Protection des données personnelles

A. LE RESPONSABLE DE TRAITEMENT

Le CGPO, ayant son siège social à L-1855 Luxembourg, 10, avenue John F. Kennedy, est le responsable du traitement.

À ce titre, le CGPO est responsable de la manière dont il recueille, utilise, partage, stocke et protège vos données personnelles.

Le responsable du traitement peut être contacté à l’adresse suivante :

Centre de gestion du personnel et de l'organisation de l'État

Responsable du traitement

10, avenue John F. Kennedy

B.P. 1204

L-1012 Luxembourg

B. LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO):

Le DPO peut être contacté à l’adresse suivante :

Ministère de la Fonction publique

A l'attention du délégué à la protection des données

10, avenue John F. Kennedy  L-1855 Luxembourg

Courriel : dpo@mfp.etat.lu (uniquement pour les questions en relation avec la protection des données)

C. CATEGORIE DE DONNEES A CARACTERE PERSONNEL ET FINALITE DES TRAITEMENTS

Selon le type de finalité poursuivie, les données personnelles suivantes sont collectées et traitées dans le cadre de nos activités :

• Données relatives à votre état civil et à votre identité, telles que nom, prénom, date de naissance, sexe, nationalité, numéro d'identification national, adresse postale, adresse email, numéro de téléphone, pièce d’identité, et/ou autre document administratif qui permet de vous identifier.
  
• Données d'identification électronique en cas d’accès à une application du CGPO, par exemple: adresse IP, cookies et adresse électronique.
  
• Données financières, par exemple: RIB, IBAN, informations relatives à votre niveau de rémunération.
• Données médicales, par exemple: certificat d’aptitude, certificat médical.
• Données relatives à la composition de votre ménage, telles que mariage ou forme de cohabitation, historique marital, membres de la famille.
  
• Données relatives à votre affiliation.
• Données relatives à votre vie professionnelle et plus particulièrement les informations indiquées dans votre curriculum vitae. Par exemple, langues maîtrisées, qualifications professionnelles, employeur, titre et description de poste, date de recrutement, lieu de travail, certificats d'études et diplômes, etc.
  
• Données relatives au casier judiciaire, en lien avec le recrutement et dans les limites permises par la réglementation applicable.
• Données relatives aux réclamations et plaintes.
• Toute autre donnée personnelle que vous décidez de communiquer au personnel du CGPO.

Les finalités poursuivies sont les suivantes :

• Gestion des services assurés par le CGPO
• Gestion des candidatures à travers le portail GovJobs
  • Organisation de l’épreuve d’aptutude générale et d’épreuves spéciales.
    
  • Appréciation des aptitudes et compétences professionnelles.
    
  • Communication dans le cadre du processus de recrutement.
    
  • Réponse à vos demandes d’informations.
    
  • Respect par le CGPO de ses obligations légales et réglementaires applicables, notamment de gérer les candidatures.
• Gestion des candidatures pour un apprentissage dans le cadre de l’obtention d’un diplôme d’aptitude professionnelle (DAP), d'un stage ou d'un emploi étudiant
  
  • Appréciation des compétences et aptitudes.
    
  • Communication dans le cadre du processus de recrutement.
    
  • Réponse à vos demandes d’informations.
    
  • Respect par le CGPO de ses obligations légales et réglementaires applicables, notamment de gérer les candidatures.
• Gestion des carrières du personnel
  • Gestion des congés.
    
  • Gestion des formations.
    
  • Suivi du temps de travail.
    
• Gestion des rémunérations
  • Calcul des rémunérations.
  • Calcul des diverses primes ou indemnités.
    
  • Calcul d'une indemnité compensatoire pour raison de santé.
    
  • Calcul et gestion de l'allocation de famille.
    
  • Calcul et gestion de subvention d'intérêt.
• Établissement des fiches de salaires
• Gestion des pensions
  • Calcul des pensions.
    
  • Contrôles au cours de la pension.
    
• Établissement des certificats de rémunération
• Réalisation de statistiques pour effectuer le suivi et le pilotage des actions, la mise en œuvre de politiques de ressources humaines et réaliser des évaluations

D. BASE LÉGALE DES TRAITEMENTS

Le raisonnement général du CGPO sur le choix de la base légale est le suivant :

1. Le CGPO met en œuvre de nombreux traitements en lien avec la gestion des ressources humaine, tournés vers ses usagers et nécessaires à l’exécution de ses missions telles que définies par la Loi. Il choisit donc la base légale de la mission d’intérêt public pour fonder ces traitements.
2. D’autres traitements mis en œuvre ne sont pas directement nécessaires à l’exercice de ces missions d’intérêt public mais sont rendus obligatoires par différentes lois applicables dans le cadre de son activité (par exemple, certains traitements liés à la sécurité sociale ou la fiscalité). L’obligation légale est retenue pour ces traitements.
3. Certains traitements sont sans rapport particulier avec les spécificités des missions d’intérêt public confiées au CGPO et ne sont pas imposés par des dispositions légales, même s’ils sont mis en œuvre dans le cadre de ses missions (par exemple, certains traitements de gestion documentaire ou d’information interne). Dès lors qu’ils respectent certaines conditions, un intérêt légitime du CGPO peut en constituer la base légale.
4. Pour tout autre traitement particulier, le CGPO peut se fonder sur la base légale du contrat ou du consentement.
5. En revanche, le CGPO ne fonde aucun de ses traitements sur la sauvegarde des intérêts vitaux.

E. LES SOURCES DE VOS DONNÉES À CARACTÈRE PERSONNEL TRAITÉES

En sus des données personnelles que le CGPO collecte directement auprès de vous, le CGPO peut également collecter des données personnelles auprès de l'administration ou de l'organisme sollicitant ses services.

Le CGPO peut, conformément à l’article L.323-1§4, vérifier votre affiliation dans le Registre National des Personnes Physiques RNPP (loi du 19 juin 2013 relatives à l’identification des personnes physiques)

F. SOUS-TRAITANT

Le Centre des technologies de l’information de l’Etat (CTIE) est sous-traitant du CGPO dans le cadre de ses activités en matière informatique. Ce dernier est d’office le sous-traitant des entités étatiques et en tant que tel met en œuvre l’ensemble des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité suffisant et adéquat.

Le CTIE et le CGPO ont recours à des sous-traitants afin de les assister dans les travaux de développement et de la maintenance dans le contexte de la gestion de l’infrastructure informatique. Ces travaux se font dans les règles de l’art et sous le contrôle du CTIE et/ou du CGPO.

G. LES MESURES DE SECURITE

Le responsable de traitement, tout comme ses sous-traitants, met en place des politiques et des mesures techniques et organisationnelles appropriées, afin de protéger la sécurité de vos données personnelles et principalement la confidentialité, l’intégrité et la disponibilité de celles-ci.

Le délégué à la protection des données du CGPO s’occupe à plein temps de la protection des données personnelles, et s'assure que le CGPO est en mesure de démontrer sa conformité à la réglementation applicable en matière de protection des données à caractère personnel.

Le personnel du CGPO est soumis à une obligation de confidentialité. Il est formé et a reçu une documentation pour le sensibiliser et améliorer ses connaissances en matière de protection des données à caractère personnel.

L’accès aux locaux du CGPO est sécurisé par des verrous et un système de vidéosurveillance. Les entrées et sorties des visiteurs sont gérées par un système de QR code permettant de circuler dans des zones limitées. Tous les membres du personnel accédant aux locaux du CGPO sont identifiés à l’aide de badges.

Les documents physiques à caractère personnel traités par le CGPO sont conservés sous clé. Les documents électroniques traités par le CGPO sont sécurisés au travers des différentes applications et politiques de sécurité du Centre des Technologies de l'Information de l'Etat (CTIE) et de l'Agence Nationale de Sécurité des Systèmes Informatiques (ANSSI).

H. QUI PEUT AVOIR ACCÈS À VOS DONNÉES À CARACTÈRE PERSONNEL ?

Les données personnelles traitées par le CGPO ne sont accessibles qu’à ses agents qui ont à connaître de ces informations dans le cadre de leurs fonctions. Dans certains cas limités et circonstanciés, elles peuvent être accessibles aux prestataires autorisés du CGPO et aux autorités légalement fondées à se faire communiquer de telles données (par exemple, autorités policières ou judiciaires et autres institutions de la sécurité sociale). Tous ces destinataires sont tenus de respecter la législation en matière de protection des données qui leur est spécifiquement applicable.

I. LA DURÉE DE CONSERVATION DE VOS DONNÉES À CARACTÈRE PERSONNEL

Vos données à caractère personnel sont conservées pour la durée nécessaire à l’accomplissement des obligations légales et réglementaires du CGPO.

Le CGPO s’engage à ce que les données collectées soient conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et traitées. Ces données peuvent également être conservées dans l’objectif de respecter les délais de prescription et/ou de toutes autres dispositions légales.

J. OÙ SONT TRANSFÉRÉES VOS DONNÉES À CARACTÈRE PERSONNEL ?

Sauf exception dûment justifiée, vos données sont traitées au sein de l’Union Européenne et ne font l’objet d’aucun transfert à destination de pays tiers.

Les informations qui vous concernent recueillies par le biais d’un formulaire du CGPO font l’objet d’un traitement. Chaque formulaire limite la collecte des données personnelles au strict nécessaire (minimisation des données) et indique notamment :

• Quels sont les objectifs du recueil de ces données (finalités).
  
• Si ces données sont obligatoires ou facultatives pour la gestion de votre demande.

En remplissant un formulaire, vous acceptez que vos données personnelles soient traitées dans le cadre de votre demande. Ces informations sont conservées pour la durée nécessaire par le CGPO à la réalisation de la finalité du traitement.

La durée de conservation des données communiquées dépendant de la demande, le CGPO communiquera sur demande au cas par cas cette durée ou les critères qu'il utilisera pour la déterminer.

Les informations recueillies sur base des demandes d’inscription à un évènement du CGPO seront enregistrées dans des bases de données utilisées par le CGPO. Seules les données pertinentes et nécessaires à l’exécution de nos services sont collectées, traitées et conservées dans le strict respect du principe de minimisation des données. Ces données seront traitées par le CGPO comme suit :

A.    Gestion des inscriptions

Après avoir soumis la demande d’inscription à un évènement du CGPO, les données personnelles sont enregistrées dans des bases de données utilisées par le CGPO afin de communiquer tous les documents administratifs nécessaires au suivi de l’évènement (comme l’accusé de réception, la confirmation, le refus, le rappel…).

B.    Préparation de l’évènement

Les données personnelles peuvent être communiquées au(x) intervenant(s) de l’évènement concernée afin de connaître en amont son public. Lorsqu’il s’agit d’un webinaire, les données personnelles peuvent être communiquées à un prestataire de service externe qui gère l’évènement.

C.    Suivi de la participation à l’évènement

Les données personnelles sont traitées afin d’établir des listes de présence, d’afficher les noms et prénoms des participants pour leur assurer une meilleure orientation dans le bâtiment, et de communiquer des documents (matériel pédagogique, attestations de présence, …).

D.    Catégories de données traitées

En vous inscrivant à un événement organisé physiquement, en ligne (webinaire) ou de façon hybride, par le CGPO, vous êtes informé et marquez votre accord concernant le fait :

• que vous êtes susceptibles de figurer sur des photographies et/ou images vidéo prises à l’occasion de l’événement.
  
• que l’évènement est susceptible d’être enregistré (son et/ou image vidéo) et éventuellement diffusé, soit en live, soit après l’évènement.

Si vous entendez vous opposer à ce traitement de vos données, il est recommandé de vous manifester avant l’évènement, auprès du service en charge de l’organisation, afin de trouver, dans la mesure du possible, un moyen pour que vos données ne soient pas reproduites sur les photographies et/ou vidéos. Si l’évènement est tenu en ligne, il vous sera proposé de désactiver votre caméra et/ou votre micro.

Les photos et/ou l’enregistrement de l’évènement et le cas échéant leur diffusion, ont pour finalité la communication relative à l’évènement consistant dans la publication et/ou la diffusion dans les différents supports de communication du CGPO tels que les sites internet, newsletters, réseaux sociaux (LinkedIn, Facebook, Twitter, Instagram), chaines sur une plateforme de partage de vidéo (Vimeo, Youtube), etc.

Compte tenu du caractère imprévisible d’internet et des réseaux sociaux, vous reconnaissez en vous inscrivant à un événement, que les publications effectuées par le CGPO seront partageables par des tiers sur ces mêmes plateformes ou ailleurs, et que le CGPO ne peut pas être tenu responsable de ces actes.

Autres catégories de données personnelles traitées :

• Des données d'identification personnelles qui nous permettent entre autres d'entrer en contact avec vous (par exemple: nom, prénom, numéro de téléphone, adresse email).
  
• Des données personnelles se rapportant à votre Ministère / administration / établissement public.
  
• Des données récoltées par vidéosurveillance et qui concernent votre image.
  
• Des données relatives à votre visite dans nos bâtiments en cas d’utilisation du parking (plaque d’immatriculation, heures d’utilisation d’une place).
  

E.     Catégories de destinataires des données traitées

• Ministère / administration / établissement public de l’agent soumettant la demande d’inscription à un évènement du CGPO,
• Intervenant (s) concerné(s) par l’évènement.

F.     Durée de conservation

Nous conserverons vos données à caractère personnel aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels nous les avons recueillies, pendant la période définie par nos exigences opérationnelles (telles que faciliter la gestion de notre relation avec vous) et pour une durée nous permettant de nous conformer à nos obligations légales.

Ici vous pouvez prendre connaissance des notices d'information sur les différents traitements des données personnelles, que le CGPO est amené à effectuer :

• NOTICE D’INFORMATION EN MATIERE DE SURVEILLANCE VIDEO

Conformément aux dispositions légales et règlementaires en matière de protection des données à caractère personnel et de la vie privée, notamment au RGPD, vous disposez des droits suivants :

Votre demande sera traitée dans les 30 jours calendrier. Si celle-ci est complexe ou que nos services font face à un grand nombre de demandes, ce délai sera prolongé de 60 jours.
Pour exercer vos droits, veuillez renvoyer le formulaire de demande, par e-mail ou par courrier à notre délégué à la protection des données, accompagné d’une copie de votre titre d’identité comportant votre signature.

Formulaire de demande - Droits RGPD

• E-mail : dpo@mfp.etat.lu

• Courrier :
  Ministère de la Fonction publique
  À l'attention du délégué à la protection des données
  10, avenue John F. Kennedy
  L-1855 Luxembourg

Pour toute information complémentaire ou réclamation en relation avec le traitement de vos données personnelles par le CGPO, vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle en matière de protection des données. Au Luxembourg, l’autorité de contrôle est la Commission Nationale sur la Protection des Données (CNPD) :

Commission Nationale de Protection des Données (CNPD)
1, avenue du Rock’n’roll
L-4361 Esch-sur-Alzette
Tél. : (+352) 26 10 60 1
ou site www.cnpd.lu

Observation générale :

Veuillez prendre note que si vous vous opposez à certains traitements de vos données ou demandez que les informations vous concernant soient détruites, le CGPO peut néanmoins conserver et utiliser vos données personnelles dans la mesure où cela est nécessaire afin de nous conformer par exemple aux obligations légales ou la défense de réclamations.