Le 21 novembre 2019, la CNIL a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel à la suite d’une consultation publique. Ce référentiel n’a été publié que récemment, le 15 avril 2020.
En pratique, ces documents visent à guider les organismes dans la mise en conformité de leur traitement. En effet, depuis la mise en œuvre du RGPD (Règlement général sur la protection des données), ces référentiels actualisent les normes et autorisations uniques qui ont pu être adoptées avant le 25 mai 2018.
Ce nouveau référentiel relatif à la gestion des ressources humaines se faisait attendre depuis plus d’une année car les normes simplifiées adoptées par la CNIL n’avaient plus aucune valeur juridique. Dans l’attente de production d’un référentiel en matière de gestion des ressources humaines, la norme simplifiée n°46 a été maintenue accessible dans le but de permettre à tous responsables de traitement d’orienter leurs premières actions de mise en conformité.
Le champ d’application de ce document est cependant bien plus large que celui de la NS 46. Il couvre d’une part, le processus de recrutement et le processus de gestion de la paye et d’autre part, il précise des règles de fond (bases légales, durées des conservations des données…) et intègre de nouvelles obligations (tenue d’un registre de traitement, réalisation d’une étude d’impact).
Ce référentiel de plus d’une quinzaine de pages explique de manière précise et détaillée, les objectifs visés, les destinataires auquel il s’adresse, les données concernées par la gestion des RH, les bases légales, la durée de conservation des données et les dispositions relatives aux personnes et leurs droits.
Ce référentiel vise à apporter des réponses concrètes à la gestion RH entre un employeur et son personnel en fonction des diverses données personnelles que ces organismes ont à collecter. En application de ce référentiel, les organismes sont donc assurés de la conformité des traitements RH au regard de la protection des données.
Dans une logique de responsabilisation, les acteurs sont responsables auprès de l’autorité de régulation (CNIL) et c’est dans cette optique que la CNIL a élaboré ce référentiel. Cependant, ce document constitue davantage un cadre de référence qu’un texte ayant une portée normative. En effet, cet outil n’est pas contraignant.
S’il peut justifier de son choix et de sa responsabilité, le responsable de traitement n’est pas tenu de suivre à la lettre l’ensemble des préconisations contenues dans le référentiel. Cependant, cet outil pratique et pédagogique recense et applique les principes du RGPD au traitement de données relative à la gestion du personnel, qui peuvent s’avérer être des données sensibles qui doivent bénéficier de davantage de protections.
Ce référentiel a une portée relativement large. Il s’applique, d’une part, indifféremment aux relations de travail existantes entre un employeur et son personnel, que cet employeur soit privé ou public et, d’autre part, il entend la notion de « personnel » comme une notion large englobant et couvrant en principe tout type de contrats (sauf exceptions expressément prévues).
Dans le cas où un organisme ne serait pas en conformité, celui-ci doit appliquer les dispositions prévues par le RGPD et explicitées par le référentiel. Le responsable de traitement doit alors recenser l’ensemble des traitements relatifs à la gestion du personnel, informer les personnes concernées, intégrer l’ensemble des données dans un registre de traitement et potentiellement réaliser une étude d’impact.
Ce référentiel rappelle également que le traitement mis en œuvre doit répondre à un objectif précis et être justifié face aux missions et aux activités de l’organisme.
La difficulté repose dans le fait que ces finalités peuvent être diverses : recrutement, formation, organisation du travail, communication interne… Dans le cas où l’organisme souhaite utiliser ces données dans un but différent, il doit alors justifier d’une nouvelle finalité.
De même que tout traitement doit correspondre à une base légale (article 6.1 du RGPD), l’organisme ne peut collecter que les données pertinentes et strictement nécessaires. Le nombre de destinataires des données collectées est encadré ainsi que les durées de conservation de celles-ci. La CNIL a explicitement cité et listé l’ensemble des bases légales qui sont susceptibles de fonder les traitements en matière RH et a également dressé un tableau, à titre indicatif, de choix de base légale pour chaque finalité de traitement (Référentiel, page 5).
La CNIL a également établi un tableau qui contient des illustrations pratiques des durées de conservation pouvant, selon le contexte, être retenues par les organismes concernés (Référentiel page 11).
En outre, le droit des personnes est réaffirmé dans la mesure où elles doivent être informées et qu’elles disposent de divers droits tels que le droit à la portabilité, le droit à la limitation, le droit de s’opposer…
Enfin, le référentiel, en application des dispositions de l’article 35 du RGPD prévoit que le responsable de traitement pourrait avoir à réaliser une étude d’impact dès lors que le traitement mis en œuvre présente un danger élevé pour les droits et libertés des personnes concernées.
De manière pratique, le référentiel distingue les traitements qui sont soumis à l’obligation de réalisation d’une étude d’impact de ceux qui ne le sont pas et la démarche à suivre dans le cas où celle-ci serait obligatoire.
Par l’adoption de ce référentiel, la CNIL cherche à accompagner les organismes pour les aider à continuer le processus de protection des données personnelles et de préservation des libertés individuelles.