Dernière modification le
Protection des données personnelles
Introduction et finalités
Le ministère de la Fonction publique (ci-après dénommé « MFP ») est notamment en charge de la politique générale en matière de statut, de rémunérations et de gestion du personnel de l’État, ainsi que de la politique générale en matière de responsabilité sociale de l’État en tant qu’employeur.
Pour l’assister dans l’accomplissement de ses missions, le MFP a plusieurs administrations sous sa tutelle : l’Administration des services médicaux du secteur public (ASM), le Centre de gestion du personnel et de l’organisation de l’État (CGPO), le Commissariat du Gouvernement chargé de l’instruction disciplinaire (CGID), l’Institut national d’administration publique (INAP) et le Service national de la sécurité dans la fonction publique (SNSFP).
Aux fins de l’accomplissement des missions qui lui sont confiées par le règlement interne du Gouvernement, le ministère de la Fonction publique peut être amené à traiter des données à caractère personnel vous concernant.
Le MFP, en tant que ministère traitant des données à caractère personnel, est tenu de respecter les obligations qui lui incombent en sa qualité de responsable du traitement, et s’engage à mettre tout en œuvre pour respecter les principes de la protection des données à caractère personnel et ceux de la vie privée, conformément au Règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016 (ci-après dénommé « RGPD ») et aux législations européennes et luxembourgeoises en vigueur.
L’objectif de cette notice est de vous informer sur l’utilisation et la gestion de vos données à caractère personnel par le MFP, en sa qualité de responsable du traitement.
Quelques définitions utiles
Personne concernée
La personne concernée est toute personne physique identifiée ou identifiable dont les données à caractère personnel font l’objet d’un traitement.
Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Donnée à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Traitement
Le traitement est toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqué à des données à caractère personnel, tel que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Responsable du traitement
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.
Sous-traitant
Le sous-traitant est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Délégué à la protection des données (DPO)
Le délégué à la protection des données est la personne physique ou morale qui contrôle le respect des mesures de protection des données à caractère personnel.
Destinataire
Le destinataire est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière ne sont pas considérées comme des destinataires.
Autorité de contrôle
L’autorité de contrôle est l’autorité publique indépendante chargée de surveiller l’application du Règlement UE 2016/679 du 27 avril 2016. Elle est entre autres dotée de la mission de recevoir les réclamations des personnes concernées par un traitement de données personnelles.
Au Luxembourg, l’autorité de contrôle est la Commission nationale pour la protection des données (CNPD).
Dispositions communes à tous les traitements
A. Le responsable du traitement
Le MFP, ayant ses bureaux au 10, avenue John F. Kennedy, L-1855 Luxembourg, est le responsable du traitement.
À ce titre, le MFP est responsable de la manière dont il recueille, utilise, partage, stocke et protège vos données personnelles.
Le responsable du traitement peut être contacté à l’adresse suivante :
Ministère de la Fonction publique
10, avenue John F. Kennedy
L-1855 Luxembourg
B. Le délégué à la protection des données (DPO)
Le DPO peut être contacté à l’adresse suivante :
Ministère de la Fonction publique
À l'attention du délégué à la protection des données
10, avenue John F. Kennedy
L-1855 Luxembourg
Courriel : dpo@mfp.etat.lu (uniquement pour les questions en relation avec la protection des données)
C. Catégorie de données traitées
Selon le type de finalité poursuivie, les données personnelles suivantes sont collectées et traitées dans le cadre de nos activités :
- Données relatives à votre état civil et à votre identité, telles que nom, prénom, date de naissance, sexe, nationalité, numéro d’identification, adresse postale, adresse email, numéro de téléphone, pièce d’identité ou autres documents identifiants administratifs ;
- Données financières, par exemple: RIB, IBAN, informations relatives à votre niveau de rémunération ;
- Données médicales, par exemple : certificat d’aptitude, certificat de maladie ;
- Données relatives à la composition de votre ménage, telles que mariage ou forme de cohabitation, historique marital, membres de la famille ;
- Données relatives à votre affiliation ;
- Données relatives à votre vie professionnelle et plus particulièrement les informations indiquées dans votre curriculum vitae. Par exemple, langues maîtrisées, qualifications professionnelles, employeur, titre et description de poste, date de recrutement, lieu de travail, spécialisation, copies de diplômes, etc. ;
- Données relatives au casier judiciaire, en lien avec le recrutement et dans les limites permises par la réglementation applicable ;
- Données relatives aux réclamations et plaintes ; et
- Toute autre donnée personnelle que vous décidez de communiquer au personnel du MFP.
D. Sources des données traitées
En sus des données personnelles que le MFP collecte directement auprès de vous, le MFP peut également collecter des données personnelles auprès de l'administration ou de l'organisme sollicitant ses services.
Le MFP peut vérifier votre affiliation dans le registre national des personnes physiques RNPP (loi modifiée du 19 juin 2013 relative à l’identification des personnes physiques).
E. Sous-traitant
Le MFP a recours à des sous-traitants pour l'assister dans ses travaux de développement et de maintenance, dans le contexte de la gestion de l'infrastructure informatique. Ces travaux sont réalisés dans les règles de l'art.
F. Les mesures de sécurité
Le responsable du traitement, tout comme ses sous-traitants, met en place des politiques et des mesures techniques et organisationnelles appropriées, afin de protéger la sécurité de vos données personnelles et principalement la confidentialité, l’intégrité et la disponibilité de celles-ci.
Le délégué à la protection des données du MFP s’occupe à plein temps de la protection des données personnelles et s'assure que le MFP est en mesure de démontrer sa conformité à la réglementation applicable en matière de protection des données à caractère personnel.
Le personnel du MFP est soumis à une obligation de confidentialité. Il est formé et a reçu une documentation pour le sensibiliser et améliorer ses connaissances en matière de protection des données à caractère personnel.
L’accès aux locaux du MFP est sécurisé par des systèmes de contrôle d’accès et un système de vidéosurveillance. Les entrées et sorties des visiteurs sont gérées par un système de QR codes permettant de circuler dans des zones limitées. Les visiteurs peuvent également circuler dans des zones dédiées après avoir été identifiés ou accompagnés par un agent. Tous les membres du personnel accédant aux locaux du MFP sont identifiés à l’aide de badges.
Les documents physiques à caractère personnel traités par le MFP sont conservés sous clé. Les documents électroniques traités par le MFP sont sécurisés au travers des différentes applications et politiques de sécurité du CTIE et de l'Agence nationale de sécurité des systèmes informatiques (ANSSI).
G. Qui peut avoir accès à vos données à caractère personnel ?
Les données personnelles traitées par le MFP ne sont accessibles qu’à ses agents qui ont à connaître ces informations dans le cadre de leur fonction.
Dans certains cas limités et circonstanciés, vos données peuvent être accessibles aux prestataires du MFP, et aux autorités légalement fondées à se les faire communiquer (par exemple, les autorités policières ou judiciaires, ou les institutions de la sécurité sociale). Tous ces destinataires sont tenus de respecter la législation en matière de protection des données qui leur est spécifiquement applicable.
H. Durée de conservation de vos données à caractère personnel
Vos données à caractère personnel sont conservées pour la durée nécessaire à l’accomplissement des obligations légales et réglementaires du MFP.
Le MFP s’engage à ce que les données collectées soient conservées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et traitées. Ces données peuvent également être conservées dans l’objectif de respecter les délais de prescription ou de tout autres dispositions légales.
I. Où sont transférées vos données à caractère personnel ?
Sauf exception dûment justifiée, vos données sont traitées au sein de l’Union européenne et ne font l’objet d’aucun transfert à destination de pays tiers.
Traitements relatifs aux formulaires du MFP
Les informations qui vous concernent recueillies par le biais d’un formulaire du MFP font l’objet d’un traitement. Chaque formulaire limite la collecte des données personnelles au strict nécessaire (minimisation des données) et indique notamment :
- Quels sont les objectifs du recueil de ces données (finalités) ;
- Si ces données sont obligatoires ou facultatives pour la gestion de votre demande.
En remplissant un formulaire, vous acceptez que vos données personnelles soient traitées dans le cadre de votre demande. Ces informations sont conservées par le MFP pour la durée nécessaire à la réalisation de la finalité du traitement.
La durée de conservation des données communiquées dépendant de la demande, le MFP communiquera sur demande, au cas par cas, cette durée, ou les critères qu'il utilisera pour la déterminer.
Traitements relatifs aux événements
Les informations recueillies sur base des demandes d’inscription à un événement du MFP seront enregistrées dans des bases de données utilisées par le MFP. Seules les données pertinentes et nécessaires à l’exécution de nos services sont collectées, traitées et conservées dans le strict respect du principe de minimisation des données. Ces données seront traitées par le MFP comme suit :
A. Gestion des inscriptions
Après avoir soumis la demande d’inscription à un événement du MFP, les données personnelles sont enregistrées dans des bases de données utilisées par le MFP afin de communiquer tous les documents administratifs nécessaires au suivi de l’événement (comme l’accusé de réception, la confirmation, le refus, le rappel…).
B. Préparation de l’événement
Les données personnelles peuvent être communiquées au(x) intervenant(s) de l’événement concerné afin de connaître en amont son public. Lorsqu’il s’agit d’un webinaire, les données personnelles peuvent être communiquées à un prestataire de service externe qui gère l’événement.
C. Suivi de la participation à l’événement
Les données personnelles sont traitées afin d’établir des listes de présence, des badges pour les participants et de communiquer des documents (matériel pédagogique, attestations de présence…).
D. Catégories de données traitées
En vous inscrivant à un événement organisé physiquement, en ligne (webinaire) ou de façon hybride, par le MFP, vous êtes informé et marquez votre accord concernant le fait :
- Que vous êtes susceptible de figurer sur des photographies ou images vidéo prises à l’occasion de l’événement.
- Que l’événement est susceptible d’être enregistré (son ou image vidéo) et éventuellement diffusé, soit en direct, soit après l’événement.
Si vous entendez vous opposer à ce traitement de vos données, il est recommandé de vous manifester avant l’événement auprès du service en charge de l’organisation afin de trouver, dans la mesure du possible, un moyen pour que vos données ne soient pas reproduites sur les photographies ou vidéos. Si l’événement est tenu en ligne, il vous sera proposé de désactiver votre caméra ou votre micro.
Les photos ou l’enregistrement de l’événement, et le cas échéant leur diffusion, ont pour finalité la communication relative à l’événement consistant dans la publication ou la diffusion dans les différents supports de communication du MFP tels que les sites et portails internet externes, les plateformes de Réseaux internes, newsletters, réseaux sociaux (LinkedIn, Facebook, X, Instagram ou tout autre réseau social à venir), chaînes sur une plateforme de partage de vidéo (Vimeo, YouTube), etc.
Compte tenu du caractère imprévisible d’Internet et des réseaux sociaux, vous reconnaissez en vous inscrivant à un événement que les publications effectuées par le MFP seront partageables par des tiers sur ces mêmes plateformes ou ailleurs et que le MFP ne peut pas être tenu responsable de ces actes.
Autres catégories de données personnelles traitées :
- Des données d'identification personnelles qui nous permettent entre autres d'entrer en contact avec vous (par exemple: nom, prénom, numéro de téléphone, adresse email).
- Des données personnelles se rapportant à votre ministère / administration / établissement public.
- Des données récoltées par vidéosurveillance et qui concernent votre image, lorsque l’événement a lieu dans la Tour A.
E. Catégories de destinataires des données traitées
Les données personnelles peuvent être divulguées en interne et au sein des administrations sous notre tutelle qui ont un besoin professionnel de les connaître.
Les données personnelles peuvent être communiquées au(x) intervenant(s) de l’événement concerné afin de connaître en amont son public. Lorsqu’il s’agit d’un webinaire, les données personnelles peuvent être communiquées à un prestataire de service externe qui gère l’événement.
Les données personnelles peuvent être communiquées au ministère / administration / établissement public de l’agent soumettant la demande d’inscription à un événement du MFP, afin par exemple de prouver votre présence.
Dans certains cas limités et circonstanciés, elles peuvent être accessibles aux prestataires autorisés du MFP et aux autorités légalement fondées à se faire communiquer de telles données (par exemple, autorités policières ou judiciaires). Tous ces destinataires sont tenus de respecter la législation en matière de protection des données qui leur est spécifiquement applicable.
F. Durée de conservation
Nous conserverons vos données à caractère personnel aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels nous les avons recueillies, pendant la période définie par nos exigences opérationnelles (telles que faciliter la gestion de notre relation avec vous) et pour une durée nous permettant de nous conformer à nos obligations légales.
Autres traitements
Ici vous pouvez prendre connaissance des notices d'information sur les différents traitements des données personnelles que le MFP est amené à effectuer :
Droit des personnes concernées
A. Droit à l’information
Toute personne a un droit de regard sur la collecte et le devenir de ses données à caractère personnel.
Les personnes concernées ont également un droit à être informées d’une violation de données à caractère personnel si celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
B. Droit d’accès
Vous avez le droit d’obtenir la confirmation du MFP qu’il traite vos données à caractère personnel et d’obtenir une copie de ces données.
C. Droit de rectification
Vous pouvez demander la rectification de vos données erronées ou incomplètes.
D. Droit à l’effacement
Vous pouvez demander l’effacement de vos données à caractère personnel dans les limites et les conditions légales et réglementaires en vigueur.
E. Droit d’opposition
Vous pouvez vous opposer, pour des raisons tenant à une situation particulière, au traitement de vos données personnelles.
F. Droit à la portabilité
Vous pouvez récupérer les données que vous avez fournies au MFP, dans un format structuré, couramment utilisé et lisible par une machine.
G. Droit de retirer le consentement
Lorsque nous utilisons vos données personnelles sur la base de votre consentement, vous avez le droit de retirer ce consentement à tout moment. Ce retrait ne porte pas atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait.
Votre demande sera traitée dans les 30 jours calendrier. Si celle-ci est complexe ou que nos services font face à un grand nombre de demandes, ce délai sera prolongé de 60 jours.
Pour exercer vos droits, veuillez renvoyer le formulaire de demande (Pdf, 749 Ko), par e-mail ou par courrier à notre délégué à la protection des données, accompagné d’une copie de votre titre d’identité comportant votre signature.
- E-mail : dpo@mfp.etat.lu
- Courrier :
Ministère de la Fonction publique
À l'attention du délégué à la protection des données
10, avenue John F. Kennedy
L-1855 Luxembourg
Pour toute information complémentaire ou réclamation en relation avec le traitement de vos données personnelles par le MFP, vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle en matière de protection des données. Au Luxembourg, l’autorité de contrôle est la Commission nationale pour la protection des données (CNPD) :
Commission nationale pour la protection des données (CNPD)
1, avenue du Rock’n’roll
L-4361 Esch-sur-Alzette
Téléphone : (+352) 26 10 60 1
Site internet : www.cnpd.lu
Modification de la notice d’information
Le MFP se réserve le droit de modifier ou de compléter à tout moment, sans préavis, la présente notice. Celle-ci est susceptible d’être mise à jour régulièrement en fonction des modifications légales et réglementaires en matière de protection des personnes à l’égard du traitement des données à caractère personnel.
Les principes énoncés dans cette notice d’information sont fondés sur la réglementation et les lois européennes et luxembourgeoises en vigueur à la date de sa publication. Ils pourront faire l’objet d’adaptations ultérieures, afin de suivre les modifications réglementaires et légales.
La présente notice est destinée à vulgariser l’accès à l’information et doit à cet effet simplifier certains sujets. Elle a été établie avec soin. Cependant le MFP ne saurait garantir l’exactitude ou le caractère complet du contenu. Seules les dispositions légales font foi et aucun droit ne saurait résulter de la présente notice. Il appartient à l’usager de se tenir informé et seule la version actualisée accessible en ligne fait foi.