GDPR: droits supplémentaires pour les clients d'une pension complémentaire

À partir du 25 mai 2018, le GDPR entrera en vigueur. Les personnes qui ont une pension complémentaire disposeront de droits supplémentaires pour contrôler les données figurant dans leur dossier à partir de cette date.

 

Le GDPR (General Data Protection Regulation, en français Règlement général sur la protection des données) doit permettre une meilleure protection des données à caractère personnel. Ce règlement européen sort ses effets directement dans tous les États membres, mais ceux-ci ont la possibilité d'y ajouter certaines règles nationales.

 

Obligation d'information

 

Toute personne qui traite des données à caractère personnel devra déclarer comment elles sont collectées, utilisées et traitées. Actuellement, les affiliés et les bénéficiaires d'un plan de pension sont déjà informés entre autres via le contrat de travail, la CCT éventuelle, le règlement de pension, la fiche de pension ou les lettres d'accompagnement lors de la liquidation de la prestation. Le GDPR impose que cette communication comprenne les informations suivantes:

  • l'identité / les coordonnées du (des) responsable(s) du traitement;
  • les coordonnées du délégué à la protection des données (DPO, data protection officer),
  • les finalités du traitement;
  • les (catégories de) destinataires des données à caractère personnel;
  • si les données à caractère personnel sont transmises à un pays tiers ou à une organisation internationale, des renseignements complémentaires seront nécessaires (cf. pay roll / pension administrator hors EEE);
  • le délai pendant lequel les données à caractère personnel sont conservées et les critères qui déterminent ce délai (si possible)
  • le droit d'accès, de rectification, d'oubli, de limitation, d'opposition et de portabilité;
  • le(s) fondement(s) juridique(s) du traitement de données (voir encadré);
    • si le consentement est le fondement juridique du traitement, il doit être fait mention du droit de retirer ce consentement à tout moment;
    • si le respect d'une obligation légale ou contractuelle ou la nécessité de l'exécution du contrat est le fondement juridique du traitement, il est nécessaire d’informer l'intéressé de son obligation de fournir ses données à caractère personnel et des conséquences s'il ne le fait pas;
  • le droit de déposer plainte auprès de la Commission Vie privée.

 

Fondement juridique - pensions complémentaires 

 

Les personnes qui veulent traiter des données à caractère personnel doivent disposer d'un fondement juridique valable. Le GDPR prévoit six bases légales. Le fondement juridique correspondant doit être invoqué pour chaque type de traitement de données.

 

Le respect des obligations légales est clairement un fondement juridique applicable au traitement de données à caractère personnel nécessaire pour la gestion des pensions complémentaires. Il n'y a bien entendu aucune obligation légale d'instaurer un régime de pension mais, si on le fait, tant l'organisateur que l'assureur ou le fonds de pension sont tenus de respecter certaines obligations légales, obligations sur   base desquelles les données à caractère personnel doivent être traitées. Il s’agit par exemple des dispositions relatives au calcul des réserves acquises et à l'établissement des fiches de pension.

 

La nécessité du traitement des données pour l'exécution du contrat est un deuxième fondement juridique possible. Attention, seuls les affiliés à un fonds de pension peuvent invoquer ce fondement: les bénéficiaires n’étant pas parties au contrat ne peuvent s’en prévaloir.

 

Le consentement est un dernier fondement juridique possible. Néanmoins, il ne s’agit pas du plus adéquat compte tenu des conditions plus strictes concernant le contenu et l'obtention du consentement. Ce point de vue est également défendu par la Commission Vie privée. Le consentement comme fondement juridique peut uniquement être invoqué lorsque les affiliés peuvent contrôler leurs droits par exemple, via une plate-forme en ligne. Dans les autres cas, le consentement ne constitue pas un fondement juridique valable. Lors de l'affiliation, la personne qui s'affilie doit donner son consentement à la conservation et au traitement de données à caractère personnel mais cette personne n'a en réalité par le choix. Si elle ne donne pas son consentement, elle ne peut pas s'affilier.

 

Notification

 

Trois parties sont toujours impliquées dans une pension complémentaire: l'affilié, l'organisateur (l'employeur ou l'organisateur sectoriel) et l'organisme de pension (l'assureur ou le fonds de pension). L'organisateur et l'organisme de pension peuvent, chacun séparément, être responsables du traitement ou être conjointement responsables du traitement. Dans le premier cas, chaque responsable doit en principe informer l'affilié ou le bénéficiaire. Dans le deuxième cas, ils doivent définir clairement quel responsable fournit quelle information. Il faut une communication claire à destination du client étant donné que ce dernier doit savoir clairement à qu’il doit s'adresser s'il estime que les règles ne sont pas respectées ou s'il subit un dommage.

 

Le responsable du traitement doit transmettre explicitement les informations, par lettre par exemple. Une mention sur le site web n'est donc pas suffisante. Une exception est faite pour les clients dits « dormants », à condition qu’ils puissent savoir que ces informations figurent sur le site web.

 

 

Avril 2018

Ce site utilise des cookies afin de vous garantir un confort de navigation optimum et vous communiquer des informations et offres personnalisées.

En cliquant sur le bouton 'Continuer', vous acceptez leur utilisation.

Si vous souhaitez les désactiver, nous vous invitons à changer les paramètres de votre navigateur Internet.

Continuer