnelles de l’ouvrant droit mais aussi de ses ayants droit
     • A tout moment, les bénéficiaires peuvent décider de retirer leur consentement. Toutefois ce retrait n'a pas de conséquences sur la validité des traitements déjà réalisés avec le consentement des collaborateurs. Compte-tenu de la base légale et réglementaire à laquelle le CSEE est lui-même soumis, le retrait ou l’absence de ce consentement pourra priver de toute ou partie des prestations organisées par le CSEE.
   • Les traitements effectués par le CSEE ou ses sous-traitants permettent de proposer, communiquer et gérer les prestations du CSEE en faveur des bénéficiaires et, selon les conditions propres à chaque prestation.
     
     
2. Utilisation des données personnelles des bénéficiaires par le CSEE
   
   L’utilisation des données personnelles des bénéficiaires permet au CSEE de, notamment :
   
   
   • Communiquer et informer les ouvrants droits des prestations proposées par le CSEE
   • Gérer et contrôler l’éligibilité des bénéficiaires aux prestations proposées par le CSEE
   • Gérer les inscriptions des bénéficiaires aux prestations proposées par le CSEE
   • Conformément à sa politique de subvention, gérer et suivre la prise en charge financière par le CSEE et par l’ouvrant droit de tout ou partie des prestations proposées par le CSEE et auxquelles l’ouvrant droit s’est inscrit
   • Permettre au sous-traitant à qui a été confiée la gestion d’une prestation du CSEE d’assurer cette gestion dans le respect de ses propres contraintes administratives et/ou réglementaires
   • Gérer la mise à disposition du système de communication, d’information et de gestion du CSEE ainsi que les droits d’accès et habilitations éventuels associés
   • Répondre aux sollicitations légales de contrôle
   • Répondre aux exigences imposées par la législation ou par le règlement intérieur du CSEE

5. COMMENT LE CSEE TRAITE-T-IL LES DONNEES PERSONNELLES DE SES BENEFICIAIRES ?

1. Principes de protection des données personnelles appliqués par le CSEE
   
   Les données personnelles des bénéficiaires sont traitées dans le respect des principes de protection des données personnelles suivants :
   
   
   • Licéité, loyauté et transparence des traitements : les données personnelles des bénéficiaires sont toujours collectées et traitées sur la base d'une justification particulière (la "base légale").
   • Limitation des finalités : les données personnelles des collaborateurs sont toujours collectées et traitées pour des objectifs déterminés, et ce dès le début du traitement.
   • Minimisation des données : seules sont collectées les données personnelles des bénéficiaires qui sont strictement nécessaires pour atteindre les objectifs prévus.
   • Exactitude : les données personnelles des bénéficiaires sont soit transmises par HRCO, soit directement transmises par l’ouvrant droit à la demande du CSEE pour répondre aux exigences d’attribution, d’éligibilité, de calcul de subvention ou par nécessité administrative, réglementaire ou contractuelle dans le cadre de prestations clairement identifiées.
   • Limitation de la durée de conservation : les données personnelles des bénéficiaires ne sont pas conservées pendant une durée supérieure à celle qui est nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées. Elles peuvent également être conservées ou archivées pour les durées de prescription légale ou réglementaire.
   • Sécurité : les données personnelles des collaborateurs sont conservées et traitées d'une manière garantissant leur sécurité et leur confidentialité.
     
     
2. Destinataires des données personnelles des bénéficiaires
   
   Dans le cadre de la réalisation de ses prestations au profit des bénéficiaires, des tiers peuvent être destinataires ou avoir accès à des données personnelles des bénéficiaires pour les besoins des traitements décrits précédemment telles que Tour-Opérateurs, professionnels du tourisme, professionnels de la culture, fournisseur d’applicatifs informatiques du CSEE , conseils externes, … ou des autorités ou organismes de contrôle (experts comptables, commissaires aux comptes…).
   
   Quand le CSEE fait appel à des sous-traitants les relations sont sécurisées par des garanties contractuelles. En cas de transfert de données personnelles en dehors de l’Espace économique européen, ces garanties peuvent se traduire par des Clauses Contractuelles Type de protection des données personnelles adoptées par la Commission européenne.
   
   Il est précisé que le Commissaire aux Comptes ainsi que l’expert-comptable ont de par leurs fonctions, également accès à l’ensemble des données. Même si la déontologie de leurs métiers leur impose la plus extrême réserve et confidentialité, toutes les dispositions légales ont été prises pour s’assurer du respect du RGPD par ces sociétés, prestataires.
   
   
3. Limite de responsabilité du CSEE
   
   La responsabilité du CSEE en termes de protection des données concerne uniquement les données qui lui sont transmises par HRCO ou par l’ouvrant droit lui-même. Si un bénéficiaire transmet des données directement à un prestataire, y compris dans le cadre d’une prestation proposée par le CSEE, la responsabilité du Comité d’Entreprise ne peut être engagée par l’utilisation ou la gestion qui en seront faites par le prestataire.
   
   Les liens hypertextes établis depuis le site du CSEE ou d’un site partenaire en direction d'autres sites ne sauraient engager la responsabilité du CSEE, notamment s'agissant du contenu de ces sites ou des données fournies par l’ouvrant droit et de l’utilisation qui en est faite. L’attention des ouvrants droits du CSEE est donc attirée sur ce point et le CSEE invite ses ouvrants droits à ne communiquer que les données strictement nécessaires et indispensables.
   
   
4. Communication des données personnelles par les ouvrants droit
   
   La collecte de données personnelles supplémentaires peut être nécessaire pour respecter une obligation légale ou pour l'exécution d'un contrat.
   Par exemple, les ouvrants droits inscrits à un voyage à l’étranger organisé par le CSEE pourront devoir fournir une copie du passeport de chacun de leurs ayants droit participant.
   C’est également le cas pour certaines prestations qui nécessitent la fourniture du relevé fiscal afin de bénéficier du taux de subvention correspondant à la situation du collaborateur et non du taux de subvention minimum.
   Les ouvrants droits sont informés du caractère facultatif ou obligatoire de leurs réponses au moment de la collecte de leurs données personnelles et/ou de celles de leurs ayants droit, et des conséquences du défaut de fourniture de telles données.

6. COMMENT SONT STOCKEES ET SECURISEES LES DONNEES PERSONNELLES DES BENEFICIAIRES ?

1. Sécurité d’accès aux données personnelles
   
   Les solutions utilisées afin de conserver et traiter les données personnelles des bénéficiaires répondent aux exigences du règlement européen sur la protection des Données Personnelles.
   
   La sécurité et la confidentialité des données personnelles des bénéficiaires sont assurées notamment par :
   
   
   • les mesures techniques et organisationnelles mises en place par le CSEE SG (poste de travail et réseau)
   • les mesures techniques et organisationnelles mises en place au nom du CSEE par son sous-traitant du site internet de communication et de gestion CSEE » qui a en charge les infrastructures informatiques d’hébergement et de gestion de l’applicatif du CSEE, et notamment :
     • Le contrôle des accès et des habilitations sur les équipements informatiques permettant les traitements des données personnelles des bénéficiaires. A ce titre, il est rappelé que l’accès au système d’information du CSEE n’est possible, y compris sur le site internet de communication, qu’après renseignement d’un identifiant et d’un mot de passe
     • Des mesures de sécurisation des infrastructures techniques (réseau, serveurs) et des données
     • La limitation des personnes autorisées à traiter des données personnelles en fonction des finalités et des moyens prévus pour chaque traitement
     • Des obligations de confidentialité strictes imposées à ses collaborateurs et à ses propres sous-traitants (hébergeur par exemple)
     • Le chiffrement ou l’anonymisation des données personnelles, tant au niveau de leur transfert que de leur stockage, avec des clés de chiffrements non accessibles à ses collaborateurs
   • les mesures techniques et organisationnelles mises en place par le CSEE lui-même, et notamment :
     • La gestion d’accès et d’habilitations aux différentes composantes de l’application de gestion des activités du CSEE et donc de traitement des données personnelles.
     • Des mesures de sécurisation de l’accès physique aux locaux administratifs du CSEE
     • La limitation des personnes autorisées à traiter des données personnelles en fonction des finalités et des moyens prévus pour chaque traitement
     • Des obligations de confidentialité strictes imposées aux membres de l’équipe administrative du CSEE
       
       
2. Conservation des données personnelles
   
   Toutes les données personnelles sont conservées dans le système d’information du CSEE et hébergées physiquement sur des sites informatiques distincts, situés en France Métropolitaine. Le sous-traitant du CSEE a l’obligation contractuelle de prévenir en amont le CSEE de toute évolution de ce principe et de lui fournir une alternative.
   
   Pendant toute la durée de conservation de ces données personnelles, l'accès aux données personnelles des bénéficiaires est limité aux seules personnes qui doivent y accéder, et qui disposent des habilitations correspondantes, selon les finalités des traitements prévus.
   
   A l'issue de cette durée, les données personnelles des bénéficiaires seront effacées définitivement ou anonymisées de manière irréversible.

7. QUELS SONT LES DROITS DES BENEFICIAIRES EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES ?

Tout ouvrant droit peut faire valoir, à tout moment, ses droits détaillés ci-dessous valables pour lui-même et pour ses ayants droit éventuels dans les limites et conditions prévues par la règlementation relative à la protection des données personnelles :

1. Droit d'accès : les bénéficiaires peuvent obtenir des informations sur la nature, l'origine et l'usage des données personnelles qui les concernent. En cas de transmission de leurs données personnelles à des tiers, les ouvrants droit peuvent également obtenir des informations concernant l'identité des destinataires.
2. Droit de rectification : les bénéficiaires peuvent demander que des données personnelles inexactes ou incomplètes soient rectifiées ou complétées.
3. Droit à l'effacement : les bénéficiaires peuvent demander l'effacement de leurs données personnelles. Le responsable de traitement devra procéder à l'effacement des données personnelles dans les meilleurs délais, sauf dans les cas prévus par la règlementation, en particulier si les données personnelles sont traitées pour respecter une obligation légale ou réglementaire. Il est à noter dans ce cas que l’ouvrant droit ne pourra plus prétendre aux prestations du CSEE, le CSEE étant alors incapable de répondre aux obligations réglementaires auxquelles il est lui-même soumis.
4. Droit d'opposition : les bénéficiaires peuvent s'opposer à certains traitements de leurs données personnelles pour des raisons tenant à leur situation particulière sauf s'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés fondamentaux de l’ouvrant droit. Si le droit d’opposition est exercé par l’ouvrant droit, celui-ci ne pourra plus prétendre aux prestations du CSEE, le CSEE étant alors incapable de répondre aux obligations réglementaires auxquelles il est lui-même soumis.
5. Droit à la portabilité : les bénéficiaires peuvent accéder aux données personnelles les concernant ou concernant leurs ayants droit évetuels directement sur le site internet du CSEE. Ce droit à la portabilité ne peut s’exercer que lorsque le traitement de données personnelles est opéré à la suite du consentement du collaborateur, ou pour les besoins de l'exécution d'un contrat.

Pour exercer ces droits, les bénéficiaires contacteront le Responsable administratif ou le Secrétaire du CSEE. Le CSEE s'engage à ce que l'examen d'une demande soit effectué dans les conditions et les délais prévus par le RGPD.

Les bénéficiaires peuvent également adresser une réclamation à l'autorité de protection des données compétente dans le cas où ils considèrent qu'un traitement de données personnelles ne respecte pas la réglementation sur la protection des données personnelles.

8. LISTE DES DONNEES PERSONNELLES DES PRINCIPALES DONNEES TRAITEES PAR LE CSEE

Selon le type de prestation, le CSEE peut être amené à traiter différents types de données personnelles :

• des données d’identification (nom, prénom, civilité, date de naissance, date de décès, identifiant chez le prestataire) ;
• des données relatives à la vie personnelle (adresse personnelle, téléphone domicile, téléphone portable, adresse mail personnelle, nombre d’ayants droits, nom et prénom des ayants droits, lien des ayants droits avec OD, situation familiale , justificatif fiscaux OD et éventuellement conjoint, CNI, Passeport, certificat de scolarité, justificatif absence longue durée, carte européenne d’assurance maladie, enfant à charge et non à charge, personne à prévenir en cas d’urgence) ;
• des données relatives à la vie professionnelle (matricule, matricule éventuel du conjoint, date d’entrée, date de fin de contrat, nature et statut du contrat de travail, téléphone professionnel, adresse professionnelle site et immeuble ; sigle de l’entité ; classification technicien ou cadre, adresse mail professionnelle, mode envoi courrier postal ou mail) ;
• informations d’ordre économique et financier (coordonnées bancaires ; autorisation de prélèvement SEPA) ;

9. APPLICATION ET MODIFICATION DE LA CHARTE

La présente Charte est applicable à compter de son approbation par le CSEE réuni en séance plénière le 26 novembre 2019.
La Charte est disponible sur le site internet du CSEE. Elle pourra être mise à jour, notamment en cas d'évolution de la réglementation ou des traitements par les membres du bureau du CSEE qui devra en informer le CSEE en séance plénière.

ANNEXE 1 : LES CONTACTS RGPD POUR LE CSEE SG des Centraux Parisiens

Contact Protection des données personnelles pour le CSEE des centraux parisiens : rgpdcsee.centraux@comitesg.com

L'autorité de protection des données compétente visée au chapitre 7 de la Charte est la Commission Nationale de l'Informatique et des Libertés (CNIL), dont le siège se trouve 3 Place de Fontenoy, 75007 Paris.