Dernière modification le
Protection des données personnelles
INTRODUCTION
Le Centre de gestion du personnel et de l'organisation de l'État (CGPO) est l'organisme central de gestion du personnel étatique. Il intervient dans l'entièreté du cycle de vie de la gestion du personnel à partir du recrutement initial, en passant par le calcul et la gestion des rémunérations et carrières des agents actifs jusqu'à la gestion des dossiers d'agents retraités et autres bénéficiaires d'une pension. À côté des attributions au niveau de la gestion des ressources humaines, le CGPO assiste également les administrations dans leurs démarches et projets d'organisation, de qualité organisationnelle et de gestion des processus métier. Il est placé sous la tutelle du ministre ayant la Fonction publique dans ses attributions.
Aux fins de l’accomplissement des missions qui lui sont confiées par la loi du 25 juillet 2018 portant création du Centre de gestion du personnel et de l’organisation de l’État, le CGPO peut être amené à traiter des données à caractère personnel vous concernant (ci-après dénommé « LOI »).
Le CGPO, en tant qu’administration traitant des données à caractère personnel, est tenue de respecter les obligations qui lui incombent en sa qualité de responsable de traitement.
L’objectif de cette notice est de vous informer comment le CGPO, en sa qualité de responsable de traitement, utilise et gère vos données à caractère personnel.
Quelques définitions utiles
Personne concernée
La personne concernée est toute personne physique identifiée ou identifiable dont les données à caractère personnel font l’objet d’un traitement.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Données à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement
Le traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Responsable du traitement
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.
Sous-traitant
Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Délégué à la protection des données (DPO)
Le délégué à la protection des données est la personne physique ou morale qui contrôle le respect des mesures de protection des données à caractère personnel.
Destinataire
Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière ne sont pas considérées comme des destinataires.
Autorité de contrôle
L’autorité de contrôle est l’autorité publique indépendante chargée de surveiller l’application du Règlement UE 2016/679 du 27 avril 2016. Elle est entre autres dotée de la mission de recevoir les réclamations des personnes concernées par un traitement de données personnelles.
Au Luxembourg, l’autorité de contrôle est la Commission nationale pour la protection des données (CNPD).
1. DISPOSITIONS COMMUNES À TOUS LES TRAITEMENTS
A. LE RESPONSABLE DE TRAITEMENT
Le CGPO, ayant son siège social à L-1855 Luxembourg, 10, avenue John F. Kennedy, est le responsable du traitement.
À ce titre, le CGPO est responsable de la manière dont il recueille, utilise, partage, stocke et protège vos données personnelles.
Le responsable du traitement peut être contacté à l’adresse suivante :
Centre de gestion du personnel et de l'organisation de l'État
Responsable du traitement
10, avenue John F. Kennedy
B.P. 1204
L-1012 Luxembourg
B. LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO):
Le DPO peut être contacté à l’adresse suivante :
Ministère de la Fonction publique
A l'attention du délégué à la protection des données
10, avenue John F. Kennedy L-1855 Luxembourg
Courriel : dpo@mfp.etat.lu(uniquement pour les questions en relation avec la protection des données)
C. CATEGORIE DE DONNEES A CARACTERE PERSONNEL ET FINALITE DES TRAITEMENTS
Selon le type de finalité poursuivie, les données personnelles suivantes sont collectées et traitées dans le cadre de nos activités :
- Données relatives à votre état civil et à votre identité, telles que nom, prénom, date de naissance, sexe, nationalité, numéro d'identification national, adresse postale, adresse email, numéro de téléphone, pièce d’identité, et/ou autre document administratif qui permet de vous identifier.
- Données d'identification électronique en cas d’accès à une application du CGPO, par exemple: adresse IP, cookies et adresse électronique.
- Données financières, par exemple: RIB, IBAN, informations relatives à votre niveau de rémunération.
- Données médicales, par exemple: certificat d’aptitude, certificat médical.
- Données relatives à la composition de votre ménage, telles que mariage ou forme de cohabitation, historique marital, membres de la famille.
- Données relatives à votre affiliation.
- Données relatives à votre vie professionnelle et plus particulièrement les informations indiquées dans votre curriculum vitae. Par exemple, langues maîtrisées, qualifications professionnelles, employeur, titre et description de poste, date de recrutement, lieu de travail, certificats d'études et diplômes, etc.
- Données relatives au casier judiciaire, en lien avec le recrutement et dans les limites permises par la réglementation applicable.
- Données relatives aux réclamations et plaintes.
- Toute autre donnée personnelle que vous décidez de communiquer au personnel du CGPO.
Les finalités poursuivies sont les suivantes :
- Gestion des services assurés par le CGPO
- Gestion des candidatures à travers le portail GovJobs
- Organisation de l’épreuve d’aptutude générale et d’épreuves spéciales.
- Appréciation des aptitudes et compétences professionnelles.
- Communication dans le cadre du processus de recrutement.
- Réponse à vos demandes d’informations.
- Respect par le CGPO de ses obligations légales et réglementaires applicables, notamment de gérer les candidatures.
- Organisation de l’épreuve d’aptutude générale et d’épreuves spéciales.
- Gestion des candidatures pour un apprentissage dans le cadre de l’obtention d’un diplôme d’aptitude professionnelle (DAP), d'un stage ou d'un emploi étudiant
- Appréciation des compétences et aptitudes.
- Communication dans le cadre du processus de recrutement.
- Réponse à vos demandes d’informations.
- Respect par le CGPO de ses obligations légales et réglementaires applicables, notamment de gérer les candidatures.
- Appréciation des compétences et aptitudes.
- Gestion des carrières du personnel
- Gestion des congés.
- Gestion des formations.
- Suivi du temps de travail.
- Gestion des congés.
- Gestion des rémunérations
- Calcul des rémunérations.
- Calcul des diverses primes ou indemnités.
- Calcul d'une indemnité compensatoire pour raison de santé.
- Calcul et gestion de l'allocation de famille.
- Calcul et gestion de subvention d'intérêt.
- Établissement des fiches de salaires
- Gestion des pensions
- Calcul des pensions.
- Contrôles au cours de la pension.
- Calcul des pensions.
- Établissement des certificats de rémunération
- Réalisation de statistiques pour effectuer le suivi et le pilotage des actions, la mise en œuvre de politiques de ressources humaines et réaliser des évaluations
D. BASE LÉGALE DES TRAITEMENTS
Le raisonnement général du CGPO sur le choix de la base légale est le suivant :
- Le CGPO met en œuvre de nombreux traitements en lien avec la gestion des ressources humaine, tournés vers ses usagers et nécessaires à l’exécution de ses missions telles que définies par la Loi. Il choisit donc la base légale de la mission d’intérêt public pour fonder ces traitements.
- D’autres traitements mis en œuvre ne sont pas directement nécessaires à l’exercice de ces missions d’intérêt public mais sont rendus obligatoires par différentes lois applicables dans le cadre de son activité (par exemple, certains traitements liés à la sécurité sociale ou la fiscalité). L’obligation légale est retenue pour ces traitements.
- Certains traitements sont sans rapport particulier avec les spécificités des missions d’intérêt public confiées au CGPO et ne sont pas imposés par des dispositions légales, même s’ils sont mis en œuvre dans le cadre de ses missions (par exemple, certains traitements de gestion documentaire ou d’information interne). Dès lors qu’ils respectent certaines conditions, un intérêt légitime du CGPO peut en constituer la base légale.
- Pour tout autre traitement particulier, le CGPO peut se fonder sur la base légale du contrat ou du consentement.
- En revanche, le CGPO ne fonde aucun de ses traitements sur la sauvegarde des intérêts vitaux.
E. LES SOURCES DE VOS DONNÉES À CARACTÈRE PERSONNEL TRAITÉES
En sus des données personnelles que le CGPO collecte directement auprès de vous, le CGPO peut également collecter des données personnelles auprès de l'administration ou de l'organisme sollicitant ses services.
Le CGPO peut, conformément à l’article L.323-1§4, vérifier votre affiliation dans le Registre National des Personnes Physiques RNPP (loi du 19 juin 2013 relatives à l’identification des personnes physiques)
F. SOUS-TRAITANT
Le Centre des technologies de l’information de l’Etat (CTIE) est sous-traitant du CGPO dans le cadre de ses activités en matière informatique. Ce dernier est d’office le sous-traitant des entités étatiques et en tant que tel met en œuvre l’ensemble des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité suffisant et adéquat.
Le CTIE et le CGPO ont recours à des sous-traitants afin de les assister dans les travaux de développement et de la maintenance dans le contexte de la gestion de l’infrastructure informatique. Ces travaux se font dans les règles de l’art et sous le contrôle du CTIE et/ou du CGPO.
G. LES MESURES DE SECURITE
Le responsable de traitement, tout comme ses sous-traitants, met en place des politiques et des mesures techniques et organisationnelles appropriées, afin de protéger la sécurité de vos données personnelles et principalement la confidentialité, l’intégrité et la disponibilité de celles-ci.
Le délégué à la protection des données du CGPO s’occupe à plein temps de la protection des données personnelles, et s'assure que le CGPO est en mesure de démontrer sa conformité à la réglementation applicable en matière de protection des données à caractère personnel.
Le personnel du CGPO est soumis à une obligation de confidentialité. Il est formé et a reçu une documentation pour le sensibiliser et améliorer ses connaissances en matière de protection des données à caractère personnel.
L’accès aux locaux du CGPO est sécurisé par des verrous et un système de vidéosurveillance. Les entrées et sorties des visiteurs sont gérées par un système de QR code permettant de circuler dans des zones limitées. Tous les membres du personnel accédant aux locaux du CGPO sont identifiés à l’aide de badges.
Les documents physiques à caractère personnel traités par le CGPO sont conservés sous clé. Les documents électroniques traités par le CGPO sont sécurisés au travers des différentes applications et politiques de sécurité du Centre des Technologies de l'Information de l'Etat (CTIE) et de l'Agence Nationale de Sécurité des Systèmes Informatiques (ANSSI).
H. QUI PEUT AVOIR ACCÈS À VOS DONNÉES À CARACTÈRE PERSONNEL ?
Les données personnelles traitées par le CGPO ne sont accessibles qu’à ses agents qui ont à connaître de ces informations dans le cadre de leurs fonctions. Dans certains cas limités et circonstanciés, elles peuvent être accessibles aux prestataires autorisés du CGPO et aux autorités légalement fondées à se faire communiquer de telles données (par exemple, autorités policières ou judiciaires et autres institutions de la sécurité sociale). Tous ces destinataires sont tenus de respecter la législation en matière de protection des données qui leur est spécifiquement applicable.
I. LA DURÉE DE CONSERVATION DE VOS DONNÉES À CARACTÈRE PERSONNEL
Vos données à caractère personnel sont conservées pour la durée nécessaire à l’accomplissement des obligations légales et réglementaires du CGPO.
Le CGPO s’engage à ce que les données collectées soient conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et traitées. Ces données peuvent également être conservées dans l’objectif de respecter les délais de prescription et/ou de toutes autres dispositions légales.
J. OÙ SONT TRANSFÉRÉES VOS DONNÉES À CARACTÈRE PERSONNEL ?
Sauf exception dûment justifiée, vos données sont traitées au sein de l’Union Européenne et ne font l’objet d’aucun transfert à destination de pays tiers.
2. TRAITEMENTS LIÉS AUX FORMULAIRES DU CGPO
Les informations qui vous concernent recueillies par le biais d’un formulaire du CGPO font l’objet d’un traitement. Chaque formulaire limite la collecte des données personnelles au strict nécessaire (minimisation des données) et indique notamment :
- Quels sont les objectifs du recueil de ces données (finalités).
- Si ces données sont obligatoires ou facultatives pour la gestion de votre demande.
En remplissant un formulaire, vous acceptez que vos données personnelles soient traitées dans le cadre de votre demande. Ces informations sont conservées pour la durée nécessaire par le CGPO à la réalisation de la finalité du traitement.
La durée de conservation des données communiquées dépendant de la demande, le CGPO communiquera sur demande au cas par cas cette durée ou les critères qu'il utilisera pour la déterminer.
3. TRAITEMENTS LIÉS AUX ÉVÉNEMENTS
Les informations recueillies sur base des demandes d’inscription à un évènement du CGPO seront enregistrées dans des bases de données utilisées par le CGPO. Seules les données pertinentes et nécessaires à l’exécution de nos services sont collectées, traitées et conservées dans le strict respect du principe de minimisation des données. Ces données seront traitées par le CGPO comme suit :
A. Gestion des inscriptions
Après avoir soumis la demande d’inscription à un évènement du CGPO, les données personnelles sont enregistrées dans des bases de données utilisées par le CGPO afin de communiquer tous les documents administratifs nécessaires au suivi de l’évènement (comme l’accusé de réception, la confirmation, le refus, le rappel…).
B. Préparation de l’évènement
Les données personnelles peuvent être communiquées au(x) intervenant(s) de l’évènement concernée afin de connaître en amont son public. Lorsqu’il s’agit d’un webinaire, les données personnelles peuvent être communiquées à un prestataire de service externe qui gère l’évènement.
C. Suivi de la participation à l’évènement
Les données personnelles sont traitées afin d’établir des listes de présence, d’afficher les noms et prénoms des participants pour leur assurer une meilleure orientation dans le bâtiment, et de communiquer des documents (matériel pédagogique, attestations de présence, …).
D. Catégories de données traitées
En vous inscrivant à un événement organisé physiquement, en ligne (webinaire) ou de façon hybride, par le CGPO, vous êtes informé et marquez votre accord concernant le fait :
- que vous êtes susceptibles de figurer sur des photographies et/ou images vidéo prises à l’occasion de l’événement.
- que l’évènement est susceptible d’être enregistré (son et/ou image vidéo) et éventuellement diffusé, soit en live, soit après l’évènement.
Si vous entendez vous opposer à ce traitement de vos données, il est recommandé de vous manifester avant l’évènement, auprès du service en charge de l’organisation, afin de trouver, dans la mesure du possible, un moyen pour que vos données ne soient pas reproduites sur les photographies et/ou vidéos. Si l’évènement est tenu en ligne, il vous sera proposé de désactiver votre caméra et/ou votre micro.
Les photos et/ou l’enregistrement de l’évènement et le cas échéant leur diffusion, ont pour finalité la communication relative à l’évènement consistant dans la publication et/ou la diffusion dans les différents supports de communication du CGPO tels que les sites internet, newsletters, réseaux sociaux (LinkedIn, Facebook, Twitter, Instagram), chaines sur une plateforme de partage de vidéo (Vimeo, Youtube), etc.
Compte tenu du caractère imprévisible d’internet et des réseaux sociaux, vous reconnaissez en vous inscrivant à un événement, que les publications effectuées par le CGPO seront partageables par des tiers sur ces mêmes plateformes ou ailleurs, et que le CGPO ne peut pas être tenu responsable de ces actes.
Autres catégories de données personnelles traitées :
- Des données d'identification personnelles qui nous permettent entre autres d'entrer en contact avec vous (par exemple: nom, prénom, numéro de téléphone, adresse email).
- Des données personnelles se rapportant à votre Ministère / administration / établissement public.
- Des données récoltées par vidéosurveillance et qui concernent votre image.
- Des données relatives à votre visite dans nos bâtiments en cas d’utilisation du parking (plaque d’immatriculation, heures d’utilisation d’une place).
E. Catégories de destinataires des données traitées
- Ministère / administration / établissement public de l’agent soumettant la demande d’inscription à un évènement du CGPO,
- Intervenant (s) concerné(s) par l’évènement.
F. Durée de conservation
Nous conserverons vos données à caractère personnel aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels nous les avons recueillies, pendant la période définie par nos exigences opérationnelles (telles que faciliter la gestion de notre relation avec vous) et pour une durée nous permettant de nous conformer à nos obligations légales.
4. AUTRES TRAITEMENTS
Ici vous pouvez prendre connaissance des notices d'information sur les différents traitements des données personnelles, que le CGPO est amené à effectuer :
Droits des personnes concernées
Conformément aux dispositions légales et règlementaires en matière de protection des données à caractère personnel et de la vie privée, notamment au RGPD, vous disposez des droits suivants :
Droit à l'information
Toute personne a un droit de regard sur la collecte et le devenir de ses données à caractère personnel.
Les personnes concernées ont également un droit à être informées d’une violation de données à caractère personnel si celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
Droit d'accès
Vous avez le droit d’obtenir la confirmation du CGPO qu’il traite vos données à caractère personnel et d’obtenir une copie de ces données.
Vous pouvez accéder aux informations figurant dans votre dossier personnel auprès de votre administration respectivement au CGPO.
Droit de rectification
Vous pouvez demander la rectification de vos données erronées ou incomplètes.
Droit à l'effacement
Vous pouvez demander l’effacement de vos données à caractère personnel dans les limites et les conditions législatives et réglementaires en vigueur.
Droit d'opposition
Vous pouvez vous opposer pour des raisons tenant à une situation particulière, au traitement de vos données personnelles.
Droit à la portabilité
Vous pouvez récupérer les données que vous avez fournies au CGPO, dans un format structuré, couramment utilisé et lisible par une machine.
Droit de retirer le consement
Lorsque nous utilisons vos données personnelles sur la base de votre consentement, vous avez le droit de retirer ce consentement à tout moment. Ce retrait ne porte pas atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait.
Votre demande sera traitée dans les 30 jours calendrier. Si celle-ci est complexe ou que nos services font face à un grand nombre de demandes, ce délai sera prolongé de 60 jours.
Pour exercer vos droits, veuillez renvoyer le formulaire de demande (Pdf, 811 Ko), par e-mail ou par courrier à notre délégué à la protection des données, accompagné d’une copie de votre titre d’identité comportant votre signature.
Formulaire de demande - Droits RGPD (Pdf, 811 Ko)
- E-mail : dpo@mfp.etat.lu
- Courrier :
Ministère de la Fonction publique
À l'attention du délégué à la protection des données
10, avenue John F. Kennedy
L-1855 Luxembourg
Pour toute information complémentaire ou réclamation en relation avec le traitement de vos données personnelles par le CGPO, vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle en matière de protection des données. Au Luxembourg, l’autorité de contrôle est la Commission Nationale sur la Protection des Données (CNPD) :
Commission Nationale de Protection des Données (CNPD)
1, avenue du Rock’n’roll
L-4361 Esch-sur-Alzette
Tél. : (+352) 26 10 60 1
ou site www.cnpd.lu
Observation générale :
Veuillez prendre note que si vous vous opposez à certains traitements de vos données ou demandez que les informations vous concernant soient détruites, le CGPO peut néanmoins conserver et utiliser vos données personnelles dans la mesure où cela est nécessaire afin de nous conformer par exemple aux obligations légales ou la défense de réclamations.
MODIFICATION DE LA NOTICE D’INFORMATION
Le CGPO se réserve le droit de modifier ou de compléter à tout moment, sans préavis, la présente notice. La présente notice est susceptible d’être mise à jour régulièrement en fonction des modifications législatives et règlementaires en matière de protection des données à caractère personnel.
Les principes énoncés dans cette notice d’information sont fondés sur la réglementation et les lois européennes et luxembourgeoises en vigueur à la date de sa publication. Ils pourront faire l’objet d’adaptations ultérieures, afin de suivre les modifications réglementaires et légales.
La présente notice est destinée à vulgariser l’accès à l’information et doit à cet effet simplifier certains sujets. Elle a été établie avec soin, cependant le CGPO ne saurait garantir l’exactitude ou le caractère complet du contenu. Seules les dispositions légales font foi et aucun droit ne saurait résulter de la présente notice. Il appartient à l’usager de se tenir informé et seule la version actualisée accessible en ligne fait foi.