La CNIL publie son référentiel relatif à la gestion des ressources humaines

CNIL Délib. n°2019-160, 21 nov. 2019

A la suite d’une consultation publique lancée en avril 2019, la CNIL a adopté par une délibération publiée au Journal Officiel le 15 avril 2020, un nouveau référentiel sur la gestion des données à caractère personnel liées aux activités des ressources humaines (RH).

Ce référentiel n’est pas contraignant ; il est envisageable pour un responsable de traitement de s’écarter des préconisations de la CNIL mais il devra être capable de justifier une telle décision en cas de contrôle.

Le référentiel vient remplacer l’ancienne norme simplifiée 46 (NS-046) qui n’a plus de valeur juridique depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD).

  1. Un champ d’application élargi

Le référentiel concerne les traitements de données à caractère personnel « couramment » mis en œuvre par les employeurs dans le cadre de la gestion de leur personnel.

Son champ d’application a été élargi ; ainsi, six nouvelles finalités sont ajoutées aux finalités initialement visées à l’article 2 de la NS-046 : le recrutement, la gestion des rémunérations et accomplissements des formalités administratives afférentes, la tenue des registres obligatoires, rapports avec les instances représentatives du personnel, communication interne, gestion des aides sociales et réalisation d’audits, gestion du contentieux et du précontentieux.

Par ailleurs, la CNIL exclut expressément du champ du référentiel :

  • Les traitements algorithmiques et les traitements innovants comme ceux basés sur la psychométrie ou réalisés à des fins de profilage ;
  • Les traitements ayant pour objet le contrôle individuel de l’activité du salarié ;
  • Les traitements mis en œuvre par les organisations syndicales, les instances représentatives du personnel (IRP) et par la médecine du travail.

Ces traitements feront l’objet d’une communication ultérieure de la part de la CNIL. Certains sont d’ores et déjà encadrés par des règles spécifiques comme la vidéosurveillance, les dispositifs d’alertes professionnelles ou l’accès aux locaux professionnels à l’aide d’un dispositif biométrique.

  1. Licéité du traitement et choix de la base légale

Par application de l’article 6 du RGPD, un traitement de données à caractère personnel pour être licite doit reposer sur une base légale telle que : l’exécution d’une obligation contractuelle, l’exécution d’une obligation légale, l’intérêt légitime du responsable de traitement, l’intérêt public, la sauvegarde des intérêts vitaux ou le consentement de la personne concernée.

Concernant les traitements relatifs à la gestion RH, la CNIL propose pour chaque finalité une base légale possible. La majorité des traitements envisagés ont pour base légale l’intérêt légitime du responsable de traitement ou l’exécution du contrat.

La CNIL porte une attention particulière à l’utilisation du consentement en tant que base légale. Elle rappelle que les employés sont rarement en mesure de donner, refuser ou de révoquer librement leur consentement en raison du lien de subordination existant entre l’employé et son employeur. L’emploi de cette base légale doit en conséquence rester exceptionnel (c’est-à-dire uniquement dans les cas où l’acceptation ou le rejet d’une proposition n’est pas susceptible d’entraîner de conséquences sur la situation de l’employé).

  1. Nature des données traitées et la gestion des données relevant d’une catégorie particulière (article 9 RGPD)

Le principe de minimisation des données (article 5(c) RGPD) est rappelé ; il impose au responsable de traitement de limiter la collecte des données à celles strictement nécessaires au regard des finalités et cette collecte ne peut s’effectuer qu’au moment où la collecte de ces données est nécessaire. Par ailleurs, il est rappelé que les données, dont le traitement est justifié pour une finalité déterminée, ne peuvent être réutilisées à d’autres fins que si cette utilisation est elle-même légalement justifiée. La CNIL liste les données susceptibles de faire l’objet d’une collecte dans le cadre de la gestion RH.

Concernant la nature des données traitées la CNIL insiste sur le fait que certaines catégories de données appellent une vigilance renforcée du fait qu’elles obéissent à des règles de collecte et de traitement spécifiques en raison de leur caractère particulièrement sensible. Il en va ainsi notamment :

  • du numéro de sécurité sociale ;
  • des données relatives aux infractions, condamnations pénales et mesures de sûreté connexes ;
  • des données dites « sensibles » (article 9 du RGPD, articles 6 et 44 de la LIL) c’est-à-dire celles qui révèlent l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
  1. Destinataires des données

Le référentiel précise que lorsqu’une habilitation d’accès est donnée, elle doit être documentée par l’organisme employeur ; les accès aux différents traitements doivent faire l’objet de mesures de traçabilité.

La CNIL rappelle également l’obligation pour le responsable de traitement de conclure un contrat avec ses sous-traitants conformément à l’article 28 du RGPD et de s’assurer de celui-ci présente toutes les garanties quant à la protection des données.

Les destinataires des données peuvent être des personnes accédant aux données pour le compte de l’employeur (gestionnaire de paie et du personnel, supérieurs hiérarchiques etc.) ou tout organisme qui reçoit ces données (IRP, contrôle financier etc.). Des exemples de destinataires sont listés au sein du référentiel. Les règles encadrant les transferts de données en dehors de l’Union Européenne sont également rappelées.

  1. Durée de conservation

Concernant la durée de conservation la NS-046 précisait simplement que les données devaient être conservées le temps de la relation de travail. Le référentiel va plus loin et fournit de nombreux éléments à l’employeur afin de déterminer la durée de conservation en fonction de la finalité du traitement de données envisagée.

La CNIL rappelle qu’il revient au responsable de traitement de déterminer cette durée de conservation et d’en informer la personne concernée. La CNIL précise que la durée de conservation en base active ne fait pas obstacle à une conservation des données sous forme d’archivage intermédiaire, avec accès restreint, afin de répondre à certaines obligations légales ou en raison d’un litige.

Un tableau précisant à titre indicatif en fonction du traitement, la durée de conservation à envisager soit en base active ou en archivage intermédiaire avec le texte applicable est proposé.

  1. Informations et droits des personnes concernées

La CNIL rappelle que les personnes concernées doivent être informées de l’existence du traitement et de leurs droits que ce soit en cas de collecte directe (article 13 RGPD) ou de collecte indirecte (article 14 RGPD).

Le référentiel rappelle et détaille l’ensemble des droits des personnes concernées : droit d’opposition, d’accès, de rectification, d’effacement, de limitation et à la portabilité.

Quelques précisions concernant le droit d’opposition sont apportées. Ainsi, la personne concernée ne peut pas l’exercer lorsque :

  • le traitement de données répond à l’exécution d’une obligation légale ;
  • le traitement de données est nécessaire à l’exécution du contrat ;
  • le traitement de données est fondé sur le consentement de l’employé (qui pourra révoquer son consentement).

Dans le cas où le traitement a pour base légale l’intérêt légitime de l’employeur ou l’exécution d’une mission d’intérêt public, la personne concernée devra préciser les raisons de son opposition.

  1. La réalisation d’une analyse d’impact relative à la protection des données (AIPD)

Il s’agit de l’une des évolutions majeures par rapport à la NS-046. Le référentiel fournit la méthode à suivre pour déterminer si la réalisation d’une analyse d’impact est nécessaire. Cette méthodologie est spécialement adaptée à la gestion des données RH.

Deux listes de traitements avaient été précédemment publiées par la CNIL : une liste des traitements ne nécessitant pas une AIPD et ceux pour lesquels elle est requise. L’employeur doit en premier lieu se référer à ces listes pour décider s’il doit ou non réaliser une AIPD.

De plus, des exemples de traitements appliqués à la gestion RH sont aussi proposés. Il est à noter qu’un seuil de 250 salariés est posé pour les traitements mis en œuvre uniquement à des fins de ressources humaines (gestion de la paie, formation, suivi des entretiens annuels etc). En dessous de ce seuil, la CNIL considère que l’AIPD n’est pas nécessaire, à moins que les traitements mis en œuvre le soient à des fins de profilage.

A l’inverse les traitements ayant pour finalités la surveillance constante des employés (comme la biométrie, l’analyse des flux de courriels pour détecter les fuites d’informations) ou l’utilisation d’algorithmes dans les processus de recrutement sont considérés comme des traitements nécessitant la réalisation d’une AIPD.

Dans le cas où le traitement envisagé n’est pas présent dans les exemples du référentiel, la CNIL recommande de s’appuyer sur les lignes directrices dégagées en 2017 par le Comité Européen de la protection des données (CEPD).

Parmi les neuf critères posés par le CEPD si au moins deux sont remplis, la réalisation de l’AIPD est obligatoire. Pour rappel ces critères concernent :

  • L’évaluation ou notation d’une personne ;
  • La prise de décision automatisée ;
  • La surveillance systématique ;
  • Les traitements de données sensibles ou à caractère hautement personnel ;
  • Les traitements à grande échelle ;
  • Le croisement ou combinaison d’ensembles de données ;
  • Les données concernant des personnes vulnérables ;
  • L’utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
  • Les traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

La CNIL précise que les employés peuvent être considérés comme des personnes vulnérables, au sens des critères dégagés par le CEPD, en raison du caractère déséquilibré de la relation employeur-employé. La mise en place d’un traitement de données à grande échelle ou bien supposant une surveillance des personnes nécessitera une réflexion de la part du responsable de traitement quant au besoin de réaliser une AIPD.

  1. Mesures de sécurité à adopter

Le référentiel expose une cinquantaine de mesures de sécurité à mettre en place, venant largement compléter les lacunes de la NS-046 sur ce point. Quelques-unes de ces mesures sont à retenir comme la mise en place d’une charte informatique contraignante, ou d’un processus permettant la traçabilité des habilitations.

Dans le cas où le responsable de traitement n’adopterait pas de telles mesures de sécurité, il devra justifier de la mise en œuvre de mesures équivalentes soit des raisons pour lesquelles il n’est pas besoin d’y recourir.

En définitive, ce référentiel apparaît comme un outil complet pour assurer la conformité des entreprises au regard des attentes de la CNIL. Les entreprises qui ont déjà finalisé leur programme de conformité regretteront certainement que la version finale de ce référentiel, pourtant applicable à des traitements de base, soit publiée par la CNIL deux ans après l’entrée en vigueur du RGPD. Ce référentiel devra en effet les amener à réévaluer les choix faits antérieurement.