Couvrant les principaux traitements RH, le nouveau référentiel publié par la CNIL a vocation à préciser le cadre à respecter depuis l’entrée en vigueur du RGPD le 25 mai 2018. Cet article met en lumière les nouvelles précautions à prendre.
Valeur du référentiel
Adopté à la suite d’une consultation publique menée en 2019, ce référentiel, accompagné d’une FAQ, constitue un cadre de référence qui reste cependant non contraignant. Les précédentes formalités (notamment les déclarations obligatoires à faire à la CNIL [1]) ayant été abrogées par l’entrée en vigueur du RGPD[2], le référentiel vient expliciter le nouveau cadre réglementaire en intégrant les obligations issues du RGPD. Si les employeurs peuvent s’en écarter, il leur appartiendra sous leur responsabilité d’en apporter la justification, en cas de contrôle.
Rappel des obligations de base de conformité issues du RGPD à la charge des employeurs
> Procéder au recensement des traitements aux fins de tenir le registre des traitements[3] : Cette nouvelle obligation s’applique à tous les employeurs qui profiteront de cette occasion, pour procéder à un diagnostic de leurs traitements RH pour les mettre en conformité, si besoin, avec le référentiel. Dans tous les cas, il est recommandé de conduire une analyse au cas par cas, selon les applications et outils utilisés par l’employeur.
> Réaliser les analyses d’impact relative à la protection des données (AIPD) [4] pour les traitements les plus sensibles. Les salariés pouvant être considérés comme des personnes concernées vulnérables en raison du déséquilibre des pouvoirs accru qui existe entre elles et le responsable du traitement (l’employeur), le référentiel rappelle les traitements RH qui ne nécessitent pas d’AIPD[5] et ceux qui doivent faire en l’objet[6].
> S’assurer des mesures de sécurité mises en œuvre pour protéger les données des salariés.
> S’assurer d’une information pertinente des candidats et salariés notamment en intégrant les nouvelles mentions obligatoires : base légale du traitement, nouveaux droits dont celui de saisir la CNIL en cas de réclamation, désignation d’un DPO et moyen de le contacter. Ces informations pourront être transmises par le biais de la charte informatique et d’une note d’information en annexe du contrat de travail ou une mention sur le site internet de la société pour le recrutement.
> Veiller à l’efficacité de la procédure répondant à la demande d’exercice des droits des candidats et salariés, notamment d’opposition et de portabilité.
Champs d’application du référentiel : Il s’applique à toutes les relations de travail existant entre un employeur public ou privé (qualifié de responsable de traitements) et son personnel. Les personnels sont compris largement, quelque soit le statut contractuel (CDI, CDD, alternance, contrats d’apprentissage, stagiaires etc.).[7]
Traitements concernés : ceux mis en place couramment par les employeurs :
Sont explicitement visés : les traitements afférents à (au) recrutement, gestion administrative des personnels ; gestion des rémunérations et accomplissement des formalités administratives afférentes ; mise à disposition du personnel d'outils professionnels ; organisation du travail ; suivi des carrières et de la mobilité ; formation ; tenue des registres obligatoires, rapports avec les instances représentatives du personnel ; communication interne ; gestion des aides sociales ; réalisation des audits, gestion du contentieux et du précontentieux.
Néanmoins d’autres traitements sont susceptibles d’être réalisés par l’employeur : Ils ne sont pas illicites mais l’employeur devra être particulièrement vigilant lors de leur mise en œuvre : par exemple les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés ou le recours à des outils innovants[8], ou encore ceux qui sont soumis à d’autres référentiels (ex gestion des alertes professionnelles[9], biométrie[10]). Il en va de même de la vidéosurveillance.
Pour se prévenir du risque de détournement de finalité, la CNIL rappelle que les informations recueillies pour les finalités identifiées ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité initiale.
Base légale des traitements : La CNIL saisit l’opportunité de ce référentiel pour clarifier cette nouvelle mention qui doit être communiquée aux salariés et candidats.
Le référentiel identifie notamment les bases légales suivantes possibles :
> Le respect d’une obligation légale (ex :Déclaration sociale nominative, registre unique du personnel, élections professionnelles, réunions des IRP)
> L’exécution, soit d’un contrat auquel la personne concernée est partie (gestion du dossier du personnel, paiement de la rémunération, mobilité professionnelle, demande de formation, soit de mesures précontractuelles prises à sa demande (ex :recrutement);
> La réalisation de l’intérêt légitime poursuivi par l’employeur ou le destinataire des données, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux du salarié/candidat : ex : tenue des agendas, gestion de l'action sociale et culturelle directement mise en oeuvre par l'employeur[11], Suivi et maintenance du parc informatique, gestion des annuaires informatiques, messagerie professionnelle, sécurité et le bon fonctionnement des applications informatiques et des réseaux, Gestion des dotations individuelles...
> Le consentement libre, spécifique, éclairé et univoque de la personne concernée : dans le prolongement de sa doctrine classique, la CNIL refuse cette base légale considérant que les salariés sont rarement en mesure de donner, refuser ou révoquer librement leur consentement, du fait du lien de subordination. Ils ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entrainerait aucune conséquence sur leur situation.
Quelles données personnelles visées par le référentiel ?
La CNIL liste, à l’instar de l’ancienne NS 46, les données autorisées et rappelle qu’elles sont soumises au respect du principe de minimisation, doivent être pertinentes et strictement nécessaires au regard du traitement envisagé.
La CNIL sensibilise de nouveau les employeurs sur les précautions à prendre au regard des données comme le NIR (numéro de sécurité sociale), des données relatives aux infractions, condamnations pénales et mesures de sûreté, et des données dites sensibles (données de santé, opinions politiques et philosophiques, appartenance syndicales, orientations sexuelles..) susceptibles de traitement limité si celui- ci est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres à l’employeur ou au salarié en matière de droit du travail, droit de la sécurité sociale ou protection sociale, dans la mesure où ce traitement est autorisé par le droit français ou une convention collective.
Les destinataires des données sont ceux classiquement identifiés avec un rappel sur l’importance de l’habilitation interne au titre de ses missions ou fonctions à traiter les données transmises : il s’agira dès lors de bien veiller notamment aux habilitations informatiques des personnes en charge de la gestion du personnel, de la paie et autres destinataires internes autorisés et cloisonnement des outils. La CNIL rappelle également la nécessité de bien encadrer les relations avec les prestataires auxquels l’employeur est susceptible d’avoir recours (restauration collective, vote électronique, archivage des documents, tenue des comptes d’épargne, etc.) et de vérifier le contenu des contrats avec ces derniers : ceux qualifiés de sous-traitant au sens du RGPD devront contenir une clause conforme à la réglementation[12].
Durées de conservation : Ces règles existaient déjà mais le référentiel apporte des précisions pratiques notamment en terme d’archivage en base active et en bases intermédiaires auxquelles les accès doivent être restreints. Le référentiel admet que de nombreuses données restent nécessaires à la gestion de la relation contractuelle (contrat de travail) et doivent être conservées pendant la durée de la relation de travail, sauf disposition légale ou réglementaire contraire. Le référentiel vient légitimer la justification de la conservation de certaines données en base intermédiaire par l’obligation de l’employeur à répondre à des obligations comptables, sociales ou fiscales, ou encore si ces données présenteraient un intérêt en cas de contentieux, le temps des règles de prescription/forclusion applicables (prescriptions pénales par exemple).
Conclusion : La CNIL permet par ce référentiel d’aider les employeurs à renforcer leur conformité au RGPD. Ils pourront s’appuyer sur leur délégué à la protection des données, s'ils en disposent d’un, ou même de décider d’en désigner un, en interne ou externalisé. Celui-ci reste le relais naturel de la conformité, pour mettre en œuvre d’un point de vue pratique l’ensemble des préconisations issues de ce référentiel.
[1] Engagement de conformité à la Norme simplifiée NS 46 : Il n’était pas nécessaire de faire cette formalité si un CIL (correspondant informatique et libertés) avait été désigné, qui inscrivait ces traitements à son registre.
[2] Règlement européen sur la protection des données : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
[3] A cette fin la CNIL avait publié différents modèles, toujours disponibles sur son site.
[4] Au travers de son outil gratuit et de guides pratiques
[5] AIPD non requise : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise : Traitements entrepris par des entreprises de moins de 250 salariés : Traitements classiques de gestion du personnel à l’exception du recours au profilage : - la gestion de la paye, l’émission des bulletins de salaire ; - la gestion des formations ; - la gestion du restaurant d’entreprise, la délivrance des chèques-repas ; - le remboursement des frais professionnels le suivi des entretiens annuels d’évaluation ; la tenue des registres obligatoires ; - l’utilisation des outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ; - le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ou à caractère hautement personnel)...
Par ailleurs, quelque soit la taille de l’entreprise, sont également exemptés : les traitements ayant pour finalité : - la mise en place d’un dispositif par badge sans biométrie pour entrer dans les locaux d’un organisme à des fins de sécurité ; - la mise en place d’un dispositif de contrôle du temps de travail effectué par les salariés, à l’exclusion de toute autre finalité.
Pour autant, la CNIL précise que « cette liste n’est pas exhaustive, dans la mesure où des traitements qui n’y figurent pas peuvent également ne pas nécessiter une AIPD. C’est le cas des traitements qui ne présentent pas de risque élevé pour les droits et libertés des personnes physiques car ils ne répondent à aucun des critères issus des lignes directrices du G29.
Par ailleurs, il n’y pas d’AIPD pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité, ou les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ». Cette dispense d’obligation de réaliser une AIPD, pour les traitements existants et régulièrement mis en œuvre, sera limitée à une période de 3 ans. https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd
[6] Voir notre précédente étude : https://www.tgs-avocats.fr/blog/rgpd-donnees-rh-aipd
[7] Sont exclus du référentiel : les activités des entreprises temporaires de travail, le fonctionnement des instances représentatives du personnel, les organisations syndicales, les instances représentatives du personnel, ou encore les services de médecine de travail
[8] Qui sera traité à part par la CNIL
[9] https://www.cnil.fr/fr/dispositifs-dalertes-professionnelles-publication-du-referentiel-pour-les-traitements-de-donnees
[10] Règlement type de la CNIL du 10 janvier 2019 https://www.cnil.fr/sites/default/files/atoms/files/deliberation-2019-001-10-01-2019-reglement-type-controle-dacces-biometrique.pdf
[11] sauf activités de médecine du travail, de service social ou de soutien psychologique
[12] Art 28 du RGPD.
Voir plus de commentaires