[French version here/English version below]

Dans le cadre du Comité de Groupe Européen d’Orange des 27, 28 février et 1er mars 2018 à Paris, la Direction du Groupe a inscrit un point à l’ordre du jour relatif au programme de conformité RGPD (Règlement Général pour la Protection des Données) pour le domaine RH présenté par Elise Bruillon, Risk Manager Plazza.

La présentation se limite strictement au volet RH, à savoir donc aux nouvelles règles de protection des seules données personnelles relatives aux salariés du Groupe.

Si le règlement est bien conçu à l’origine pour protéger les données personnelles des consommateurs, les traitements des données personnelles de salariés n’en entrent pas moins pour autant dans son champ d’application.  L’objectif premier est de permettre aux salariés d’exercer leurs droits nouveaux.

Le projet de mise en conformité se décline selon deux axes :
     – l’information des salariés
     – la sécurité des données et la gestion des risques

Le salarié sera informé sur les traitements qui concernent ses données et leur finalité de manière à ce qu’il puisse exercer ses droits. Les dispositifs techniques nécessaires seront mis en place aux fins de gérer les risques de la collecte à la suppression de toute donnée personnelle.
La collecte des données personnelles obéit à deux régimes :
 ð  La collecte de certaines données répond à des obligations légales: celles prescrites par exemple pour la mise en paiement des salaires. Dans cette hypothèse le consentement du salarié n’est pas requis.
 ð  Les traitements opérés dans l’intérêt de l’entreprise indépendamment de toute obligation légale seront soumis au consentement du salarié.

En matière de collecte, le principe devient de s’interdire de collecter toute donnée qui ne serait pas strictement nécessaire. Il devra désormais être fait un usage proportionné des données.

Trois scénarios de risques sont désormais intégrés dans les processus de traitement des données personnelles :
     – l’accès illégitime aux données par un tiers
     – les modifications non souhaitées des données par un tiers
     – la suppression des données personnelles

Pour mener à bien ce chantier, une organisation a été mise en place et un « Data Officer » (Patricia Lelarge) a été désigné. Pour les filiales européennes et Orange Business Services, le principe de subsidiarité est retenu. Il y aura donc des data officers par pays et chez Orange Business Services, et des gouvernances spécifiques animées par la DRH Groupe. Les premiers enjeux pour le 25 mai sont d’établir un registre des traitements, de modifier les contrats des sous-traitants et de travailler à la sécurité de tous les traitements. Dans les pays non-européens, une charte reprend des obligations similaires.

Les élus ont jugé cette présentation très insuffisante dans la mesure où, d’une part, elle ne précise pas les nouvelles obligations imposées par le règlement, et d’autre part, elle se limite aux données des salariés, alors même que ce sont les traitements des données personnelles des clients qui sont l’enjeu majeur. Quelques questions pratiques des représentants des filiales européennes n’ont pas obtenu de réponse en séance, notamment sur les registres des traitements qui devront être établis et les modalités de consultation de ces registres par les salariés, les modalités de suppression ou de limitation de l’usage de leurs données, ainsi que sur les solutions techniques en matière de sécurité. Pour les traitements exigeant un consentement la priorité est donnée pour mettre en place des processus faciles et compréhensibles.

A la question de savoir si la conformité sera assurée le 25 mai 2018, il est indiqué que les autorités de contrôle (la CNIL en France) n’ont pas pour objectif de sanctionner les entreprises dès le 25 mai, mais de les sensibiliser et les accompagner.

Les élus, par l’intermédiaire du Bureau, ont sollicité une intervention du Data Officer lors du prochain Comité de Groupe Européen sur une vision globale du sujet.

[English version]

As part of the Orange European Works Council meeting which was held in Paris on February 27th, 28th, and March 1st 2018, the Group’s management team had included an agenda item related to the GDPR (General Data Protection Regulation) compliance program for the HR field presented by Elise Bruillon, Risk Manager Plazza.

The presentation is strictly limited to the HR area, ie to the new rules protecting personal data relating uniquely to the Group employees.

Although the regulation was originally designed to protect the consumers personal data, the processing of employees personal data also remains in its scope. The primary objective is to enable employees to exercise their new rights.

The compliance project is divided into two areas:
     – information of the employees
     – securing the data and risk management

The employees will be informed about the processing of their data procedures and purposes so that the employees can exercise their rights. The necessary technical devices will be put in place to manage all of the risks from the collection to the suppression of any personal data.
The collection of personal data obeys two regimes:
– The collection of certain data meets legal obligations: those prescribed for example for the payment of wages. In this case, the employee’s consent is not required.
– Procedures made in the interest of the company independently of any legal obligation will be subject to the consent of the employee.

In terms of collection, the principle becomes to limit the collection of any data that would not be strictly necessary. It will now have to be made a proportionate use of the data.

Three risk scenarios are now integrated into the personal data processing processes:
     – illegitimate access to data by a third party
     – unwanted changes to data by a third party
     – deletion of personal data

To carry out this work, an organization was set up and a « Data Officer » (Patricia Lelarge) was appointed. For the European subsidiaries and Orange Business Services, the principle of subsidiarity is retained. There will be data officers by country and at Orange Business Services, and specific governance led by the Group HR Management. The first issues for May 25th are to establish a register of all data files, modify the contracts of subcontractors and work on the safety of all procedures. In non-European countries, a charter takes on similar obligations.

The elected representatives considered this presentation to be very insufficient so far as, on the one hand, it does not specify the new obligations imposed by the regulation, and on the other hand, it is limited to employee data even if the customer’s personal data becomes the most complex issue to manage. Some practical questions from European subsidiaries representatives were not answered at the meeting, particularly regarding the registers of employees that will have to be established, and the processes for consulting these registers by the employees, the methods for deleting or limiting the use of their data as well as technical security solutions. For procedures requiring consent, priority is given to put in place easy and understandable processes.

To the question of whether compliance will be assured on May 25th it is indicated that the control authorities (the CNIL in France) are not intended to penalise companies from May 25th, but to raise awareness and support.

Finally, the elected representatives have asked the Data Officer to intervene at the next European Works Council on a global vision of the subject


Articles complémentaires

  1. Orange Rennes : la CFE-CGC annonce 500 emplois en moins d’ici à 2018 – Ouest-France accès à l’article « On assiste à une baisse constante des effectifs », s’alarme Sébastien Crozier, secrétaire national de la CFE-CGC chez Orange, ici avec les responsables rennais du syndicat. Le syndicat des cadres s’alarme de la baisse constante des effectifs chez Orange, dans les régions et en particulier à Rennes. La CFE-CGC parle de plus de […]
  2. Le PDG d’Orange vise un troisième mandat – BFM Business Stéphane Richard a renoncé à son audition mercredi dans le procès Tapie-Lagarde. Les menaces judiciaires qui pèsent sur lui le poussent à prendre les devants pour rester à la tête de l’opérateur télécoms. L’État soutient l’idée de son renouvellement même si rien ne sera décidé avant 2018. […] Déjà en 2012, deux ans avant la […]
  3. Représentant du Personnel, l’acteur indispensable au dialogue social La prise en compte de l’Humain dans la marche du groupe Orange, la défense de l’intérêt des personnels ET de l’entreprise de façon intimement et continuellement liées, sont impossible chez nous sans la vigilance et l’action du représentant du personnel. Nous en recevons hélas chaque jour de nouvelles preuves. Sans lui, ses connaissances du droit, […]
  4. Orange Bank : tous « bankable » ? Groupama Banque, dont Orange détient 65% du capital, sera rebaptisée Orange Bank en janvier prochain. Au 1er semestre 2017, une offre de banque sur mobile, Orange Bank, sera proposée à nos clients, avec une gamme de produits et services financiers (compte courant, épargne, crédit – hors immobilier dans un premier temps) et d’assurance. Au démarrage, seule la « banque au quotidien » (compte courant) sera commercialisée par Orange, les autres offres étant vendues directement par Orange Bank. Les réseaux Groupama et Gan continueront en parallèle à commercialiser sous la marque Groupama Banque. Télécharger le tract en pdf : Tract OrangeBank decembre2016 def.pdf
  5. Les 3 points clés à retenir sur les enjeux d’actualité dans la branche des Télécoms REGLEMENTATION, CONCURRENCE, EMPLOI Explications avec notre expert IMTW Thierry Meurgues, Membre du Conseil d’Administration CFE-CGC Orange, en charge des affaires de Branche des Télécoms, Délégué fédéral au Comité directeur confédéral CFE-CGC, élu titulaire aux Comités de Groupe Europe et Monde d’Orange, Délégué du Personnel, élu CHSCT et Délégué Syndical à IMTW/OLPS. REGLEMENTATION : Orange s’est beaucoup plaint d’une règlementation défavorable à son égard au niveau national et européen, où en est-on aujourd’hui ?

À la Une

Merci : Rejet à 63,31% de l’accord QVCT par référendum

  • CFE-CGC Orange

La CFE-CGC se félicite du désaveu cinglant infligé à la Direction et à la CFDT par les personnels d’Orange. La Direction a proposé un accord QVCT (Qualité de Vie et Conditions de Travail) de 70 pages, inconsistant. La quantité ne se substituant jamais à la qualité. Ironie suprême, même l’IA interne « Dinootoo » l’analyse comme de […]