Contexte et enjeux
Le Groupe traite des données à caractère personnel relatives à ses employés, clients, partenaires, prestataires de services, sous-traitants et fournisseurs dans le cadre de ses activités quotidiennes (gestion des collaborateurs, gestion des solutions clients et prospects, etc.).
Fort de ses valeurs éthiques relatives aux données personnelles et à la vie privée, ENGIE s’est engagé à les protéger par la définition et la mise en œuvre d’une Politique Groupe de protection des données personnelles.
Quelques définitions
- Donnée à caractère personnel : toute information relative à une personne physique identifiée ou qui peut être identifiée (« Personne Concernée »), directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (i.e. nom, prénom, n° de sécurité sociale, e-mail, adresse IP, etc.).
- Traitement : toute opération ou tout ensemble d’opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé et notamment la collecte, l’enregistrement, l’organisation, la conservation, ...
- Responsable de traitement : entité qui détermine les finalités et moyens du ou des Traitements qu’il met ou fait mettre en place. Le Responsable de Traitement est tenu de prendre toute précaution nécessaire à la protection des Données à caractère personnel.
L’évolution de la réglementation dans le temps
Au niveau européen, la Directive de 1995 a été remplacée par le Règlement Général de Protection des Données (RGPD) qui est d’application directe depuis le 25 mai 2018. Ce dernier vient renforcer les droits des personnes et les obligations des responsables de traitement.
À l’international, une évolution similaire est constatée dans un nombre toujours croissant de pays.
L’engagement d’ENGIE en matière de protection des données personnelles
ENGIE s’engage dans le respect des réglementations relatives à la protection des données personnelles. La Politique d’ENGIE en matière de protection des données personnelles définit les objectifs, les moyens et la gouvernance permettant aux entités concernées de respecter la réglementation dans ce domaine.
Les principes qu’elle énonce sont appelés à être mis en pratique par toutes les entités mettant en œuvre des traitements de données à caractère personnel.
Les Hubs Régionaux, les Business Entities et GBS ont désigné des Data Privacy Manager en charge de coordonner les activités de protection des données personnelles. Leurs missions sont notamment la mise en œuvre de la Politique Groupe au niveau des Hubs Régionaux, des Business Entities, de GBS ou de l'Entité, le conseil et l’information du responsable des traitements, de s’assurer du respect de la réglementation en matière de protection des données à caractère personnel sur leur périmètre, la sensibilisation des collaborateurs... Au niveau du Groupe, le Comité Data Privacy réuni de manière trimestrielle les Data Privacy Manager et a pour objectif d’assurer le pilotage des activités transverses relatives à la protection des données personnelles. Le risque data privacy est évalué chaque année par les Hubs Régionaux, les Business Entities et GBS puis consolidé au niveau du Groupe dans le cadre de la démarche d’analyse annuelle des risques Groupe (ERM).
La protection des données personnelles au sein d’ENGIE dispose de son propre référentiel de contrôles qui est porté par l’exercice annuel de contrôle interne (INCOME).
Les activités du Groupe en matière de protection des données personnelles sont restituées chaque année au Comité pour l’Ethique, l’Environnement et le Développement Durable (CEEDD) du Conseil d’Administration d’ENGIE.
Quelques exemples de principes de protection des données appliqués
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
- Un traitement doit avoir un objectif précis.
- Les données traitées doivent être cohérentes par rapport à l'objectif de la collecte.
- Les données ne doivent pas être réutilisées pour des finalités autres que celles déclarées.
Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis. Les personnes concernées doivent être informées en toute transparence de l’utilisation et du partage de leurs données. Elles doivent pouvoir exercer leur droit d’accès, rectification, opposition, …
Le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.
Politique Groupe de protection des données personnelles
ENGIE a actualisé en Juillet 2022 sa Politique Groupe de protection des données personnelles pour prendre en compte la réorganisation en GBU, Hubs Régionaux et Business Entities et renforcer sa gouvernance dans le domaine.
Règles Contraignantes d’Entreprise (BCR)
ENGIE est amené à traiter de nombreuses données à caractère personnel, notamment celles de ses collaborateurs dans le cadre de la gestion de ses ressources humaines.
Contacts et référents
ENGIE a désigné, pour plusieurs de ses sociétés et dans plusieurs pays, des Délégués à la Protection des Données ou DPO (Data Protection Officer). Ils sont joignables via le portail GDPR.
