Skip to main content
Données personnelles

Mesurer la diversité au travail : les principes à respecter selon la CNIL

Imprimer

Recommandation de la CNIL du 10 avril 2025 (délibération n° 2025-028)

Dans un contexte de mobilisation accrue de lutte contre les discriminations et de favorisation de l’égalité des chances, de plus en plus d’employeurs souhaitent mesurer la diversité de leurs effectifs au moyen de questionnaires diffusés directement auprès des employés. Ces dispositifs soulèvent néanmoins des enjeux sensibles en matière de protection des données et de respect de la vie privée et au regard de l’interdiction des études ethnoraciales en application des grands principes de la Constitution de la République Française. Pour accompagner les professionnels dans cette démarche, la CNIL a publié une recommandation visant à encadrer les enquêtes autoadministrées mises en œuvre en milieu professionnel.

Assurer l’anonymat des réponses : un principe central

La CNIL invite en premier lieu à concevoir les enquêtes de manière à assurer l’anonymat des participants dès la collecte. L’objectif est d’éviter toute identification, directe ou indirecte, d’un répondant. Pour garantir un anonymat effectif dès la collecte, plusieurs précautions concrètes sont préconisées :

  • Ne pas collecter d’informations identifiantes, telles que le nom, l’adresse, le numéro de téléphone, la date de naissance ou toute donnée technique de connexion (adresse IP, identifiants de connexion, etc.).
  • Formuler des questions à choix multiples avec des modalités larges, afin de réduire le niveau de granularité et les risques de réidentification par recoupement d’informations. Exemple : des tranches d’âge larges (« 18-25 ans ») plutôt que des choix précis (« 18 », « 19 », « 20 », etc.).
  • Distinguer strictement les environnements techniques, notamment lors d’enquêtes en ligne, pour isoler les réponses des journaux de connexion (logs).

La CNIL rappelle que l’anonymat fait disparaître la qualification de donnée à caractère personnel. En conséquence, le RGPD ne s’applique plus.

L’autorité note toutefois que l’anonymat dès la collecte, bien que très protecteur, n’est ni obligatoire ni possible dans tous les cas. Un certain degré d’identification peut même être parfois nécessaire afin de s’assurer de la qualité des réponses, par exemple en identifiant les doublons. En tout état de cause, l’anonymisation devra intervenir au plus tard avant toute diffusion ou exploitation des résultats.

Volontariat : un impératif systématique

Indépendamment du caractère personnel ou non des données – et donc de l’application du RGPD, la participation à l’enquête doit toujours être volontaire. Aucun salarié ne doit être contraint à y répondre, ni directement ni indirectement. Cela implique notamment :

  • Une action positive pour participer (ex. : cliquer sur un lien volontairement),
  • L’absence totale d’incitation (par exemple financière) ou de répercussion en cas de refus de répondre,
  • L’absence de suivi/relance individualisé des répondants ou des non-répondants.

Chaque question doit également être strictement facultative : le participant doit pouvoir ne pas y répondre sans justification, y compris en présence d’un tiers de confiance. La structuration même de l’enquête conditionne la réalité du volontariat.

Une finalité unique : améliorer l’égalité des chances au travail

La finalité acceptable d’une enquête de mesure de la diversité est clairement définie par la CNIL : établir un diagnostic collectif sur les discriminations et la diversité au sein de l’organisation, dans le but d’identifier d’éventuels freins à l’égalité des chances et proposer des actions correctrices. Toute réutilisation individuelle, même dans une perspective favorable à un salarié, est proscrite.

Formuler les questions dans le respect du principe de minimisation et des exigences constitutionnelles

Le principe de minimisation du RGPD impose que les questions posées dans le cadre d’une enquête de mesure de la diversité soient limitées à ce qui est objectivement nécessaire pour atteindre la finalité définie.

Par ailleurs, la CNIL rappelle une exigence constitutionnelle forte : dans sa décision n° 2007-557 DC du 15 novembre 2007, le Conseil constitutionnel a expressément exclu la possibilité de recourir à des référentiels ethniques ou raciaux dans le cadre d’enquêtes statistiques. Toute nomenclature ou typologie d’inspiration ethno-raciale, telle que «?race?», «?origine raciale?», ou des catégories comme «?arabe?», «?asiatique?», «?caucasien?», est donc prohibée, quelle que soit l’intention poursuivie. Cette exigence est applicable même dans le cas d’enquêtes intégralement anonymes.

La CNIL indique en revanche qu’il est possible d’aborder la question de l’origine sociale, géographique ou culturelle à partir de données objectives ou de ressentis subjectifs, dès lors que la formulation respecte l’interdiction précitée et ne permet pas une réidentification facile.

Parmi les questions autorisées, on retrouve notamment :

  • Le lieu de naissance : « Où êtes-vous né(e) ? » avec des options larges du type :

? En France métropolitaine

? En Outre-Mer

? À l’étranger, dans un pays du continent européen

? À l’étranger, hors du continent européen

? Je ne souhaite pas répondre

  • La nationalité à la naissance, y compris celle des parents
  • Le ressenti d’appartenance à un groupe victime de discrimination, ou la manière dont la personne pense être perçue.

En revanche, les formulations à proscrire incluent :

  • « À quelle race appartenez-vous ? »
  • « Quelle est votre origine ethnique ou raciale ? »
  • Toute nomenclature proposant des cases à cocher correspondant à des groupes ethno-raciaux tels que « arabe », « asiatique », « latino », « caucasien », etc.

La CNIL recommande enfin de limiter strictement les zones de texte libre, en particulier celles non encadrées, qui peuvent donner lieu à des expressions trop précises ou à des informations permettant une réidentification. Elle privilégie au contraire les menus déroulants, les cases à cocher et les formulations à choix multiples, accompagnées systématiquement d’une option « je ne souhaite pas répondre », pour chaque question.

Bases légales : l’intérêt légitime + consentement spécifique pour les données sensibles

Lorsque l’enquête n’est pas anonyme dès la collecte, la base légale à privilégier est l’intérêt légitime de l’employeur. Cette base se justifie au regard de la finalité de ce type d’étude, mais suppose notamment : (i) le volontariat de l’étude ; (ii) l’anonymisation des résultats de l’enquête ; (iii) toutes autres garanties organisationnelles pour protéger les droits et libertés des personnes, telles que la limitation des accès, la pseudonymisation des réponses ou encore le cloisonnement des environnements techniques.

La CNIL considère également que le recours à un tiers de confiance (abordé dans la section suivante) fait partie des garanties permettant de favoriser l’équilibre entre l’intérêt de l’employeur et les droits et libertés des salariés.

Par ailleurs, lorsque l’enquête ne peut être rendue totalement anonyme et qu’elle inclut des données dites « sensibles » (par exemple : santé, orientation sexuelle, handicap, origine perçue, etc.) – ce qui est très souvent le cas dans ce type d’enquête, leur traitement suppose le recueil du consentement explicite de la personne concernée. Ce consentement doit être libre, spécifique, éclairé et exprimé par un acte positif clair, sans aucune pression ni contrepartie. Il peut, par exemple, prendre la forme d’une case à cocher non pré-cochée, placée avant les questions concernées. Pour renforcer les garanties, la CNIL recommande ici aussi d’avoir recours à un tiers de confiance chargé de recueillir ce consentement, d’héberger les données et de restituer à l’employeur des résultats uniquement sous forme agrégée. Ces précautions sont d’autant plus importantes que le recours au consentement dans un contexte professionnel reste encadré, du fait du déséquilibre structurel dans la relation entre employeur et salarié.

Recours à un tiers de confiance : une mesure fortement recommandée

Afin de renforcer l’anonymat et/ou le pseudonymat, garantir la confidentialité des données et crédibiliser la démarche auprès des salariés, la CNIL recommande le recours à un tiers de confiance, notamment pour : (i) collecter et centraliser les réponses ; (ii) assurer la séparation entre identité et données collectées ; (iii) gérer le recueil du consentement spécifique aux données sensibles, lorsque nécessaire ; (iv) procéder à l’anonymisation effective des résultats avant leur transmission à l’employeur.

Garanties complémentaires à respecter

La recommandation de la CNIL aborde également d’autres exigences – plus classiques – qui doivent être respectées :

  • Responsabilités de traitement : désigner clairement le responsable (l’employeur), son éventuel co-responsable, et le ou les sous-traitants. Dans le cas d’un recours à un tiers de confiance, la CNIL considère que ce dernier peut, selon le cas, être soit co-responsable, soit sous-traitant pour le compte de l’employeur.
  • Information des personnes : Une note d’information doit être jointe au questionnaire, incluant l’ensemble des informations obligatoires de l’article 13 du RGPD. La CNIL recommande de répéter cette information à plusieurs étapes (ex. : avant l’envoi et à l’ouverture du questionnaire). A titre de bonne pratique, la CNIL considère que l’association des représentants du personnel pourrait permettre de favoriser l’acceptabilité et la transparence du processus.
  • Gestion des droits : Les personnes doivent pouvoir exercer leurs droits jusqu’à la suppression ou anonymisation des données. Pour les enquêtes pseudonymisées, des procédures spécifiques doivent permettre de retrouver et supprimer les données à partir d’éléments fournis par la personne (ex. : ses réponses à quelques questions).
  • Durée de conservation : La CNIL évoque une durée maximale de 6 mois pour les données identifiantes à compter de la clôture de l’enquête. Ce délai doit suffire pour analyser les résultats, produire des statistiques agrégées et corriger d’éventuelles erreurs. Passé ce délai, les données doivent être supprimées ou rendues anonymes.
  • Analyse d’impact (AIPD) : L’AIPD doit évaluer les risques pour les personnes, décrire les mesures de protection mises en œuvre et être actualisée à chaque évolution du dispositif. Elle doit être conduite en amont de la collecte.
  • Sécurité des données : Les accès doivent être strictement limités aux personnes habilitées et documentés. Les journaux de connexion doivent être cloisonnés des données du questionnaire. En cas d’enquête postale, un renvoi sous enveloppe T à une adresse distincte est recommandé.

Conclusion

Mesurer la diversité peut constituer un levier utile pour les politiques de lutte contre les discriminations et de promotion de l’égalité des chances. Mais l’exercice reste sensible en France et requiert de respecter un cadre précis. En publiant cette recommandation attendue de longue date, la CNIL fournit les éléments permettant de clarifier ce cadre. Les employeurs devront veiller à le respecter strictement, au risque de transformer une démarche vertueuse en traitement disproportionné.

Imprimer

Articles sur le même sujet

Données personnelles Courtage de données et prospection commerciale : la CNIL rend une décision de sanction qui confirme avec force les principes à respecter

Courtage de données et prospection commerciale : la CNIL rend une décision de sanction qui confirme avec force les principes à respecter


Données personnelles Consentement multi-terminaux aux cookies: la CNIL dévoile un projet de recommandation

Consentement multi-terminaux aux cookies: la CNIL dévoile un projet de recommandation


Données personnelles Traitements de données et blockchain : le CEPD publie son projet de lignes directrices

Traitements de données et blockchain : le CEPD publie son projet de lignes directrices


Close Menu