Quel programme de conformité RGPD pour le Groupe Orange ?

[French version here/English version below]

Dans le cadre du Comité de Groupe Européen d'Orange des 27, 28 février et 1er mars 2018 à Paris, la Direction du Groupe a inscrit un point à l'ordre du jour relatif au programme de conformité RGPD (Règlement Général pour la Protection des Données) pour le domaine RH présenté par Elise Bruillon, Risk Manager Plazza.

La présentation se limite strictement au volet RH, à savoir donc aux nouvelles règles de protection des seules données personnelles relatives aux salariés du Groupe.

Si le règlement est bien conçu à l’origine pour protéger les données personnelles des consommateurs, les traitements des données personnelles de salariés n’en entrent pas moins pour autant dans son champ d’application.  L’objectif premier est de permettre aux salariés d’exercer leurs droits nouveaux.

Le projet de mise en conformité se décline selon deux axes :
     - l’information des salariés
     - la sécurité des données et la gestion des risques

Le salarié sera informé sur les traitements qui concernent ses données et leur finalité de manière à ce qu’il puisse exercer ses droits. Les dispositifs techniques nécessaires seront mis en place aux fins de gérer les risques de la collecte à la suppression de toute donnée personnelle.
La collecte des données personnelles obéit à deux régimes :
 ð  La collecte de certaines données répond à des obligations légales: celles prescrites par exemple pour la mise en paiement des salaires. Dans cette hypothèse le consentement du salarié n’est pas requis.
 ð  Les traitements opérés dans l’intérêt de l’entreprise indépendamment de toute obligation légale seront soumis au consentement du salarié.

En matière de collecte, le principe devient de s’interdire de collecter toute donnée qui ne serait pas strictement nécessaire. Il devra désormais être fait un usage proportionné des données.

Trois scénarios de risques sont désormais intégrés dans les processus de traitement des données personnelles :
     - l'accès illégitime aux données par un tiers
     - les modifications non souhaitées des données par un tiers
     - la suppression des données personnelles

Pour mener à bien ce chantier, une organisation a été mise en place et un "Data Officer" (Patricia Lelarge) a été désigné. Pour les filiales européennes et Orange Business Services, le principe de subsidiarité est retenu. Il y aura donc des data officers par pays et chez Orange Business Services, et des gouvernances spécifiques animées par la DRH Groupe. Les premiers enjeux pour le 25 mai sont d’établir un registre des traitements, de modifier les contrats des sous-traitants et de travailler à la sécurité de tous les traitements. Dans les pays non-européens, une charte reprend des obligations similaires.

Les élus ont jugé cette présentation très insuffisante dans la mesure où, d’une part, elle ne précise pas les nouvelles obligations imposées par le règlement, et d’autre part, elle se limite aux données des salariés, alors même que ce sont les traitements des données personnelles des clients qui sont l’enjeu majeur. Quelques questions pratiques des représentants des filiales européennes n’ont pas obtenu de réponse en séance, notamment sur les registres des traitements qui devront être établis et les modalités de consultation de ces registres par les salariés, les modalités de suppression ou de limitation de l’usage de leurs données, ainsi que sur les solutions techniques en matière de sécurité. Pour les traitements exigeant un consentement la priorité est donnée pour mettre en place des processus faciles et compréhensibles.

A la question de savoir si la conformité sera assurée le 25 mai 2018, il est indiqué que les autorités de contrôle (la CNIL en France) n’ont pas pour objectif de sanctionner les entreprises dès le 25 mai, mais de les sensibiliser et les accompagner.

Les élus, par l’intermédiaire du Bureau, ont sollicité une intervention du Data Officer lors du prochain Comité de Groupe Européen sur une vision globale du sujet.

[English version]

As part of the Orange European Works Council meeting which was held in Paris on February 27th, 28th, and March 1st 2018, the Group's management team had included an agenda item related to the GDPR (General Data Protection Regulation) compliance program for the HR field presented by Elise Bruillon, Risk Manager Plazza.

The presentation is strictly limited to the HR area, ie to the new rules protecting personal data relating uniquely to the Group employees.

Although the regulation was originally designed to protect the consumers personal data, the processing of employees personal data also remains in its scope. The primary objective is to enable employees to exercise their new rights.

The compliance project is divided into two areas:
     - information of the employees
     - securing the data and risk management

The employees will be informed about the processing of their data procedures and purposes so that the employees can exercise their rights. The necessary technical devices will be put in place to manage all of the risks from the collection to the suppression of any personal data.
The collection of personal data obeys two regimes:
- The collection of certain data meets legal obligations: those prescribed for example for the payment of wages. In this case, the employee's consent is not required.
- Procedures made in the interest of the company independently of any legal obligation will be subject to the consent of the employee.

In terms of collection, the principle becomes to limit the collection of any data that would not be strictly necessary. It will now have to be made a proportionate use of the data.

Three risk scenarios are now integrated into the personal data processing processes:
     - illegitimate access to data by a third party
     - unwanted changes to data by a third party
     - deletion of personal data

To carry out this work, an organization was set up and a "Data Officer" (Patricia Lelarge) was appointed. For the European subsidiaries and Orange Business Services, the principle of subsidiarity is retained. There will be data officers by country and at Orange Business Services, and specific governance led by the Group HR Management. The first issues for May 25th are to establish a register of all data files, modify the contracts of subcontractors and work on the safety of all procedures. In non-European countries, a charter takes on similar obligations.

The elected representatives considered this presentation to be very insufficient so far as, on the one hand, it does not specify the new obligations imposed by the regulation, and on the other hand, it is limited to employee data even if the customer's personal data becomes the most complex issue to manage. Some practical questions from European subsidiaries representatives were not answered at the meeting, particularly regarding the registers of employees that will have to be established, and the processes for consulting these registers by the employees, the methods for deleting or limiting the use of their data as well as technical security solutions. For procedures requiring consent, priority is given to put in place easy and understandable processes.

To the question of whether compliance will be assured on May 25th it is indicated that the control authorities (the CNIL in France) are not intended to penalise companies from May 25th, but to raise awareness and support.

Finally, the elected representatives have asked the Data Officer to intervene at the next European Works Council on a global vision of the subject

Conditions de Travail et Santé Europe et International Numérique Comité Groupe Europe Comité Groupe France Comité Groupe Monde

Nos coordonnées

CFE-CGC Orange
10-12 rue Saint Amand
75015 Paris Cedex 15

   
nous contacter
01 46 79 28 74
01 40 45 51 57

Epargne

Formation

Siège : CFE-CGC Orange - 89 Bd de Magenta, 75010 PARIS - SIRET 50803050900030 - 9420Z
Mentions Légales - Protection des données - Accès rédacteur