blog
Publication du nouveau référentiel relatif à la gestion des ressources humaines par la CNIL
23 avril 2020

Le 15 avril dernier a été publié le nouveau référentiel de la CNIL à destination des organismes mettant en place des traitements de données à des fins de gestion des ressources humaines, afin :

  • de les aider à s’assurer de la conformité de leurs traitements aux principes de protection des données personnelles et ;
  • le cas échéant, de les aider à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Ce référentiel succède aux recommandations, dispenses, normes simplifiées et packs de conformité émis par la CNIL, qui n’ont plus de valeur juridique depuis l’entrée en vigueur du RGPD. Le référentiel remplace notamment les dispenses de déclaration en matière de gestion de paie, ainsi que la norme simplifiée NS 46 relative aux traitements de données dans le domaine des ressources humaines.

Champ d’application

L’outil fournit une référence pour la bonne application des règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Par rapport à la norme simplifiée NS 46, le référentiel :

  • couvre la gestion de la paye et les traitements les plus répandus en matière de recrutement ;
  • fournit davantage de précisions quant aux bases légales susceptibles de fonder ces types de traitements de données RH ;
  • précise les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire ou non et ;
  • apporte des éclairages concernant les durées de conservation des données.

Certains traitements spécifiques sont en revanche exclus du champ d’application du référentiel. Ainsi, les responsables de traitement ne pourront pas se contenter de suivre les prescriptions du référentiel afin de s’assurer de la conformité de leurs traitements de données suivants :

  • contrôles d’accès aux locaux de travail à l’aide des dispositifs biométriques ;
  • dispositifs d’alertes professionnelles, de vidéosurveillance, d’écoute et d’enregistrement des conversations téléphoniques ;
  • analyses algorithmiques visant à prédire le comportement ou la productivité des salariés ;
  • traitements « de Big Data », qui font l’objet d’une étude distincte menée actuellement par la CNIL ;
  • autres traitements invasifs ou ayant recours à des outils particulièrement innovants tels que la psychométrie.

La CNIL rappelle par ailleurs qu’elle n’a pas compétence pour interpréter l’ensemble des règles issues de la législation du travail, des textes régissant la fonction publique, des conventions collectives etc., auxquelles les employeurs doivent également se conformer.

Par exemple, lors de la mise en place de nouvelles méthodes ou d’outils de recrutement des candidats, de contrôle et de surveillance des salariés, l’employeur doit informer ou consulter les instances représentatives du personnel (IRP).

Personnes concernées

Le référentiel s’applique aux relations de travail existant entre un employeur public ou privé et son « personnel » au sens large (sont couverts par la notion tous types de contrats : CDI, CDD, alternance, contrats d’apprentissage, etc.).

Certaines relations de travail ne sont cependant pas concernées, comme par exemple celles existant dans le cadre de l’activité d’une entreprise temporaire de travail ou relevant du fonctionnement des instances représentatives du personnel.

Contenu du référentiel

Le référentiel rappelle les différents principes prévus par le RGPD et fournit pour chacun de ces principes des préconisations pratiques :

  • Liste des finalités possibles d’un traitement de gestion du personnel ;
  • Liste des bases légales les plus fréquemment mobilisables dans le contexte de gestion des ressources humaines ;
  • Tableau proposant, à titre indicatif, un choix de base légale pour chaque finalité dans un tableau ;
  • Liste des données personnelles susceptibles d’être traitées dans le cadre de la gestion du personnel et indication du type de données appelant une vigilance renforcée en raison de leur caractère particulièrement sensible ;
  • Tableau recensant des données pouvant être collectées et traitées selon les finalités du traitement ;
  • Liste des personnes susceptibles d’être habilitées au titre de leurs missions ou de leurs fonctions, à accéder aux données à caractère personnel traitées et personnes et instances susceptibles d’être considérées comme destinataires des données dans l’entreprise ;
  • Tableau contenant des illustrations pratiques des durées de conservation pouvant, selon le contexte, être retenues par les organismes ;
  • Précisions pratiques quant à l’application du principe d’information des personnes concernées ;
  • Précisions pratiques quant à l’application du droit d’opposition au traitement ;
  • Liste des mesures pouvant être appliquées par un organisme afin de préserver la sécurité des données à caractère personnel. La CNIL précise qu’à défaut d’adopter ces mesures, l’organisme doit justifier de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir et ;
  • Description des étapes à suivre pour la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Valeur juridique

Le référentiel n’a pas de valeur juridique contraignante. Cependant les responsables de traitement qui décideraient de s’en écarter, en appliquant par exemple des délais de conservation différents de ceux préconisés, doivent être en mesure de justifier leur choix et s’assurer de la conformité de leurs traitements à la règlementation sur les données personnelles.

Pour en savoir plus :

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B04800917963464FEDC142BD3B592451.tplgfr37s_1?cidTexte=JORFTEXT000041798580&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000041798196

blog
Publication du nouveau référentiel relatif à la gestion des ressources humaines par la CNIL
23 April 2020

Le 15 avril dernier a été publié le nouveau référentiel de la CNIL à destination des organismes mettant en place des traitements de données à des fins de gestion des ressources humaines, afin :

  • de les aider à s’assurer de la conformité de leurs traitements aux principes de protection des données personnelles et ;
  • le cas échéant, de les aider à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Ce référentiel succède aux recommandations, dispenses, normes simplifiées et packs de conformité émis par la CNIL, qui n’ont plus de valeur juridique depuis l’entrée en vigueur du RGPD. Le référentiel remplace notamment les dispenses de déclaration en matière de gestion de paie, ainsi que la norme simplifiée NS 46 relative aux traitements de données dans le domaine des ressources humaines.

Champ d’application

L’outil fournit une référence pour la bonne application des règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Par rapport à la norme simplifiée NS 46, le référentiel :

  • couvre la gestion de la paye et les traitements les plus répandus en matière de recrutement ;
  • fournit davantage de précisions quant aux bases légales susceptibles de fonder ces types de traitements de données RH ;
  • précise les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire ou non et ;
  • apporte des éclairages concernant les durées de conservation des données.

Certains traitements spécifiques sont en revanche exclus du champ d’application du référentiel. Ainsi, les responsables de traitement ne pourront pas se contenter de suivre les prescriptions du référentiel afin de s’assurer de la conformité de leurs traitements de données suivants :

  • contrôles d’accès aux locaux de travail à l’aide des dispositifs biométriques ;
  • dispositifs d’alertes professionnelles, de vidéosurveillance, d’écoute et d’enregistrement des conversations téléphoniques ;
  • analyses algorithmiques visant à prédire le comportement ou la productivité des salariés ;
  • traitements « de Big Data », qui font l’objet d’une étude distincte menée actuellement par la CNIL ;
  • autres traitements invasifs ou ayant recours à des outils particulièrement innovants tels que la psychométrie.

La CNIL rappelle par ailleurs qu’elle n’a pas compétence pour interpréter l’ensemble des règles issues de la législation du travail, des textes régissant la fonction publique, des conventions collectives etc., auxquelles les employeurs doivent également se conformer.

Par exemple, lors de la mise en place de nouvelles méthodes ou d’outils de recrutement des candidats, de contrôle et de surveillance des salariés, l’employeur doit informer ou consulter les instances représentatives du personnel (IRP).

Personnes concernées

Le référentiel s’applique aux relations de travail existant entre un employeur public ou privé et son « personnel » au sens large (sont couverts par la notion tous types de contrats : CDI, CDD, alternance, contrats d’apprentissage, etc.).

Certaines relations de travail ne sont cependant pas concernées, comme par exemple celles existant dans le cadre de l’activité d’une entreprise temporaire de travail ou relevant du fonctionnement des instances représentatives du personnel.

Contenu du référentiel

Le référentiel rappelle les différents principes prévus par le RGPD et fournit pour chacun de ces principes des préconisations pratiques :

  • Liste des finalités possibles d’un traitement de gestion du personnel ;
  • Liste des bases légales les plus fréquemment mobilisables dans le contexte de gestion des ressources humaines ;
  • Tableau proposant, à titre indicatif, un choix de base légale pour chaque finalité dans un tableau ;
  • Liste des données personnelles susceptibles d’être traitées dans le cadre de la gestion du personnel et indication du type de données appelant une vigilance renforcée en raison de leur caractère particulièrement sensible ;
  • Tableau recensant des données pouvant être collectées et traitées selon les finalités du traitement ;
  • Liste des personnes susceptibles d’être habilitées au titre de leurs missions ou de leurs fonctions, à accéder aux données à caractère personnel traitées et personnes et instances susceptibles d’être considérées comme destinataires des données dans l’entreprise ;
  • Tableau contenant des illustrations pratiques des durées de conservation pouvant, selon le contexte, être retenues par les organismes ;
  • Précisions pratiques quant à l’application du principe d’information des personnes concernées ;
  • Précisions pratiques quant à l’application du droit d’opposition au traitement ;
  • Liste des mesures pouvant être appliquées par un organisme afin de préserver la sécurité des données à caractère personnel. La CNIL précise qu’à défaut d’adopter ces mesures, l’organisme doit justifier de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir et ;
  • Description des étapes à suivre pour la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Valeur juridique

Le référentiel n’a pas de valeur juridique contraignante. Cependant les responsables de traitement qui décideraient de s’en écarter, en appliquant par exemple des délais de conservation différents de ceux préconisés, doivent être en mesure de justifier leur choix et s’assurer de la conformité de leurs traitements à la règlementation sur les données personnelles.

Pour en savoir plus :

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=B04800917963464FEDC142BD3B592451.tplgfr37s_1?cidTexte=JORFTEXT000041798580&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000041798196