La CNIL élabore un projet de référentiel sur la gestion Ressources Humaines

La Commission nationale de l’informatique et des libertés a élaboré un projet de référentiel en matière de gestion des ressources humaines pour accompagner dans la mise en conformité des traitements courants de « gestion du personnel ». En appliquant ce référentiel les organismes sont assurés de la conformité des traitements RH au regard de la protection des données.

Le document en l’état est un projet qui a donné lieu à une consultation jusqu’au 31 mai 2019 et donne dès à présent des bases aux organismes pour mettre en œuvre la mise en conformité. Il sera par la suite enrichi et validé par les instances de la CNIL. Ce référentiel apporte des réponses concrètes à la gestion RH des associations et organismes afin qu’ils se mettent en conformité en interne, en fonction des données personnelles qu’ils sont amenés à traiter.

Quelques exemples sont présentés ici. Pour plus de détails, voir le référentiel en intégralité : https://www.cnil.fr/sites/default/files/atoms/files/referentiel-grh.pdf

Sur les finalités d’un traitement de données personnelles en matière RH

La CNIL reconnaît des finalités pour la gestion du personnel en matière de ressources humaines. Des données personnelles peuvent donc être traitées lorsque les finalités poursuivies sont par exemple de l’ordre de :

• La gestion administrative des personnels
• La gestion des rémunérations et accomplissement des formalités administratives y afférentes
• L’organisation du travail
• La gestion des aides sociales

Le référentiel propose deux tableaux qui décryptent concrètement les données qui peuvent être collectées et traitées en fonction des finalités autorisées par la CNILCNILCommission nationale de l’informatique et des libertés.

Le premier tableau énumère les finalités en fonction de leurs bases légales (exécution d’un contrat, consentement, intérêt légitime etc.). Le second tableau illustre en fonction d’une finalité, les données qui peuvent être traitées. Par exemple :

• Les données relatives à l’identité et à la situation professionnelle ayant pour finalité l’identification de l’employé
• L’identité de l’employé, ses revenus, ses avantages ayant pour finalité la mise en œuvre d’activités sociales de la part de l’employeur.

Transparence du traitement et droits des personnes

Dans le cadre des traitements RH, au regard des dispositions de la législation sociale, le référentiel rappelle qu’une information individuelle et collective doit être délivrée préalablement à la mise en œuvre d’un traitement de données personnelles. Un traitement de données personnelles doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.

Des modèles de mention d’informations sont disponibles sur le site de la CNIL : https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation

Le RGPD prévoit des droits aux personnes vis-à-vis de leurs données, en termes d’opposition sur le traitement, de rectification et d’effacement des données les concernant. De plus, le RGPD élargit ces droits en y ajoutant ceux de la limitation du traitement et portabilité de leurs données.

Dans le cadre du traitement des données RH, un salarié pourra ainsi demander à récupérer les données qu’il a fournies dans le cadre de l’embauche (données d’identification, données relatives à la protection sociale, à sa formation professionnelle, etc.), voire à demander la transmission directe de ces informations à son futur employeur.

Sur la minimisation des données personnelles traitées

L’organisme doit veiller à ne collecter et n’utiliser que les données pertinentes et nécessaires au regard de ses propres besoins de gestion du personnel. En matière RH, la CNIL autorise le traitement d’un certain nombre de données énoncé dans le référentiel. Par exemple, les données relatives à l’identification de l’employé, à l’évaluation des compétences d’un candidat au moment de son recrutement ou encore au suivi de carrière et de formation de l’employé.

Certaines données, en raison de leur caractère sensible (par ex : numéro de sécurité sociale, origine prétendument raciale ou ethnique, la religion, les opinions politiques, l’appartenance syndicale etc.) bénéficient d’une protection particulière et ne peuvent être traitées que dans des cas spécifiques.

Par exemple : lorsqu’un salarié est victime d’un accident du travail, il doit en informer l’employeur qui est tenu de le déclarer à l’organisme d’assurance maladie compétent. Dans la déclaration d’accident du travail, l’employeur doit notamment indiquer la nature et le siège des lésions de la victime. Or, ces données sont relatives à l’état de santé de l’employé et constituent de ce fait des données sensibles. L’employeur est tout de même autorisé à traiter ces données (art. 9-2-b du RGPD)

Ceci permet de rappeler que les données personnelles qu’elles soient à caractère sensible ou non doivent uniquement être rendues accessibles aux personnes habilitées.

Durée de conservation

Une durée de conservation précise des données doit être fixée en fonction de chaque finalité. En matière RH, la CNIL retient trois cas de figure :

• Les données nécessaires au recrutement sont conservées pendant deux ans à compter du dernier contact avec le candidat non retenu.
• Les données nécessaires à la gestion du personnel sont conservées, par principe, pendant la durée de la relation de travail, sauf disposition légale ou réglementaire contraire.
• Après l’exécution du contrat, en archivage intermédiaire, si le responsable du traitement en a l’obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s’il souhaite se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable.