Out-Law / Votre briefing quotidien

Le nouveau referentiel de la CNIL sur la gestion du personnel – mode d'emploi pour DRH ou DPO surcharge

Analyses Out-Law | 15 May 2020 | 10:46 am | 8 min. de lecture

Vous avez vu passer ce référentiel de 17 pages et l’avez ajouté sur votre to-do liste sans trop y croire ? Cet article est fait pour vous ! 

Le 15 avril dernier, après deux mois de consultation publique, la CNIL a publié un nouveau référentiel sur les traitements courants de données opérés dans le cadre de la gestion du personnel. Cela fait partie des nouveaux pouvoirs de la CNIL depuis l'entrée en vigueur du Règlement Général sur la Protection des Données ("RGPD").

Ce référentiel a pour but de remplacer (tout en étendant son champ d'application) la norme simplifiée NS-46 sur la gestion du personnel, qui servait d'outil d'orientation non contraignant depuis l'entrée en application du RGPD.

Ce référentiel devient donc LE texte à connaître pour les traitements de données de vos salariés. Si vous n'avez pas encore eu le temps de le lire, vous trouverez dans cet article les réponses à toutes vos questions !

Qu’est-ce qu’un référentiel ? En quoi est-il pertinent pour mon organisation ?

Un référentiel est un document rédigé par la CNIL afin de créer un cadre de référence sur lequel les organisations peuvent se baser pour mettre certaines de leurs activités de traitement de données à caractère personnel en conformité avec la réglementation en vigueur.

Avant de préparer un référentiel, la CNIL consulte les secteurs ou les organismes concernés afin de tenir compte de leurs enjeux et contraintes pratiques dans la mise en œuvre de ces activités de traitement spécifiques. Cela permet d'élaborer un cadre de référence qui réponde autant que possible aux questions que se posent les professionnels pour se conformer au RGPD et à la Loi Informatique et Libertés ("LIL").

Les référentiels sont un type, parmi de nombreux autres, de cadres de référence préparé par la CNIL ou par le CEPD (e.g. les lignes directrices du CEPD, celles de la CNIL, les règlements type, les recommandations, etc.). Ce sont des outils de conformité particulièrement utiles si vos activités de traitement entrent dans leur champ d'application.

Ce référentiel est donc pertinent si votre organisation traite les données à caractère personnel  de votre personnel et que vous souhaitez valider la conformité de vos activités de traitement (vérifier que vous appliquez les bonnes durées de conservation ou des mesures de sécurité adaptées) ou comprendre les étapes à suivre pour parvenir à cette conformité.

Que contient ce référentiel globalement ?

Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion des ressources humaines. Vous y trouverez notamment :

  • la liste des finalités susceptibles d'être poursuivies pour vos traitements de gestion du personnel :
    • cela vous permettra d'ajuster votre registre des traitements et, le cas échéant, de mieux le compartimenter en fonction des finalités poursuivies et des bases légales envisageables en fonction de celles-ci.
  • la liste des bases légales adaptées à vos activités de traitement de données RH :
    • la CNIL distingue ici les bases légales "les plus fréquemment mobilisables" du consentement, base légale qui ne peut être utilisée que "dans certains cas exceptionnels" (e.g. l'enregistrement d'une vidéo promotionnelle peut être basée sur le consentement de l'employé à condition que son refus n'ait aucun impact sur son activité professionnelle).
    • la CNIL fournit un tableau très utile détaillant, à titre purement indicatif (et applicable sous réserve de choix différents dans des circonstances particulières), la base légale pouvant être choisie en fonction des finalités que vous poursuivez.
  • la liste des données considérées pertinentes par la CNIL dans le cadre de la gestion des ressources humaines :
    • cette section est intéressante car la CNIL illustre avec quelques exemples des cas complexes de traitements de données sensibles (la santé du salarié) ou assimilées sensibles (e.g. le numéro de sécurité sociale) ;
    • la CNIL liste de manière très détaillée dans un tableau les données susceptibles d'être traitées en fonction des finalités poursuivies : ce tableau est particulièrement utile pour comprendre les limites que vous devez fixer dans les données traitées ou non. A titre d'exemple, le motif de l'arrêt de travail doit se limiter à l'information suivante : "accident du travail" ou "maladie professionnelle" dans le cadre de la gestion des déclarations d'accident du travail ou de maladie, sans préciser la maladie ou autre dont est atteint le salarié.
  • les types de destinataires susceptibles d'être habilités à recevoir les données de vos salariés ;
  • les durées de conservation "types" pouvant être appliquées en fonction de la structure votre organisation :
    • la CNIL a produit un tableau extrêmement bienvenu, dans lequel elle donne des exemples concrets, pour chaque activité de traitement, de la durée de conservation à appliquer en base active puis en archivage intermédiaire, ainsi que la référence à la réglementation applicable.
  • un tableau décrivant les mesures de sécurité à mettre en place afin de préserver la sécurité des données de vos employés :
    • à ce titre la CNIL précise que si votre organisation n'adopte pas ces mesures, il vous faudra justifier de l'équivalence des mesures de sécurité que vous avez implémentées ou des raisons pour lesquelles vous considérez que ces mesures ne sont pas nécessaires.
  • un outil d'aide à la réalisation d'une analyse d'impact relative à la protection des données.

A qui s’applique-t-il ? Mon entreprise est-elle visée ?

Le référentiel s'applique à tout employeur, public ou privé, dans le cadre de ses activités de gestion des ressources humaines, impliquant nécessairement le traitement des données à caractère personnel de ses employés (et ce, quelle que soit la forme juridique de son organisation).

Ce document a une portée très générale et s'applique à tous les effectifs d'un employeur, qu'il s'agisse de personnel temporaire ou d'employés permanents (e.g. stagiaires, vacataires, salariés, agents de la fonction publique, etc.).

En revanche, la CNIL a précisé que ce référentiel ne s'appliquait pas "aux relations de travail présentant des spécificités importantes telles que les activités des entreprises temporaires de travail ou encore le fonctionnement des instances représentatives du personnel".

S’applique-t-il à tous les traitements de données de mes employés ?

Le référentiel vise les activités de traitements habituellement mises en place par les employeurs pour gérer leurs ressources humaines (i.e. recrutement, gestion administrative et rémunération du personnel, mise à disposition d’outils de travail). En revanche, ce référentiel ne s'applique pas aux activités suivantes :

  • les traitements opérés par la médecine du travail ;
  • les traitements réalisés par vos organismes de représentation du personnel (e.g. syndicats et IRP) ;
  • les traitements impliquant le contrôle individuel de l'activité de vos employés ;
  • les traitements de données RH utilisant des outils innovants tels que le "big data", la psychométrie ou des algorithmes destinés à faire du "profilage".

Y-a-t-il dans ce référentiel des réponses aux questions que je m’étais toujours posées ?

Oui, le référentiel de la CNIL tranche certaines questions particulièrement intéressantes !

La première concerne les durées de conservation. Pour la première fois, la CNIL fournit une liste étoffée des durées de conservation de référence pour vos traitements de données de salariés. Cet outil est donc précieux et vous permettra de déterminer traitement par traitement les durées de conservation que vous pouvez appliquer. Bien sûr, si des textes spécifiques s'appliquent à votre activité, ces durées sont modulables à condition de pouvoir le justifier en cas de contrôle.

L'autre information intéressante de ce référentiel est que la CNIL a indiqué, pour plus de 20 finalités de traitement, la base légale qui peut être utilisée. Par exemple, pour la constitution d’une CV-thèque, la CNIL considère que l’intérêt légitime pourra servir de base légale. Attention toutefois, les exemples correspondent aux situations les plus courantes mais si votre traitement a des spécificités, la base légale applicable pourrait varier.

Parmi les différentes bases légales prévues à l'article 6.1 du RGPD qu'il est possible d'utiliser, vous noterez que la CNIL recommande à de nombreuses reprises d'utiliser l'intérêt légitime. En revanche, l'exécution du contrat n'est mentionnée qu'à quatre reprises pour les traitements suivants : gestion du dossier professionnel, gestion des rémunérations, gestion de la mobilité professionnelle et gestion des demandes de formation. Cela peut paraitre surprenant puisque par définition, le salarié est lié à son employeur par un contrat. Pourquoi la CNIL a-t-elle fait cette interprétation ?

Pour le comprendre, il faut revenir à l'avis n°06/2014 sur la notion d'intérêt légitime publié par le Groupe de l'article 29 (devenu l'EDBP) en 2014. Dans cet avis, il est rappelé que la base légale du contrat doit être interprétée strictement et couvrir uniquement des situations dans lesquelles le traitement est véritablement nécessaire à l’exécution du contrat. Ainsi, il faut déterminer la raison d’être exacte du contrat, c’est-à-dire sa substance et son objectif fondamental. Si le traitement fait partie de la raison d'être du contrat, le fondement du contrat s'applique, sinon c'est plutôt vers la base légale de l'intérêt légitime - ou une autre des bases légales prévues par le RGPD - qu'il faudra se tourner. 

Que se passe-t-il si mon traitement ne fait pas partie de ceux visés dans le référentiel ?

Le référentiel a un périmètre large et vous devriez y trouvez une finalité qui corresponde à votre traitement. Toutefois, si ce n'est pas le cas, deux pistes principales sont à explorer :

  • soit votre activité est extrêmement spécifique et le traitement que vous souhaitez mettre en œuvre n'a pas été prévu dans ce référentiel même s'il relève de la vie courante de votre activité,
  • soit il s’agit d’un traitement qui présente une sensibilité particulière et celui-ci ne fait donc pas partie des traitements courants de gestion du personnel. Dans ce dernier cas, il faudra probablement réaliser une analyse d’impact conformément à l'article 35 du RGPD.

Avons-nous le choix de respecter ou non ce référentiel ? Que se passe-t-il si mon organisation ne respecte pas ce référentiel ?

Ce référentiel n'est pas contraignant. Vous pouvez donc parfaitement décider de ne pas le respecter. Cela s'inscrit dans la logique du RGPD et du principe de responsabilité des entreprises.

Néanmoins, vous devrez alors être en mesure de justifier pourquoi votre activité nécessite de déroger à ce référentiel et dans tous les cas, vous assurer que vous vous conformez à l’ensemble des dispositions du RGPD. Si vous n'avez pas de bonne raison d'y déroger, vous prenez en effet le risque d'être sanctionné en cas de contrôle de la CNIL.

Comment puis-je prouver que je respecte ce référentiel ?

Votre outil principal sera votre registre des traitements (voir article 30 du RGPD). En effet, dans ce document, vous devez centraliser des informations sur l’ensemble des traitements mis en œuvre par votre société, y compris ceux relatifs à la gestion du personnel.

Votre registre des traitements devra donc refléter les conditions de mises en œuvre de vos traitements conformément au référentiel. Evidemment, ce que vous indiquez dans votre référentiel doit refléter la réalité des choses puisqu'en cas de contrôle, la CNIL ne se contentera pas de consulter votre registre !

Pour vous assurer du respect du registre des traitements en interne, vous devrez donc également rédiger et faire appliquer des process internes (e.g. charte informatique, process garantissant que les nouveaux salariés sont bien informés des traitements qui les concernent, process de gestion des habilitations, etc.) mais également contrôler que les contrats passés avec vos sous-traitants ou partenaires sont conformes au RGPD.

Si je dois faire une analyse d’impact, en quoi ce référentiel peut-il m’aider ?

Comme vu à la question 7, si votre traitement ne figure pas dans le référentiel, il se peut que votre traitement nécessite de mener une analyse d’impact en raison du risque qu’il présente pour les droits et libertés de vos salariés.

Dans ce cas, même si votre traitement ne figure pas dans le référentiel, ce dernier vous sera d’une grande aide. En effet, il vous servira de guide pour compléter les sections de l'analyse d'impact sur la description de votre traitement, ses destinataires, etc. et vous permettra de vérifier que vous n’avez rien oublié dans votre analyse de risque.

De plus, les éléments fournis dans le référentiel pourront vous servir de points de comparaison. Par exemple, si vous mettez en œuvre un traitement d’une sensibilité particulière en raison de sa finalité ou des données traitées, vous saurez que vos mesures de sécurité devront être renforcées par rapport à celles prévues dans le référentiel.

Existe-t-il d’autres référentiels que celui-ci ?

Oui, la CNIL a notamment adopté un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles, dit « whistleblowing ». Il existe également un autre référentiel spécifique au secteur de la santé.

Deux autres référentiels devraient également voir le jour  sur la mise en œuvre de fichiers « clients » et « prospects » et sur le traitement de gestion d’impayés. En effet, la CNIL avait soumis ces projets à consultation publique. Cette consultation s’est terminée le 11 janvier 2019 mais les versions définitives des référentiels sont toujours en attente. Affaire à suivre !

« Co-écrit par Anne-Sophie Mouren et Clémence Marolla, avocats spécialisés en protection des données à Paris »