Données personnelles & Gestion des ressources humaines : Le référentiel de conformité de la CNIL publié au Journal Officiel du 15 avril 2020
La règlementation concernant la protection des données personnelles a significativement évolué depuis l’entrée en vigueur du RGPD.
En effet, les formalités préalables qui devaient être effectuées auprès de la CNIL avant la mise en œuvre d’un traitement ont pour l’essentiel disparu au profit d’une logique de responsabilisation des acteurs, désormais responsables de leur conformité.
Cette obligation d’« accountability » a imposé aux entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.(registre des traitements , analyse d’impact , délégués à la protection des données, etc.).
Afin d’aider les employeurs dans leurs démarches de conformité, la CNIL a adopté le 21 novembre 2019 un référentiel qui recense et applique les principes du RGPD aux traitements de données couramment mis en œuvre dans le cadre de la gestion du personnel.
Ce référentiel a été publié au Journal Officiel le 15 avril 2020.
Il constitue un cadre de référence qui permet à un organisme de mettre en conformité ses traitements de données personnelles en matière de gestion des ressources humaines.
Il a vocation à remplacer les recommandations, dispenses, normes simplifiées et packs de conformité produits par la CNIL avant l’entrée en application du RGPD (notamment les dispenses de déclaration en matière de la gestion de paie, ainsi que la norme simplifiée NS 46 relative aux traitements de données dans le domaine RH).
Le référentiel n’est pas contraignant. Les responsables de traitement peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix et sous leur responsabilité.
Le référentiel a vocation à s’appliquer aux relations de travail existant entre un employeur et son personnel, que cet employeur soit public ou privé.
La notion de « personnel » doit être comprise au sens large et couvre notamment tout type de contrats (CDI, CDD, alternance, contrats d’apprentissage, etc.).
Le référentiel n’a en revanche pas vocation à s’appliquer à certaines formes de relations de travail qui présentent des spécificités importantes telles que les activités des entreprises temporaires de travail ou encore le fonctionnement des instances représentatives du personnel.
Il a vocation à aider le responsable de traitement à prendre les mesures suivantes :
- Recenser les traitements relatifs à la gestion du personnel mis en œuvre par l’organisme et vérifier l’existence de potentielles différences avec ceux prévus par le référentiel.
- Informer les personnes concernées dans les conditions prévues par le référentiel qui intègre les nouvelles mentions prévues par le RGPD.
- S’interroger sur le besoin de réaliser une analyse d’impact relative à la protection des données (AIPD).
Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée car il couvre le processus de recrutement mais également la gestion de la paye.
Certaines règles de fond ont été précisées parmi lesquelles celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière RH, ou encore en matière de détermination des durées de conservation des données.
Enfin, le référentiel a intégré les nouvelles obligations en matière du processus de conformité, concernant notamment la tenue d’un registre des traitements ainsi que l’élaboration d’AIPD.
L’employeur doit, dans certaines situations, informer ou consulter les instances représentatives du personnel (IRP), particulièrement le Comité social et économique ou CSE. C’est par exemple le cas lors de la mise en place de nouvelles méthodes ou d’outils de recrutement des candidats, de contrôle et de surveillance des salariés, etc.
Nicolas Herzog
Avocat Informatique – Numérique – Logiciel – Internet