Le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion du personnel, adopté par la CNIL, a été publié au journal officiel du 15 avril 2020.

Ce référentiel constitue un cadre normatif permettant aux employeurs de s’assurer de la conformité de leurs traitements des données personnelles des salariés au regard du Règlement général sur la protection des données et de la loi Informatique et Liberté. Son respect ne permet toutefois pas de présumer sa conformité aux autres branches du droit (droit du travail, y compris les conventions collectives, droit de la sécurité sociale etc.)

Les employeurs sont autorisés à s’écarter des prescriptions de ce référentiel, à condition d’être en mesure de justifier de spécificités propres entraînant ces adaptations, tout en garantissant les principes protecteurs issus du droit des données personnelles.

 

1) Le référentiel concerne un certain nombre de finalités propres aux employeurs dans le cadre de la gestion de leur personnel :

  • recrutement ;
  • gestion administrative des personnels ;
  • gestion des rémunérations et accomplissement des formalités administratives afférentes ;
  • mise à disposition du personnel d’outils professionnels ;
  • organisation du travail ;
  • suivi des carrières et de la mobilité ;
  • formation ;
  • tenue des registres obligatoires, rapports avec les instances représentatives du personnel ;
  • communication interne ;
  • gestion des aides sociales ;
  • réalisation des audits, gestion du contentieux et du précontentieux.

De manière explicite, toutefois, le référentiel exclut les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés, et les traitements de gestion RH impliquant le recours à des outils innovants tels que les techniques de quantifications des aspects de personnalité ou encore le profilage ou les traitements dits de « Big Data ». A cet égard, la CNIL annonce l’adoption future d’un référentiel propre à ces finalités.

 

2) Chaque traitement doit être fondé sur une base légale (le plus fréquemment, pour ce type d’activité : le respect d’une obligation légale incombant à l’employeur, l’intérêt légitime de celui-ci, ou le respect du contrat de travail).

La CNIL rappelle à cet égard que le consentement d’un candidat au recrutement ou d’un salarié ne saurait être collecté pour fonder un traitement de données personnelles, au regard de la « dépendance » de la personne concernée à l’égard de l’employeur qui rend suspecte la réalité du consentement.

Cette règle, rappelle la CNIL, s’efface lorsque le refus de la part du salarié ne saurait affecter ses chances d’obtenir un emploi (pour un candidat) ou conduire à des sanctions de quelque nature que ce soit (pour un salarié). Ainsi, le consentement du salarié peut être collecté pour la publication de sa photographie sur un trombinoscope, ou en vue de sa participation à un clip promotionnel.

 

3) La CNIL rappelle aux employeurs le principe de minimisation, qui impose de ne pas collecter davantage de données personnelles que nécessaire au regard des finalités déterminées.

Ainsi, la CNIL prévoit expressément la collecte des seules catégories de données relatives :

  • à l’identification de l’employé ;
  • à l’évaluation des compétences du candidat au moment du recrutement ;
  • au suivi de carrière et de la formation de l’employé ;
  • à l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition) ;
  • à la validation des acquis de l’expérience ;
  • à la gestion des déclarations d’accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé ;
  • aux sujétions ou situations particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation ;
  • aux outils et matériels professionnels mis à la disposition de l’employé dans le cadre de ses missions (i.e. cartes de paiement, dotation en matériel informatique, etc.) ;
  • à la gestion des activités sociales et culturelles mises en œuvre par l’employeur ;
  • aux élections professionnelles et réunions des instances représentatives du personnel ;
  • à la lutte contre la discrimination, à l’obligation d’emploi pour les travailleurs handicapés, etc.

La CNIL rappelle que l’ensemble de ces données ne saurait être collecté dès la phase de recrutement, dès lors que la majorité d’entre elles n’est pertinente que dans l’hypothèse d’une embauche effective.

En outre, la CNIL rappelle l’obligation d’être particulièrement vigilant quant à l’utilisation, en principe prohibée mais autorisée par exception, du numéro de sécurité sociale, des données relatives aux infractions, et des données sensibles telles que les données de santé. Ces données ne peuvent être traitées que pour des finalités très spécifiques (gestion du service de santé au travail, des accidents du travail, ou mesures de sécurité particulières).

 

4) La CNIL rappelle également aux employeurs que la transmission des données à des tiers doit être limitée à ce qui est strictement nécessaire pour l’accomplissement des finalités déterminées par l’employeur.

A titre d’exemples, sans que cette liste ne semble être limitative, la CNIL prévoit que des données personnelles puissent être communiquées :

  • à des instances représentatives du personnel, dans le cadre de leurs missions légales et réglementaires, ou, s’agissant des actions sociales et culturelles, sur demande des personnes concernées ;
  • aux organismes gérant les différents systèmes d’assurances sociales (chômage, retraite, prévoyance, congés payés…) légalement habilités ;
  • les entités chargées de l’audit et du contrôle financier de l’employeur ;
  • les sous-traitants éventuels de l’employeur (par exemple : un service de vote électronique, de restauration collective ou de paie externalisés).

 

5) La CNIL propose également des éléments utiles pour la détermination des durées de conservation, au regard des prescriptions légales et des durées de prescriptions applicables, et des mesures de sécurité que l’employeur doit mettre en place. Elle rappelle également l’obligation pour l’employeur de permettre aux salariés d’exercer, dans les conditions réglementaires, leurs droits fondamentaux (accès, opposition, de rectification, effacement, limitation, portabilité), et de leur communiquer une notice d’information sur l’existence du traitement, ses caractéristiques et les droits dont elles disposent.

 

6) Enfin, la CNIL rappelle que l’étude d’impact (AIPD) est un processus de description du traitement, permettant d’en évaluer la nécessité et la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes concernées, en déterminant les mesures pour y faire face.

L’article 35 du RGPD dispose que « lorsqu’un type de traitement […] est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel »

La CNIL a eu l’occasion de préciser les critères permettant de déterminer si un « risque élevé » est caractérisé. Dans une délibération en date du 12 septembre 2019, la CNIL avait à l’inverse désigné certains traitements pour lesquels aucun traitement n’était nécessaire  (cf. notre article).

Tel était le cas s’agissant « des traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. »

Si cette catégorie pouvait manquer de précision, la CNIL propose un certain nombre d’exemples de traitement permettant de simplifier son interprétation :

  • gestion de la paye, émission des bulletins de salaire ;
  • gestion des formations ;
  • gestion du restaurant d’entreprise, délivrance des chèques-repas ;
  • remboursement des frais professionnels ;
  • suivi des entretiens annuels d’évaluation ;
  • tenue des registres obligatoires ;
  • utilisation des outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ;
  • contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ou à caractère hautement personnel).

Il convient donc de rester extrêmement vigilant quant à la nécessité de conduire une AIPD en matière de traitements RH.


Pour aller plus loin

Vous souhaitez recevoir nos newsletters, informations et actualités ?

Inscrivez-vous ici