Données à caractère personnel et RH : la Cnil publie deux projets de référentiels

Dans le cadre de sa nouvelle compétence lui permettant d’édicter des référentiels, telle qu’issue de la loi n°2018-593 du 20 juin 2018 (dite « LIL 3 ») modifiant le droit national suite à l’entrée en application du Règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (Cnil) a lancé ce mois d’avril deux consultations ouvertes au public en matière de gestion des ressources humaines et de dispositifs d’alertes professionnelles en entreprise.

 

LES NOUVELLES MISSIONS DE LA CNIL APPLIQUEES AUX RESSOURCES HUMAINES

Après avoir édicté son premier règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, la Cnil propose deux consultations ouvertes au public en vue de publier deux référentiels ayant vocation à guider les organismes dans leur mise en conformité s’agissant des traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion des ressources humaines.

L’article 11 de la loi n°78-17 du 6 janvier 1978 (la « LIL »), modifiée par la loi n°2018-593 du 20 juin 2018 (la « LIL 3 »), confère à la Cnil la compétence d’élaborer des « référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel ». Après l’entrée en vigueur, au plus tard le 1er juin 2019, de l’ordonnance n°2018-1125 du 12 décembre 2018 (la « LIL 4 »), cette compétence de la Cnil sera maintenue mais déplacée à l’article 8 de la LIL ainsi modifiée.

Ces référentiels sont des instruments de régulation qui visent à accompagner les acteurs pour la mise en œuvre de certains traitements de données à caractère personnel, sur un périmètre précis, et qui ont vocation à assurer une meilleure sécurité juridique. La Cnil a donc décidé de faire utilisation de cette nouvelle compétence pour l’appliquer aux traitements des données des salariés[1] : elle soumet ainsi à consultation publique deux référentiels en ce domaine, afin de permettre à tous de publier des commentaires afin que la Cnil comprenne au mieux les attentes des acteurs concernés et les difficultés auxquelles ils sont confrontés. Ces référentiels ne deviendront définitifs qu’après ajustements éventuels suite aux réponses à la consultation publique et examen en séance plénière de la Cnil.

 

UN REFERENTIEL SUR LA GESTION DU PERSONNEL

Le premier projet de référentiel publié par la Cnil concerne la gestion du personnel. Il a pour objectif de guider les organismes (à la fois de droit privé et de droit public) dans la conformité de leurs traitements poursuivant les finalités suivantes : le recrutement, la gestion administrative des personnels, la gestion des rémunérations, la mise à disposition d’outils informatiques au bénéfice des membres de leur personnel, l’organisation du travail, le suivi des carrières, la formation et la gestion des aides sociales.

A ce jour, la Cnil avait d’ores et déjà émis de nombreuses recommandations en matière de gestion du personnel (dispenses n°1 et n°2 du 9 décembre 2004 sur la gestion des rémunérations, norme simplifiée n°46 du 15 février 2016 sur la gestion administrative du personnel, recommandation n°02-017 du 21 mars 2002 sur le recrutement,…). Concrètement, ce projet de référentiel vise donc à pallier le vide laissé par le fait que les dispenses et normes simplifiées de la Cnil n’ont plus, depuis l’entrée en application du RGPD, de valeur juridique.

La consultation publique sur ce projet de référentiel est ouverte jusqu’au vendredi 31 mai 2019.

 

UN REFERENTIEL SUR LES ALERTES PROFESSIONNELLES

Le second projet de référentiel vise à donner un cadre juridique aux organismes concernés par l’obligation de mise en œuvre d’un dispositif de gestion des alertes professionnelles.

En effet, la loi n°2016-1691 du 9 décembre 2016 (la « Loi Sapin 2 ») a créé un régime protecteur pour le lanceur d’alerte, à savoir toute « personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance ».

La loi décrit la procédure à suivre par le lanceur d’alerte pour en informer son entreprise et pose un principe de non-responsabilité pénale de ce dernier.

La Cnil avait déjà élaboré (délibération n°2005-305 du 8 décembre 2005) et mis à jour à de nombreuses reprises, notamment après l’entrée en vigueur de la loi Sapin 2 (délibération n°2017-191 le 22 juin 2017) une autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004). Ce projet de référentiel vise donc à pallier le vide laissé par le fait que les autorisations uniques de la Cnil n’ont plus, depuis l’entrée en application du RGPD, de valeur juridique.

La consultation publique, sur ce projet de référentiel est ouverte jusqu’au vendredi 10 mai 2019.

 

*

*            *

 

Ces référentiels ont ainsi vocation, une fois qu’ils auront été validés dans leurs versions définitives, à accompagner la conformité des acteurs mettant en œuvre des traitements de données poursuivant une finalité de gestion des ressources humaines dans le déploiement et la mise en place de tels traitements de données à caractère personnel conformément aux dispositions applicables, ou encore à les aider à réaliser leur analyse d’impact relative à la protection des données lorsqu’une telle analyse est requise. Tout organisme devra donc par principe se conformer, si besoin en se faisant accompagner, à ces référentiels, et surtout être en mesure de justifier le fait qu’il s’en écarte, le cas échéant.

 

Il convient en tout état de cause de rester attentif aux évolutions législatives ou réglementaires pouvant impacter les traitements de données à caractère personnel des salariés visés dans le périmètre des référentiels ci-dessus, car le droit en ce domaine fait l’objet d’une actualité particulièrement riche (décret 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire, projet de directive du Parlement européen visant à harmoniser les régime de protection des lanceurs d’alerte dans l’ensemble de l’Union Européenne,…).

 

 

Par AGIL’IT – Pôle IT, Data protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée

 

 

[1] Il est précisé que ce n’est pas la première fois que la Cnil use de ce pouvoir d’édicter des référentiels. Des projets en matière de gestion commerciale et de gestion des impayés ont d’ores et déjà été soumis à consultation publique et sont en cours de finalisation.