Quelques points d’attention pour les employeurs, les organisateurs sectoriels et les fonds de pension pour l’application du RGPD

Le 25 mai 2016, le Règlement Général sur la Protection des Données (en abrégé: RGPD - ou, selon l’abréviation anglaise communément utilisée, « GDPR ») entrait en vigueur.

Après une période transitoire de deux ans, cette nouvelle règlementation européenne sera également applicable en Belgique. Dans notre newsletter du 4 mai 2016, nous mettions en lumière les dix choses que vous deviez connaître, en tant qu’employeur, sur le RGPD. Cette newsletter fut suivie par plusieurs newsflashes portant notamment sur un certain nombre de positions importantes prises par la Commission de la protection de la vie privée et le Groupe de travail « Article 29 » concernant la mise en œuvre concrète du règlement. Pour le cadre général du RGPD, nous renvoyons également à notre site web (www.gdprbelgium.be).

Dans la présente newsletter, nous nous focalisons sur certains points spécifiques aux employeurs et aux organisateurs sectoriels (ci-après conjointement dénommés « organisateurs ») ainsi qu’aux fonds de pension (IRP’s) pour ce qui concerne le traitement de données dans le cadre de l’exécution des plans de pension complémentaire.

Un plan de pension complémentaire ne peut en effet être géré et exécuté sans que des données à caractère personnel des (ex-) travailleurs affiliés et leurs bénéficiaires ne soient traitées. Nous pensons ici notamment au calcul des droits de pension constitués, à l’élaboration des fiches de pension annuelles, au paiement des capitaux de pension et de décès ou encore des rentes...

Le RGPD est applicable à tous les établissements, entreprises et organisations européens et est donc rédigé en des termes généraux, ce qui ne facilite pas toujours l’application de ces nouvelles règles au contexte spécifique des plans de pension complémentaire et des fonds de pension. En effet, nous ne pouvons pas parler, dans ce contexte spécifique, d’une relation de personne à personne. En matière de pensions complémentaires, le point de départ est une relation tripartite entre l’organisateur, l’organisme de pension (fonds de pension ou assureur) et les affiliés. En outre, les personnes concernées au sens du RGPD ne sont pas uniquement les (ex‑)travailleurs affiliés qui bénéficient d’un engagement de pension, mais aussi leurs bénéficiaires. Même si ces derniers sont des tiers à l’engagement de pension, leurs données sont tout de même traitées et ils sont donc en ce sens également des personnes concernées au sens du RGPD.

De plus, la matière ne part pas de rien. Au cours des dernières années, les organisateurs et les fonds de pension ont en effet déjà mis en place de nombreuses mesures pour un traitement sûr des données à caractère personnel. Il est important d’en tenir compte autant que possible et, de cette manière, éviter une surcharge administrative et un over-engineering pour les fonds de pension.

Dans la présente newsletter, nous abordons un certain nombre de thèmes spécifiques qui présentent un intérêt particulier pour l’application du RGPD dans le contexte des pensions complémentaires. Une position commune du secteur des pensions serait la bienvenue sur certaines questions qui demeurent ouvertes. Nous indiquons également brièvement les documents qui doivent être vérifiés afin d’être GDPR-proof dans les temps.

Nous vous souhaitons une agréable lecture!