Depuis l’entrée en vigueur du règlement général sur la protection des données (ci-après « RGPD »), les responsables de traitement conduisant des traitements de données « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes » doivent préalablement procéder à une analyse d’impact relative à la protection des données (article 35 (1) du RGPD).
Cette analyse d’impact (ci-après : « AIPD ») est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité et la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes concernées, en les évaluant et en déterminant les mesures pour y faire face.
Le RGPD accorde aux autorités de régulation nationales une certaine marge de manœuvre pour lister des types de traitements impliquant nécessairement la mise en œuvre d’une AIPD (article 35 (4) du RGPD).
Ainsi, la CNIL impose-t-elle la mise en œuvre d’une APID par exemple lorsqu’un employeur est responsable d’un traitement ayant pour finalité de « surveiller de manière constante l’activité des employés concernés » (délibération CNIL n° 2018-327 du 11 octobre 2018).
A l’inverse, le RGPD permet également à ces autorités de lister des opérations pour lesquelles une AIPD n’est jamais requise (article 35 (5) du RGPD).
Tel est l’objet de la délibération de la CNIL publiée le 22 octobre, qui liste 12 traitements sans AIPD (délibération CNIL n° 2019-118 du 12 septembre 2019).
Quatre traitements concernent particulièrement la sphère du travail :
- Les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage.
- Les traitements destinés à la gestion des activités des Comités sociaux et économiques.
- Les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
- Les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.
Pour les traitements ne figurant ni dans la liste établie par la délibération du 11 octobre 2018, ni dans la liste de la délibération du 12 septembre 2019, il appartient aux employeurs d’analyser, au cas par cas, l’importance du risque généré par le traitement pour déterminer si une APID est obligatoire en suivant les lignes directrices établies par le Comité européen de la protection des données.
En cas de doute, il est recommandé de conduire une telle analyse.
Pour plus d’informations sur la méthode de conduite d’une étude d’impact des données personnelles dans la sphère des ressources humaines, retrouvez l’article co-rédigé par Cécile Martin, Associée, Karin Dulac, Counsel et Pierre-Alexis Quéré, Collaborateur dans la Semaine Sociale Lamy, n°1840 du 10 décembre 2018.