Norme simplifiée n°2019–001/CDP du 19 AVRIL 2019 DE LA COMMISSION DE PROTECTION DES DONNEES PERSONNELLES
OBJET :
SIMPLIFICATION DES DECLARATIONS DE TRAITEMENTS DE DONNEES PERSONNELLES RELATIFS A LA GESTION DES PERSONNELS DANS LES ORGANISMES PUBLICS ET PRIVES
La Commission de protection des données personnelles du Sénégal (CDP), réunie en session plénière 19 avril 2019 sous la présidence de Madame Awa NDIAYE, Présidente ;
Vu l’Acte Additionnel A/SA. 1/01/10 relatif à la protection des données à caractère personnel dans l’espace CEDEAO ;
Vu la loi n°97-17 du 1er décembre 1997 portant Code du travail ;
Vu la loi n°61-33 du 15 juin 1961 relative au statut général des fonctionnaires ;
Vu la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel ;
Vu le décret n°2008-721 portant application de la loi n°2008-12 du 25 janvier 2008 ;
Vu la délibération modificative n°2016-00230/CDP du 26 août 2016 portant règlement intérieur de la Commission de protection des Données Personnelles (CDP) ;
Vu le procès-verbal de la session plénière du 19 avril 2019 de la Commission de protection des données personnelles.
EMET, APRES DELIBERATION, LES MESURES SUIVANTES :
I. Objet :
En application de l’article 19 de la loi n°2008-12 du 25 janvier portant protection des données à caractère personnel, la CDP établit et publie des normes destinées à simplifier l’obligation de déclaration.
A ce titre, les organismes publics et privés conformes aux exigences de la présente norme simplifiée peuvent effectuer une déclaration simplifiée pour les traitements mis en œuvre dans le cadre de la gestion de leurs personnels.
Ces exigences sont :
II. Les finalités du traitement :
Les finalités visées dans le cadre de la présente norme simplifiée sont :
II .1. La gestion administrative et financière et la gestion organisationnelle du travail :
La gestion administrative et financière et la gestion organisationnelles du travail peut comprendre :
- la gestion des dossiers du personnel ;
- la gestion des fiches de postes du personnel ;
- la gestion administrative et financière du personnel(élaboration de contrat, congés, les salaires ou autres rémunérations, déclarations fiscales et sociales) ;
- la gestion des agendas professionnels et des tâches à effectuerpar le personnel autorisé ;
- la gestion des réunions périodiques des départements ou services ;
- la gestion des annuaires internes etorganigrammes ;
- la gestiondes dotations individuelles en fourniture, d’équipements, de véhicules, de bons de carburants, d’achats et de restauration, de cartes de paiement, de crédit téléphonique.
II.2. La mise à la disposition des employés d’outils informatiques :
Le traitement de données personnelles des salariés à des fins de mise à disposition d’outils informatiques prend en compte :
- l’installation, le suivi et la maintenance du parc informatique ;
- la gestion de la messagerie électronique professionnelle ;
- la gestion du dispositif intranet de l’organisme.
II.3. La formation et le suivi des carrières :
Le traitement de données personnelles à des fins de formation et de suivi des carrières des employés comprend notamment :
- le traitement des demandes de formation ;
- l’organisation des sessions de formation ;
- le suivi des formations internes et externes du personnel ;
- l’évaluation des formationset des connaissances ;
- l’évaluation du personnel ;
- la gestion de la mobilitéprofessionnelle des employés ;
- le suivi des affectations de postes ;
- la mise à disposition et le détachement des agents ;
- le changement de corps professionnel.
III. Les catégories de données traitées :
Les catégories de données pertinentes pour la gestion du personnel sont les suivantes :
- noms, prénoms, sexe, date et lieu de naissance, adresse, numéro de téléphone personnel et professionnel, adresse électronique, situation matrimoniale, nombre d’enfants, nationalité, coordonnées personnelles, matricule interne, extrait casier judiciaire volet n°3 ;
- noms, prénoms des enfants et époux ou épouse (s), nom et prénoms et numéro de téléphone de la personne à contacter en cas de besoin ;
- statut de l’employé (salarié, intérimaire, stagiaire, consultant interne, conseiller) ;
- les données relatives aux actes d’avancement ;
- date et conditions d’embauche ou de recrutement, poste occupé,missions confiées,horaires de travail fixées ;
- données de connexion enregistrées pour assurer le bon fonctionnement des applications et réseaux de l’organisme.
IV. Les catégories de personnes concernées :
Les personnes concernées par le traitement sont les employés et collaborateurs des organismes publics ou privés et quelle que soit la nature de la relation professionnelle (salarié, intérimaire, stagiaire, consultant, conseiller), ainsi que les membres de leur famille.
V. Les destinataires des données :
Les personnes et structures habilitées à recevoir communication des données citées au point 3 de la présente norme sont, notamment :
- les services de gestion des ressources humaines ;
- les supérieurs hiérarchiques des employés concernés ;
- les institutions sociales (l’IPRES, la CSS, IPM) ;
- l’administration fiscale (la DGID) ;
- la Direction générale de la Solde ;
- l’Inspection du travail ;
- les compagnies d’assurances contractantes.
Les données peuvent être communiquées à tout autre organisme public légalement habilité.
VI. La durée de conservation des données :
Les données à caractère personnel ne peuvent être conservées au-delà de dix (10) ans après le départ de l’employé, sous réserve de dispositions particulières fixant une durée de conservation.
VII. Les droits des personnes concernées :
Les personnes employées dans les organismes publics et privés exercent leurs droits à l’égard du traitement de leurs données dans les conditions fixées par la loi n°2008-12 du 25 janvier 2008 portant protection des données en ses articles 58 et suivants.
Ces droits sont :
- le droit à l’information préalable :
Les salariés sont informés du traitement de leurs données personnelles, notamment de l’identité du responsable du traitement, des finalités et des destinataires des données.
Cette information doit être portée dans une clause du contrat de travail ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
- le droit d’accès :
L’employeur doit mettre en place toutes les mesures nécessaires pour permettre aux salariés d’accéder à leurs données personnelles.
Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
L’employeur communique les données demandées par les salariés dans un délai ne dépassant pas un (01) mois.
- le droit d’opposition :
Les salariés ont le droit de s’opposer aux traitements de leurs données personnelles ne répondant pas à une obligation légale de l’employeur ou à une nécessité de service.
Les modalités d’exercice du droit d’opposition doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
- le droit de rectification et de suppression :
Les salariés ont le droit de demander que leurs données personnelles inexactes ou incomplètes soient rectifiées, complétées, mises à jour ou supprimées.
Les modalités d’exercice du droit d’accès doivent être précisées dans une note de service ou dans un document écrit ou électronique remis au salarié lors de l’embauche.
VIII. Les mesures de sécurité :
Les organismes publics ou privés doivent prendre toutes les mesures de sécurité techniques et organisationnelles utiles pour préserver la sécurité des données, conformément à l’article 71 de la loi n°2008-12 du 25 janvier 2008.
L’employeur doit, notamment empêcher que les données personnelles des salariés soient déformées, endommagées ou que des tiers non autorisés y aient accès.
IX. Le recours à un sous-traitant :
Lorsque l’employeur fait appel à un sous-traitant (cabinet comptable, fiscal et Ressources Humaines) pour l’externalisation de la gestion administrative et financière de son personnel, celui-ci doit présenter des garanties appropriées pour la sécurité et la confidentialité des données personnelles qu’il traite.
Par ailleurs, le sous-traitant s’engage à traiter les données personnelles des salariés de façon confidentielle.
Un engagement de confidentialité signé par le sous-traitant est consigné au contrat qui le lie à l’employeur.
X. Dispositions finales :
Tout traitement mis en œuvre par un organisme public ou privé pour la gestion de son personnel, non conforme aux dispositions de la présente norme simplifiée, ne peut faire l’objet d’une déclaration simplifiée auprès de la CDP.
Les traitements non conformes à la présente norme sont régis par la déclaration normale.
Télécharger NS N°1_Gestion du personnel.pdf
Télécharger FORMULAIRE DE DECLARATION SIMPLIFIEE.docx