Charte de protection des donnees personnelles en matiere de ressources humaines
Dernière mise à jour : 10 août 2020
1. PREAMBULE
Le Groupe ESI, y compris chaque société qui le compose (ci-après le « Groupe ESI » ou « ESI ») accorde une grande importance à la protection de la vie privée et des données relatives à ses Collaborateurs et à ses Candidats.
ESI s’engage à préserver votre confiance quant à la confidentialité de vos données personnelles et veille donc à adopter et respecter l’ensemble des dispositions réglementaires et législatives françaises et européennes relatives à la protection des données personnelles.
La présente Charte a pour objet d’informer chaque Collaborateur et Candidat (ci-après dénommés « Vous ») sur le traitement de ses données à caractère personnel lors de la gestion des Ressources Humaines au sein du Groupe ESI.
2. DEFINITION
- « Candidat » désigne la personne ayant envoyé une candidature et/ou ayant été contactée par une entité du Groupe ESI ou par l’intermédiaire d’un cabinet de recrutement dans le cadre d’une offre d’emploi.
- « Collaborateur » désigne la personne ayant été recrutée par une entité du Groupe ESI, quel que soit son statut.
- « Destinataire » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de vos Données à caractère personnel, qu’il s’agisse ou non d’un tiers.
- « Donnée à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable («Personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité́ physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « Groupe ESI » désigne les sociétés du Groupe ESI.
- « Moyens informatiques » désignent le matériel, les fichiers, les programmes, les logiciels et progiciels, l’ensemble des réseaux (local et externe), les serveurs, les systèmes d’information, le courrier électronique, la messagerie instantanée, les espaces de stockage, les outils collaboratifs appartenant aux entités du Groupe ESI.
- « Réseau Social d’Entreprise » désigne toute plateforme de communication interne au Groupe ESI tel que Salesforce chatter, MS Teams. Le Réseau Social d’Entreprise vise à faciliter le travail collaboratif et à fluidifier les échanges entre les Collaborateurs d’une même entreprise ou d’un même groupe.
- « RH ou Ressources Humaines » désigne tout service ou membre d’un service participant à la gestion du personnel (gestion de la paie, de la mutuelle et de la prévoyance), à l’intégration (recrutement), au développement des collaborateurs (formation, mobilité, évolution de carrière), ou des relations avec les instances représentatives du personnel au sein des entités du Groupe ESI.
- « Responsable du traitement » désigne la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement ; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l’Union ou le droit d’un Etat membre, le responsable du Traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un Etat membre.
- « Traitement » désigne toute opération appliquée de manière automatisée ou non aux Données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
3. LES PRINCIPES RELATIFS A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
Les principes de protection des données qui s’appliquent à l’ensemble du Groupe ESI sont les suivants :
- Licéité, loyauté et transparence. Le Groupe ESI met tout en œuvre pour être en conformité permanente avec les principes essentiels du RGPD et assure à l’ensemble de ses Collaborateurs et Candidats que les Données à caractère personnel recueillies sont traitées de manière licite, loyale et transparente. Lors de la collecte et du traitement de vos données personnelles, le Groupe ESI informera les Collaborateurs et les Candidats de la finalité du traitement, des destinataires des données, des transferts éventuels, de la durée de conservation de leurs données et de leurs droits.
- Légitimité. Les données personnelles sont uniquement collectées et traitées aux fins qui sont décrites dans la présente Charte. Aucun traitement ultérieur incompatible avec les finalités explicitées ne sera mis en œuvre.
- Minimisation, pertinence et exactitude. Seules les données personnelles nécessaires au traitement sont collectées. Le Groupe ESI prendra toutes les mesures raisonnables pour tenir à jour les données personnelles et pour que les données personnelles inexactes soient effacées ou rectifiées.
4. CHAMPS D’APPLICATION
La présente Charte s’applique à tous les Collaborateurs qui travaillent pour une entité du groupe ESI :
- Un Collaborateur du Groupe ESI, d’une filiale ou d’une autre entité contrôlée par ESI Group ;
- Ou toute autre personne engagée (directement ou indirectement) pour réaliser une mission pour ESI, y compris les intérimaires, stagiaires ou membres du personnel d’un prestataire dans la mesure où les données sont traitées par le Groupe ESI.
La présente Charte s’applique également aux Candidats à un poste au sein d’une entité du Groupe.
5. FINALITE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL DES COLLABORATEURS ET DES CANDIDATS
Les données à caractère personnel des Collaborateurs et des Candidats ont notamment vocation à être utilisées pour :
- le recrutement : prise de contact avec le Candidat, planification de l’entretien, relance des Candidats, envoi d’informations concernant le Groupe ESI ou le processus de recrutement.
- la gestion administrative du personnel : gestion du dossier professionnel tenu conformément aux dispositions législatives et règlementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles, gestion des annuaires internes et des organigrammes, gestion des dotations individuelles en fourniture d’équipements, équipements, véhicules et cartes de paiement, contrôle de l’accès aux locaux, gestion des réunions des instances représentatives du personnel, affiliation aux régimes de prévoyance et de complémentaires santé.
- la gestion de la mobilité des déplacements ;
- la gestion de la paie et des avantages sociaux : rémunération, épargne salariale, bonus, prélèvement à la source ;
- la gestion de la carrière du Collaborateur : évaluation professionnelle, gestion des compétence, gestion de la mobilité professionnelle.
- la formation : suivi des demandes de formation et des périodes de formation effectuées, évaluation des connaissances et des formations ;
- la gestion, administration et contrôle de l’utilisation des Moyens informatiques : suivi et maintenance du parc informatique, gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux, gestion de la messagerie électronique, intranet ;
6. QUELLE EST LA BASE LEGALE DES DIFFERENTS TRAITEMENTS ?
Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux
| Activités de traitement | Finalités | Bases légales envisageables (sous réserve de choix différents justifiés par un contexte spécifique) |
|---|---|---|
| Recrutement | Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens | Mesures précontractuelles |
| Constitution d’une CV-thèque | Intérêt légitime | |
| Gestion administrative du personnel | Gestion du dossier professionnel des employés, tenu conformément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés. | Exécution du contrat |
| Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative. | Intérêt légitime | |
| Gestion des annuaires internes et des organigrammes. | Intérêt légitime | |
| Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement. |
Intérêt légitime | |
| Gestion des élections professionnelles. | Obligation légale | |
| Organisation des réunions des instances représentatives du personnel. |
Obligation légale | |
| Gestion des rémunérations et accomplissement des formalités administratives | Etablissement des rémunérations, mise à disposition des bulletins de salaire | Exécution du contrat |
| Déclaration sociale nominative. | Obligation légale | |
| Mise à disposition des personnels d'outils informatiques | Suivi et maintenance du parc informatique. | Intérêt légitime |
| Gestion des annuaires informatiquespermettant de définir les autorisations d'accès aux applications et aux réseaux. | Intérêt légitime | |
| Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applicationsinformatiques et des réseaux. | Intérêt légitime | |
| Gestion de la messagerie électronique professionnelle. | Intérêt légitime | |
| Réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet). | Intérêt légitime | |
| Organisation du travail | Gestion des agendas et projets professionnels. | Intérêt légitime |
| Suivi des carrières et de la mobilité | Evaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent. | Intérêt légitime |
| Gestion des compétences professionnelles internes. | Intérêt légitime | |
| Gestion prévisionnelle de l’emploi et des compétences (GPEC) | Intérêt légitime | |
| Gestion de la mobilité professionnelle | Exécution du contrat | |
| Formation | Gestion des demandes de formation et des périodes de formation effectuées. | Exécution du contrat |
| Organisation des sessions de formation et évaluation des connaissances et des formations. | Intérêt légitime | |
| Gestion des aides sociales | Gestion de l'action sociale et culturelle directement mise en œuvre par l'employeur, à l'exclusion des activités de médecine du travail, de service social ou de soutien psychologique. | Intérêt légitime |
7. QUELLES SONT LES DONNEES A CARACTERE PERSONNEL COLLECTEES ?
Au regard des finalités précédemment définies, le Groupe ESI dispose et traite les données à caractère personnel suivantes :
a) A des fins de gestion du recrutement :
- Données d’identification (nom, prénoms, trigramme adresse (postale et email), numéro de téléphone, date de naissance, adresse profil LinkedIn) ;
- Données relatives à la vie professionnelle (CV, formation, diplôme, copie des diplômes, expérience, lettre de motivation, informations fournies par le Candidat, certificats de travail, compte-rendu d’entretiens, date des entretiens, autorisation de travail (oui/non), message pouvant être transmis par le Candidat sur le site internet du Groupe ESI) ;
- Données d’ordre économique et financière (rémunération actuelle et rémunération souhaitée).
b) Dans le cadre de l’exécution du contrat de travail
- Données d’identification (nom, nom marital, prénoms, sexe, date et lieu de naissance, âge, adresse, numéros attribués par les organismes d’assurances sociales, de retraite et de prévoyance, photo (facultative), adresse email, nationalité́, références du passeport (uniquement pour les personnels amenés à se déplacer à l’étranger), statut marital, identifiants internes ;
- Copie de la carte d’identité́ ;
- Type, numéro d’ordre et copie du titre valant autorisation de travail pour les Collaborateurs étrangers en application de l’article R. 620-3 du Code du travail ;
- Données concernant le véhicule utilisé ; Copie du permis de conduire détenu par l’employé́ et la copie de la carte grise du véhicule du Collaborateur pour le paiement par l’entreprise des indemnités kilométriques ;
- Données concernant la vie professionnelle (CV, lieu de travail, numéro d’identification interne, date d’entrée dans l’entreprise, ancienneté́, emploi occupé et coefficient hiérarchique, nature du contrat de travail, dates des entretiens d’évaluation, identité́ de l’évaluateur, compétences professionnelles du Collaborateur, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par le Collaborateur, prévisions d’évolution de carrière, sanctions disciplinaires, réalisations professionnelles, agendas professionnels (dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes, documents attachés), tâches affectées (identification des personnels concernées, répartition des tâches), messages de la messagerie électronique, livrables du Collaborateur ) ;
- Données relatives à la gestion de la téléphonie (numéro de téléphone appelé́ et entrant, service utilisé, operateur appelé́, nature de l’appel (sous la forme : local, départemental, national, international), durée, date et heure de début et de fin de l’appel, éléments de facturation (nombre de taxes, volume et nature des données échangées à l’exclusion du contenu de celles-ci et coût du service utilisé) numéro de carte SIM, numéro IMEI, code PUK, numéro RIO) ;
- Données servant au contrôle de l’utilisation de la messagerie (outils de mesure de la fréquence, de la taille des messages électroniques, outils d’analyse des pièces jointes, etc.) ;
- Contenu de la messagerie électronique du Collaborateur ;
- Validation des acquis de l’expérience (date de la demande de validation, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision)
- Vie personnelle (situation familiale et matrimoniale, enfants à charge, coordonnées des personnes à prévenir en cas d’urgence, éléments ouvrant droits à des congés spéciaux, loisir, primes de vacances) ;
- Données de santé transmises par le Collaborateur ;
- Déclarations d’accident du travail et de maladie professionnelle (coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie professionnelle, date du dernier jour de travail, date de reprise, motif de l’arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour) ;
- Suivi administratif des visites médicales des Collaborateurs (dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail)) ;
- Taux d’invalidité, catégorie CDAPH (A,B,C) ;
- Eléments de rémunération (rémunération de base et rémunération variable s’il y a lieu, nature, taux et base des cotisations sociales, congés et absences donnant lieu à retenues déductibles ou indemnisables ainsi que toute retenue légalement opérée par l’employeur, frais professionnels, mode de règlement, identité́ bancaire ou postale) ;
- Formation (diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations) ;
- Elections professionnelles (établissement de la liste électorale (identité́ des électeurs, âge, ancienneté́, collège), gestion des candidatures (identité́, nature du mandat sollicité, éléments permettant de vérifier le respect des conditions d’éligibilité́, mandat syndical (à l’initiative du candidat), le cas échéant appartenance syndicale déclarée (par les candidats au premier tour) et publication des résultats (identité́ des candidats, mandats concernés, nombre et pourcentage de suffrages obtenus, identité́ des personnels élus et, le cas échéant, appartenance syndicale des élus) ;
- Réunions des instances représentatives du personnel (convocations, documents préparatoires, procès-verbaux) ;
- Dotations individuelles en fournitures, équipements, véhicules et cartes de paiement (gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires) ;
- Gestion de la restauration (carte ticket restaurant)
- Compte-rendu établi par l’administration fiscale en retour de chaque déclaration sociale nominative (DSN) ou déclaration « prélèvement à la source revenus autres » (PASRAU) souscrite par le collecteur qui comporte notamment un identifiant propre, des informations propres à chaque bénéficiaire de revenu versé par le débiteur de la RAS, le numéro d’inscription au répertoire national d’identification des personnes physiques ou un numéro identifiant d’attente attribué par la Caisse nationale d’assurance vieillesse des travailleurs salariés, ou les numéros d’identification provisoire attribués par l’employeur dans le cas où les deux premiers numéros ne sont pas connus, le taux du prélèvement à la source applicable, sauf lorsque s’applique (de plein droit ou sur option du bénéficiaire) le taux proportionnel, les anomalies détectées par l’administration fiscale figurant dans la DSN ou la déclaration PASRAU ayant donné́ lieu à l’émission du compte-rendu.
Vos données sont susceptibles d’être transmises :
- Aux organismes publics dans le cadre de nos obligations légales ;
- Aux organismes de prévoyance, de complémentaire santé et d’épargne collective à des fins d’affiliations ;
- Au Comité Social et Economique (CSE), sauf opposition de votre part ;
- A nos sous-traitants techniques et informatiques et à nos sous-traitants en matière de formation ou de gestion de carrière.
Vos données personnelles ne sont en aucun cas cédées à un tiers à des fins commerciales.
Elles sont conservées par nos soins pour la durée nécessaire à l’exécutions de nos obligations légales et contractuelles.
8. COMMENT VOS DONNEES PERSONNELLES SONT-ELLES COLLECTEES ?
Vos données personnelles peuvent être collectées par différents moyens et notamment :
a) Gestion du recrutement :
- Les sites web de recrutement du Groupe ESI ;
- Tous autres moyens de recrutement y compris les cabinets de recrutement externes ;
- et par messages électroniques échangés entre le Candidat et les Collaborateurs impliqués dans le processus de recrutement (HR Business Partner, manager)
b) Embauche et dans le cadre de l’exécution du contrat de travail :
- Les entretiens avec les services des Ressources Humaines et le management impliqué dans le processus de recrutement ;
- Les évaluations ;
- Les modifications de données d’identification ;
- Les justificatifs liés aux titres de transport ;
- Les informations liées aux avantages sociaux, aux régimes de santé, de prévoyance, de retraite…
9. QUELLE EST LA DUREE DE CONSERVATION ?
| Activités de traitement | Détails du traitement | Base active | Archivage intermédiaire | Textes de référence |
|---|---|---|---|---|
| Gestion de la paie | Bulletin de salaire | 1 mois | 5 ans | L. 3243-4 du code du travail |
| 50 ans en version dématérialisée | D. 3243-8 du code du travail | |||
| Eléments nécessaires au calcul de l'assiette | 1 mois | 6 ans | L. 243-16 du code sécurité sociale | |
| Saisie des données calculées (DSN) | Le temps nécessaire à l'accomplissement de la déclaration | 6 ans | L. 243-16 du code sécurité sociale | |
| Ordre de virement pour paiement | Le temps nécessaire à l'émission du bulletin de paie | 10 ans à compter de la clôture de l'exercice comptable | L. 123-22 du code du commerce | |
| Registre uniquedu personnel | La durée pendantlaquelle le salariéfait partie deseffectifs | 5 ans à compter du départ du salarié de l'organisme | R. 1221-26 du code du travail | |
| Gestion desmandats desreprésentants dupersonnel | Nature du mandat etsyndicatd'appartenance | 6 mois après la fin du mandat | 6 ans (prescription pénale pour délit) | L. 2411-5 du code du travail |
| Gestion des mandats des représentants du personnel | Les données relatives aux sujétions particulières ouvrant droit à congés spéciauxou à crédit d'heures dedélégation | Le temps de la période de sujétion de l'employéconcerné | 6 ans (prescription pénale pour délit) | L. 2142-1-3 du code du travail |
10. SECURITE ET CONFIDENTIALITE
Le Groupe ESI met en œuvre toutes les mesures techniques et organisationnelles que le Groupe ESI juge appropriées conformément à l’article 32 du RGPD afin de garantir la sécurité et la confidentialité de vos Données à caractère personnel.
Pour plus d’informations concernant la sécurité des données, nous vous invitons à contacter l’équipe data protection du Groupe ESI à l’adresse e-mail suivante : dataprotection [at] esi-group.com et l’équipe IT à l’adresse e-mail suivante : support.it [at] esi-group.com
11. TRANSFERT VERS UN PAYS TIERS
Dans des cas spécifiques, tel qu’un transfert de Collaborateurs permanents ou ponctuels, une expatriation, un VIE ou un stage à l’étranger, vos Données à caractère personnel peuvent être transférées vers une entité du groupe ESI dans un pays tiers n’assurant pas un niveau de protection des données personnelles suffisants selon la Commission européenne.
Le groupe ESI continue à améliorer l’encadrement de ces transferts par le biais des garanties appropriées
12. DROITS DES PERSONNES CONCERNEES
Selon la Réglementation, vous disposez du droit de demander au Responsable de traitement l’accès aux données à caractère personnel vous concernant, la rectification des données inexactes ou incomplètes, ou l’effacement de celles-ci pour des motifs légitimes, ou une limitation du traitement ainsi que la portabilité de ses données, c’est-à-dire le droit de récupérer ses données et de les transmettre à un autre responsable de traitement ainsi que de demander la transmission directement à un autre responsable de traitement.
Vous disposez également du droit de vous opposer au traitement de vos données à caractère personnel pour des motifs légitimes.
Vous pouvez exercer l’ensemble de ces droits en contactant la Direction des Ressources Humaines de ESI Group et de l’entité juridique dont vous dépendez.
Vous pouvez par ailleurs contacter l’équipe data protection du Groupe ESI à l’adresse e-mail suivante : dataprotection [at] esi-group.com. Celle-ci vous répondra dans les meilleurs délais.
Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation de ladite loi.
13. MISES A JOUR
La présente Charte est susceptible d’évolutions ou de modifications.
Par conséquent, nous vous invitons à prendre régulièrement connaissance de la présente Charte telle que publiée sur le site Corporate de ESI Group.