Comme annoncé dans notre brève en date du 15 avril dernier, le département Données personnelles de DELSOL AVOCATS vous propose une analyse du nouveau référentiel sur la gestion du personnel publié par la CNIL.

Ce référentiel vient remplacer la norme simplifiée 46 (NS-46) qui était applicable avant l’entrée en application du règlement général sur la protection des données (RGDP) et constituait la norme de référence pour les traitements automatisés relatif à la gestion du personnel. Depuis le 25 mai 2018 (date d’entrée en vigueur du RGPD), les normes simplifiées de la CNIL n’ont plus de valeur juridique mais sont restées accessibles afin d’aider les acteurs dans leur mise en conformité aux principes de protection des données personnelles et ce, dans l’attente de la publication de référentiels. Concernant les traitements relatifs à la gestion du personnel, c’est chose faite avec la publication récente du référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel (le terme « personnel » a été précisé par le référentiel ; il désigne l’ensemble des collaborateurs permanents ou temporaires de l’employeur, quels que soient leur statut, leur type ou durée de contrat, leur niveau de rémunération - salariés, agents de la fonction publique, stagiaires, etc.) qui constitue désormais le cadre de référence applicable en la matière.

Toutefois, comme le rappelle la Commission dans la FAQ qui accompagne le référentiel, ce dernier n’a pas de force contraignante et les responsables de traitement peuvent s’écarter des préconisations qu’il contient. Dans une telle hypothèse, les acteurs devront être en mesure de justifier de la nécessité de s’écarter de ces préconisations et prendre toutes les mesures appropriées afin de garantir la conformité des traitements aux règles de protection des données personnelles.

De nombreux apports sont à noter, dont voici la synthèse.

1. Un champ d’application nettement élargi

Le référentiel relatif aux traitements mis en œuvre à des fins de gestion du personnel couvre les traitements mis en place « couramment » par les organismes-employeurs publics et privés dans le cadre de la gestion de leur personnel.

Les traitements mis en œuvre par les employeurs doivent répondre à un objectif précis et être justifié au regard des missions des activités de l’organismes. A ce titre, le référentiel vient lister 11 finalités pour la mise en œuvre des traitements et ajoute ainsi 6 finalités à celles qui étaient prévues par la NS-046.

Aux finalités qui étaient visées à l’article 2 de la NS-046 (l’article 2 de la NS-046 listait les finalités suivantes : la gestion administrative des personnels, la mise à disposition d’outils informatiques, l’organisation du travail, la gestion des carrières et de la mobilité, la formation des personnels) s’ajoutent ou sont précisées : le recrutement, la gestion des rémunérations et accomplissements des formalités administratives afférentes, la tenue des registres obligatoires, rapports avec les instances représentatives du personnel, communication interne, gestion des aides sociales et réalisation d’audits, gestion du contentieux et du précontentieux.

Attention  : le référentiel ne s’applique pas aux traitements mis en œuvre par les organisations syndicales, les instances représentatives du personnel ou les services de médecin du travail. Il n’a pas non plus vocation à encadrer les traitements de gestion RH impliquant le recours à des outils innovants (psychométrie, traitements algorithmiques à des fins de profilage), ni les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.

2. Les bases légales des traitements mis en œuvre aux fins de gestion du personnel

Conformément au RGPD (article 6) tout traitement de données personnelles doit reposer sur l’une des six bases juridiques suivantes : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public, les intérêts légitimes.

Afin d’aider le responsable de traitement à déterminer les bonnes bases légales, la CNIL fournit un tableau qui recense pour chaque finalité des traitements, les bases légales envisageables.

Les bases légales les plus fréquemment utilisables sont l’obligation légale (tenue du registre unique du personnel, déclaration sociale nominative etc.), l’exécution d’un contrat, la réalisation de l’intérêt légitime poursuivi par l’organisme à condition de ne pas méconnaître l’intérêt ou les droits et libertés des personnes concernées, ou encore l’exécution d’une mission d’intérêt public dont serait investi le responsable de traitement.

Sur l’utilisation du consentement de la personne concernée comme base légale, la CNIL précise qu’il ne doit être utilisé qu’à titre exceptionnel. En effet, la situation de subordination dans laquelle se trouve l’employé vis-à-vis du responsable de traitement, son employeur, suppose que l’employé ne soit que très rarement en mesure de donner, refuser ou révoquer librement son consentement. Or, pour être valide le consentement doit être libre, spécifique éclairé et univoque. Le référentiel décrit un exemple intéressant : les traitements effectués dans le cadre des opérations de recrutement. Ces derniers ne peuvent être fondés sur le consentement des candidats dès lors qu’un refus de leur part pourrait affecter leurs chances d’obtenir un emploi.

Rappelons, que la CNIL avait déjà publié un article auquel les responsables de traitement peuvent se référer pour identifier les bases légales des traitements mis en œuvre.

3. Précisions sur la nature des données personnelles pouvant faire l’objet d’un traitement et vigilance renforcée sur les données sensibles

Conformément au principe de minimisation des données, le responsable de traitement doit s’assurer de ne collecter et n’utiliser que les données strictement nécessaires et pertinentes au regard des finalités déterminées. A ce titre, le référentiel, comme le faisait la NS-046, vient lister les catégories de données qui peuvent être traitées à des fin de gestion du personnel et fournit sous forme de tableau les exemples de données pouvant être collectées et utilisées par l’employeur. Rappelons que les données dont le traitement est justifié pour une finalité, ne peuvent être réutilisées à d’autres fins que si cette utilisation est légalement justifiée.

Une nouveauté est toutefois à noter concernant la collecte et l’utilisation de certaines données. En effet, le référentiel attire l’attention des responsables de traitements sur l’utilisation de certaines catégories de données qui en raison de leur caractère particulière sensible, doivent faire l’objet d’une vigilance renforcée de leur part. Appartiennent à cette catégorie : le numéro de sécurité sociale, les données relatives aux infractions, condamnation pénales et mesures de sûreté connexes mais également les données sensibles (article 9 RGPD, article 6 et 44 LIL).

4. Précisions sur les destinataires des données

Le référentiel reprend la liste des destinataires des données de la NS-046 et la précise.

Ainsi, le référentiel précise que lorsque des personnes sont habilitées dans le cadre de leurs attributions et pour le strict respect de l’accomplissement de leurs missions à accéder à certaines données, l’organisme doit documenter les habilitations d’accès et mettre en place des mesures de traçabilité des accès.

D’autre part, le référentiel indique que lorsque le responsable de traitement a recours à un sous-traitant, il doit veiller à ce que le sous-traitant présente des garanties suffisantes et doit conclure un contrat avec ce dernier afin de définir leurs obligations respectives en matière de protection des données (article 28 RGPD).

Aussi, le référentiel fournit des exemples des destinataires de données qu’il s’agisse de personnes accédant aux données pour le compte de l’employeur (personnes en charge de la paie, supérieurs hiérarchiques etc.) ou de tout organisme qui reçoit communication des données (instances représentatives du personnel, entités en charge du contrôle financier, comité économique et social).

Enfin, le référentiel rappelle le respect des règles de protection des données en cas de transfert de données en dehors de l’Union européenne est fait.

5. Précisions sur les durées de conservations applicables

Alors que la NS-046 était peu précise sur le sujet sauf à indiquer que les données relatives aux traitements mis en œuvre à des fins de gestion du personnel devaient être conservées le temps de la période d’emploi, le référentiel fournit de nombreux éléments permettant au responsable de traitement de déterminer les durées de conservations applicables.

En effet, le référentiel rappelle qu’il incombe au responsable de traitement (i) de déterminer la durée de conservation en amont de la réalisation du traitement au regard de la finalité identifiée (ii) et d’informer les personnes concernées de la durée de conservation applicable.

Un tableau contenant pour chaque activité de traitement les documents concernés, les durées de conservations en base active et en archivage intermédiaire ainsi que les textes de référence justifiant de cette durée de conservation accompagne à cet effet le référentiel. Sur l’archivage intermédiaire, la CNIL précise dans son référentiel que la durée de conservation en base active ne fait pas obstacle à la conservation des données sous forme d’archivage intermédiaire, avec accès restreint, afin de répondre à certaines obligations légales ou encore si ces données présentent un intérêt en cas de contentieux ce qui justifierait de les conserver le temps du délai de prescription.

6. Précisions sur l’information et les droits des personnes concernées

Le référentiel reprend les principes de transparence et de loyauté à l’égard des personnes concernées et rappelle à ce titre que le responsable de traitement doit les informer au stade de la collecte de leurs données de l’existence du traitement, de ses caractéristiques et des droits dont elles disposent. Sur ce point, les personnes concernées doivent être informées des éléments listés à l’article 13 du RGPD (en cas de collecte directe) ou l’article 14 du RGPD (en cas de collecte indirecte). La CNIL a publié des exemples de mentions d’information sur son site.

Le référentiel consacre une partie complète sur le sujet. En effet, le référentiel vient rappeler les droits dont dispose les personnes concernées : droit d’opposition, droit d’accès, de rectification, d’effacement, droit à la limitation du traitement, droit à la portabilité. Certains de ces droits font l’objet de développement spécifique pour ce qui concerne les traitements de gestion du personnel.

Sur l’exercice du droit d’opposition, le référentiel rappelle plusieurs éléments.
D’abord, il est précisé que le droit d’opposition ne peut pas être exercé dans les cas suivants : (i) lorsque le traitement répond à une obligation légale, (ii) s’il est nécessaire à l’exécution d’un contrat ou (iii) fondé sur le consentement de l’employé (dans ce dernier cas, la personne concernée pourra retirer le consentement au traitement de ses données).

Ensuite, le référentiel indique : « le droit d’opposition pourra être exercé, à charge pour la personne d’invoquer des raisons tenant à sa situation particulière, lorsque le traitement est mis en œuvre sur la base de l’intérêt légitime du responsable de traitement, ou pour l’exécution d’une mission d’intérêt public ou d’une mission relevant de l’exercice de l’autorité publique. »

7. Eléments sur la nécessité ou non de réaliser une analyse d’impact relative à la protection des données (AIPD)

Pour rappel, l’Analyse d’impact relative à la protection des données (AIPD) doit être réalisée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement est tenu de réaliser une AIPD (article 35 du RGPD).

Après consultation du Comité européen de protection des données, la CNIL avait publié la liste des traitements pour lesquels une analyse d’impact n’était pas requise, ainsi que la liste des traitements pour lesquels une analyse d’impact était en revanche requise. Le référentiel rappelle que concernant les traitements relatifs à la gestion du personnel, le responsable de traitement doit se référer à ces listes pour déterminer si le traitement doit ou non faire l’objet d’une analyse d’impact.

A ce titre, figure sur la liste des traitements de données ne nécessitant pas la réalisation d’une AIPD :

• les traitements mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage (gestion de la paye, gestion des formations, utilisation des outils de communication etc.)

• les traitements mis en œuvre aux seuls fins de gestion des contrôles d’accès physiques, en dehors de tout dispositif biométrique (mise en place d’un système de badge sans biométrie, mise en place d’un dispositif de contrôle du temps de travail etc.)

En revanche, conformément à la liste des traitements de données qui nécessitent la réalisation d’un AIPD, le responsable de traitement doit réaliser une AIPD pour les traitements suivants :

• traitements établissant des profils de personnes physiques à des fins de gestion de ressources humaines (traitements en vue de faciliter le recrutement grâce à un algorithme de sélection, traitements visant à proposer des actions de formation personnalisées grâce à un algorithme etc.)

• traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés (analyse des flux de courriels sortants afin de détecter d’éventuelles fuites d’information, vidéosurveillance constante des employés manipulant de l’argent etc.)

Lorsque le traitement dont il est question ne figure sur aucune de ces deux listes, alors le responsable de traitement devra à partir des 9 critères dégagés par le Comité européen de protection des données (CEPD) déterminer s’il est nécessaire ou non de réaliser une AIPD. Si au moins deux de ces critères sont remplis, la réalisation d’une AIPD est obligatoire.

Parmi les critères dégagés par le CEPD, figure celui des « données de personnes vulnérables ». A ce titre, la CNIL précise dans le référentiel que, conformément aux lignes directrices du CEDP, « les employés peuvent être considérés comme des personnes vulnérables en raison du déséquilibre des pouvoirs accru qui existe entre elles et le responsable de traitement (employeur) ».

Dès lors, il incombera au responsable de traitement de rester attentif à ce point notamment par exemple si le traitement est un traitement à grande échelle ou entraîne une surveillance systématique des personnes.

En tout état de cause, il est conseillé au responsable de traitement de consulter son DPO qui l’orientera sur la nécessité de réaliser ou non une AIPD.

8. Précisions sur les mesures de sécurité à mettre en place

Le référentiel est plus complet sur ce sujet et comporte toute une série de mesures que le responsable de traitement doit adopter. Pour n’en citer que quelque unes, figure parmi ces mesures la rédaction d’une charte informatique ayant force contraignante, la gestion des habilitations, l’utilisation d’antivirus régulièrement mis à jour ou encore la gestion des relations avec les sous-traitants par le biais d’un accord écrit. Dans l’hypothèse où le responsable de traitement n’adopterait pas ces mesures, il doit justifier soit de la mise en place de mesures équivalentes, soit du fait ne pas avoir besoin d’y recourir.

En conclusion, ce nouveau référentiel offre aux organismes employeurs tant publics que privés un véritable outil de conformité auquel ils peuvent se référer pour la mise en œuvre des traitements relatifs à la gestion du personnel. A charge pour eux lorsqu’ils s’en éloignent d’en apporter la justification.