Données à caractère personnel & Gestion des ressources humaines : la Cnil publie son référentiel

Les données des salariés sont régulièrement au cœur des débats et de l’actualité en matière de protection des données à caractère personnel. Et tout employeur, quel que soit son secteur d’activité, est concerné !

 

Or, comme nous vous l’annoncions dans un précédent article, et après la publication en fin d’année dernière du référentiel relatif aux dispositifs d’alertes professionnelles, la Commission nationale de l’informatique et des libertés (la “Cnil”) a dévoilé le 15 avril dernier son référentiel relatif à la gestion du personnel, adopté à la suite d’une consultation  publique.

 

Ce référentiel, qui s’inscrit dans la continuité de la doctrine de la Cnil en matière de traitement des données à caractère personnel des salariés, a vocation à constituer un cadre de référence, et donc un outil particulièrement utile à l’attention des entreprises, pour les aider dans la mise en conformité de leurs traitements relatifs à la gestion du personnel au regard de la réglementation relative à la protection des données à caractère personnel.

 

*

 

*                              *

 

Un champ d’application couvrant une grande partie des traitements de données relatifs à la gestion du personnel

Ce référentiel s’applique à tout organisme, privé ou public, quelle qu’en soit sa forme, qui met en place des traitements de données à des fins de gestion du personnel, et est présenté comme ayant vocation à remplacer les précédentes délibérations de la Cnil s’agissant des traitements couramment mis en œuvre par les organismes-employeurs en matière de gestion des ressources humaines.

Ce référentiel couvre les finalités de traitement suivantes :

  • la gestion administrative des salariés et la mise à leur disposition d’outils de travail (traitements qui faisaient jusqu’à présent l’objet de la norme simplifiée NS-46, désormais dénuée de valeur juridique depuis l’entrée en vigueur du RGPD) ;
  • le processus de recrutement (qui faisait précédemment l’objet d’une recommandation dédiée de la Cnil) ;
  • mais également la gestion de la paie (finalité pour laquelle la Cnil avait antérieurement élaboré les dispenses DI-001 et DI-002, elles aussi dénuées de valeur juridique depuis le 25 mai 2018).

En revanche, sont exclus les traitements de données à caractère personnel qui ne relèvent pas de l’employeur, tels que par exemple les traitements mis en œuvre par les organismes syndicaux, par les instances représentatives du personnel, ou encore par la médecine du travail.

En outre, le référentiel exclut spécifiquement certains traitements de données relatifs à la gestion du personnel :

  • les traitements de gestion RH impliquant le recours à des outils innovants (par exemple, la psychométrie), les traitements algorithmiques à des fins de profilage ou encore les traitements dits de « big data » pour lesquels la Cnil indique dans le référentiel qu’ils seront traités à part ;
  • les traitement ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.

Ces traitements doivent faire l’objet d’une attention particulière en raison de leur sensibilité et des mesures spécifiques et renforcées aux fins de protéger les droits et libertés des personnes concernées doivent être déployées.

 

Des exemples précis relatifs à l’identification du fondement juridique de chaque finalité de traitement

Le choix du fondement juridique d’un traitement de données à caractère personnel est une difficulté rencontrée par beaucoup de professionnels.

En effet, chaque finalité de traitement doit reposer sur un fondement juridique approprié parmi ceux limitativement listés par les textes applicables. Il peut notamment s’agir de l’exécution de mesures précontractuelles ou contractuelles, du respect d’une obligation légale, de la sauvegarde des intérêts vitaux de la personne concernée, de l’exécution d’une mission d’intérêt public ou encore de la poursuite des intérêts légitimes du responsable du traitement.

Outre sa fiche pratique permettant de mieux appréhender ces notions, et par conséquent d’identifier lequel de ces fondements est le plus adapté au traitement mis en œuvre, la Cnil présente dans son référentiel de nouveaux éléments concrets permettant d’identifier pour chaque traitement le fondement pouvant être utilisé, étant précisé que ces éléments ne sont que des propositions, à titre indicatif, et ne doivent pas se substituer à une analyse casuistique du fondement applicable par le responsable de traitement.

A titre d’exemple, la Cnil indique que la finalité de gestion des annuaires internes et des organigrammes peut être fondée sur l’intérêt légitime du responsable de traitement ou encore que la tenue du registre unique du personnel peut être fonde sur le respect d’une obligation légale incombant à l’employeur.

Enfin, elle rappelle, conformément à sa doctrine habituelle, que le fondement juridique du consentement s’agissant des traitements de données à caractère personnel des salariés est fortement déconseillé. En effet, “les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé“, ce raisonnement pouvant être transposés aux candidats à un emploi : “ils ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entraine aucune conséquence sur leur situation“.

 

Des éléments concrets s’agissant des modalités et caractéristiques des traitements de données à caractère personnel

Outre ces précisions, le référentiel vient préciser des éléments utiles et concrets permettant à tout responsable de traitement d’évaluer la conformité de leurs traitements à la règlementation applicable en matière de protection des données à caractère personnel, tels que :

  • la liste des données qui semblent pouvoir être traitées dans le cadre de chaque finalité envisagée, la Cnil rappelant que, conformément au principe de minimisation, “l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu’à partir du moment où ce besoin se concrétise” et que certaines données présentant une certaine sensibilité (ex: numéro de sécurité sociale, données de santé,…) ne peuvent être traitées que dans des conditions strictement définies par les textes ;
  • les personnes pouvant être destinataires des données, étant précisé que par principe “les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions” ;
  • les durées de conservation maximum des données à caractère personnel traitées, en fonction de la finalité poursuivie, étant rappelé que “les données à caractère personnel ne doivent être conservées sous une forme permettant l’identification des personnes que le temps strictement nécessaire à la réalisation des finalités poursuivies“.

Il est également rappelé que les traitements mis en œuvre dans le cadre de la gestion du personnel, comme tout traitement de données à caractère personnel, doivent figurer dans le registre des traitements de l’organisme employeur.

 

Un rappel opportun d’agissant des droits des personnes concernées

Pour mémoire, il incombe au responsable de traitement de s’assurer du respect des principes de transparence et de loyauté à l’égard des personnes dont les données peuvent être traitées. Ainsi, dès le stade de la collecte des données personnelles, les personnes concernées doivent être informées de l’existence du traitement, de ses caractéristiques et des droits dont elles disposent en vertu de la réglementation applicable en matière de protection des données à caractère personnel (voir par exemple les modèles proposés par la Cnil).

Si les textes n’imposent aucune forme spécifique, la Cnil considère tout de même qu’une information écrite doit être privilégiée et rappelle que le code du travail impose aux employeurs d’informer individuellement leurs salariés. Elle rappelle en outre qu’il appartient aux responsables de traitement de s’assurer, au regard de la réglementation qui leur est applicable, du respect de l’éventuelle obligation d’informer et/ou de consulter les instances représentatives du personnel compétentes.

Enfin, le référentiel propose un rappel des droits des personnes concernées et des modalités d’exercice de leurs droits sur leurs données à caractère personnel (ex: droit d’accès, droit de rectification,…).

 

Des précisions en matière de sécurité des données et concernant l’identification des traitements soumis ou non à une AIPD

Après avoir rappelé le principe selon lequel le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès, le référentiel reproduit le tableau des mesures de sécurité préconisées par la Cnil. Cette dernière rappelle également qu’en cas de recours à un sous-traitant, ce dernier doit apporter des garanties en matière de sécurité des données à caractère personnel, et que les relations avec ce dernier doivent être encadrées par un contrat écrit comportant un certain nombre de clauses / mentions obligatoires (à cet égard, voir également le guide de la Cnil sur la sous-traitance).

 

Le référentiel apporte enfin des éléments concrets ayant vocation à aider les responsables de traitements à identifier les opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données (« AIPD ») est requise. La Cnil a d’ores et déjà eu l’occasion de s’exprimer sur les opérations de traitement qui nécessitent ou non de faire l’objet d’une AIPD. Le référentiel rappelle les critères devant présider à la détermination de la nécessité (ou non) de la réalisation d’une telle AIPD et vient apporter des précisions et des exemples permettant de mieux appréhender les situations visées par ces listes dans le cadre de la gestion des ressources humaines au sens large.

 

*

 

*                          *

 

Ce référentiel vise donc à permettre aux responsables de traitement de mieux appréhender leurs obligations en matière de protection des données des salariés dans le cadre des traitements qu’ils mettent en œuvre aux fins de gestion des ressources humaines, et à les guider sur les mesures à déployer en vue d’une conformité desdits traitements aux dispositions applicables en matière de protection des données à caractère personnel.

 

Bien que ce référentiel ne soit pas contraignant, il constitue la doctrine de la Cnil s’agissant des traitements visés dans son champ d’application et doit dans la mesure du possible être respecté. Les responsables de traitement peuvent s’écarter de ces préconisations (par exemple, en appliquant des durées de conservation différentes de celles suggérées par le référentiel, en identifiant d’autres bases de traitement pour tel ou tel traitement spécifique, etc.), à condition toutefois de pouvoir justifier leur choix conformément aux textes applicables en matière de protection des données à caractère personnel et sous leur responsabilité.

 

Il convient en tout état de cause de rester attentif aux évolutions législatives ou réglementaires qui pourraient impacter le champ d’application de ce référentiel dans la mesure où le droit à protection des données fait l’objet d’une actualité particulièrement riche, notamment s’agissant des sujets relatifs aux données traitées dans le cadre de la gestion des ressources humaines et plus généralement des données des salariés.

 

Agil’IT accompagne ses clients dans la mise en conformité de leurs traitements de données à caractère personnel relatifs à la gestion du personnel et des ressources humaines, et s’appuie pour ce faire sur l’expertise croisée des membres du pôle IT, Data protection et Télécoms et du pôle Droit social.

 

Par AGIL’IT – Pôle IT, Data protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée