C’est quoi une donnée personnelle ?
‘Les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Une personne identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.’ Dans ce monde actuel très numérisé, toute information personnelle est sensible car nous ne savons pas comment elle peut être traitée et diffusée.
Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur le 25 mai 2018 impose des règles strictes concernant la collecte, le traitement et la conservation des données personnelles. Cette obligation légale peut être soumise à contrôle et à sanction par la CNIL (Commission Nationale de l’Informatique et des Libertés) si elle n’est pas respectée.
Les salariés nous interpellent… verbatim :
Quand je réponds aux questionnaires de Schneider Electric, est-ce réellement anonyme ?
Mes publications à propos de Schneider Electric sur les réseaux sociaux sont-elles surveillées ? Quand je poste un message sur LinkedIn, est-ce que Schneider Electric l’analyse ?
Depuis que je ne suis plus administrateur de mon PC, que fait Schneider Electric de mes données ? Mes données sont par défaut dans le cloud, y a-t-il un risque ? Où sont-elles stockées ? Est-ce que le pays qui les stocke et le fournisseur qui les gère respectent les règles de mon pays ?
J’ai eu une visioconférence sur Teams, et j’ai eu l’impression d’être espionné, est-ce que Schneider Electric est capable ou a le droit de nous espionner sur Teams ?
Je dois transmettre un certificat de maladie au 2525, je n’ai pas de PC professionnel, comment dois-je leur transférer ? Combien de temps ces données seront-elles conservées ?
Est-ce que Schneider Electric est soumis à des règles d’état qui l’oblige à signaler les détenteurs de données illicites ? La CFDT rappelle que détenir des données illicites (logiciels piratés, images, …) constitue un délit, et sauf erreur involontaire, ne peut cautionner ce type d’agissement !
Il y a de plus en plus de contraintes sur l’usage de mon PC pour des raisons de Cybersécurité, j’ai même des difficultés à faire mon travail, pourquoi tant de restrictions ?
Je viens de suivre une formation essentielle obligatoire, y a-t-il des informations personnelles stockées quelque part ? Mon manager dispose de quelle information à ce sujet ? Est-ce que mon HRBP les a à sa disposition? Si je postule à un nouveau poste, auront-ils accès à mes résultats sur les formations que j’ai effectuées ?
Mon management me répond que tout est bien fait chez Schneider Electric, mais comment le vérifier ? Par exemple, je souhaite rectifier mon adresse personnelle et partout où elle est utilisée. Quelle est la procédure que je dois suivre ?
Même si pour les employeurs, c’est une obligation légale…
Schneider Electric est-il capable de nous les fournir ?
La data privacy policy de schneider Electric…
Schneider déclare être conforme à la législation et respecter les règles locales en vigueur comme le stipulent tous les documents que nous avons trouvés qui sont mis à disposition sur notre Intranet SPICE+.
Où trouver ces chartes ?
Sur la page de garde de Spice+ dans le bas de page, vous trouverez un lien vers l’ensemble des chartes disponibles avec l’outil PolicyTech.
Mais pour trouver la charte Data Privacy Policy, nous sommes allés à partir de Spice+, dans ‘Mes applications’. Puis en cliquant sur le ‘+ ajouter des applications’, vous pourrez, via la barre de recherche en tapant son nom ‘Data Privacy Policy‘, l’ajouter dans vos liens directs. Pour les plus pressés, voici le lien: https://schneiderelectric.policytech.eu/docview/?docid=10429
… Mais vos représentants CFDT ne se sont pas arrêtés là
Si vous répondez à l’enquête « Safer Future 2024 », vous avez une première page bien écrite qui vous introduit un lien vers la « notice d’information relative à la protection d’écoute continue » qui contient bon nombre d’informations que nous sommes en droit d’attendre d’une politique de gestion des données personnelles. Cette notice contient à nouveau un lien vers une autre notice qui n’est pas accessible…
Si vous cherchez sur internet, vous pourriez tomber sur cet outil fourni par Schneider Electric :
Vous vous demandez si nous nous sommes arrêtés en si bon chemin ? Eh bien, nous vous proposons de faire un autre voyage. Essayez de soumettre une note de frais. Vous verrez apparaître une fenêtre qui vous demande si « vous êtes en accord avec les conditions incluses dans l’avis de confidentialité ». Et si vous copiez-collez le lien dans un explorateur, vous accèderez à 2 nouveaux fichiers de Policy en Anglais. La Concur Expense Privacy Notice vous offrira à nouveau un lien vers la fameuse Global Data Policy via un lien… qui ne fonctionne pas!
Avez-vous essayé de déclarer un conflit d’intérêt via le support@Schneider ? Vous aurez alors la chance de pouvoir valider une nouvelle charte sur la protection des données personnelles mais en version 2023. N’est-il pas surprenant que vous deviez valider cette charte sachant que c’est un engagement de Schneider Electric à protéger vos données. Mais rassurez-vous, elle rappelle « Schneider Electric est une entreprise mondiale qui s’engage à garantir un niveau de protection adéquat des données personnelles conformément aux lois en vigueur. »
Le CFDT demande également que la charte de protection des données soit écrite en français, accessible à tous, compréhensible et conforme à la législation française et européenne, (tous types de données, collectées sur tous supports, et sur tous médias).
Cette charte devrait également inclure une section sur la surveillance des salariés. Par exemple, est-ce que les échanges et les dossiers sur PC nommés « personnel » demeurent bien confidentiels et privés ?
Pour aller plus loin :
La surveillance des données produites par les salariés dans les entreprises est encadrée par plusieurs régulations, principalement le Règlement Général sur la Protection des Données (RGPD) et le Code du travail français et de la CNIL (Respecter les droits des personnes).
RGPD
Le RGPD, entré en vigueur le 25 mai 2018, impose des règles strictes sur la collecte, le traitement et la conservation des données personnelles. Les entreprises doivent :
- Obtenir le consentement explicite des salariés pour la collecte de leurs données.
- Informer les salariés sur la finalité de la collecte et l’utilisation de leurs données.
- Assurer la sécurité et la confidentialité des données collectées.
- Permettre aux salariés d’accéder à leurs données et de demander leur rectification ou suppression.
Code du travail
Le Code du travail stipule que la surveillance des salariés doit respecter leur vie privée. Les articles 9 du Code civil et L1121-1 du code du travail précisent que toute mesure de surveillance doit être proportionnée au but recherché et ne doit pas porter atteinte aux droits et libertés des salariés.
Cybersurveillance
La cybersurveillance des salariés est également soumise à des règles strictes. Les employeurs doivent informer les salariés de l’existence de dispositifs de surveillance et de leur finalité. De plus, les données collectées doivent être pertinentes et limitées à ce qui est nécessaire pour atteindre les objectifs de l’entreprise.
Si vous avez des questions spécifiques ou besoin de plus de détails, n’hésitez pas à demander à vos élus CFDT !