CNIL: Référentiel gestion des ressources humaines

CNIL publie le référentiel gestion RH relatif aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération ou encore la mise à disposition des salariés d’outils de travail.

Ce référentiel, adopté en novembre 2019 à l’issue d’une consultation publique, constitue un cadre de référence permettant à un organisme, public ou privé, de mettre en conformité ses traitements de données personnelles en matière de gestion des ressources humaines.

Portée du référentiel

Dans le périmètre de son champ d’application, il a vocation à remplacer les recommandations, dispenses, normes simplifiées et packs de conformité produits par la CNIL avant l’entrée en application du RGPD.
Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée NS 46 car il couvre le processus de recrutement mais également la gestion de la paye.

Finalités du traitement

Un traitement de gestion du personnel peut être mis en œuvre pour les finalités suivantes :

  • recrutement ;
  • gestion administrative des personnels ;
  • gestion des rémunérations et accomplissement des formalités administratives afférentes ;
  • mise à disposition du personnel d’outils professionnels ;
  • organisation du travail ;
  • suivi des carrières et de la mobilité ;
  • formation ;
  • tenue des registres obligatoires,
  • rapports avec les instances représentatives du personnel ;
  • communication interne ;
  • gestion des aides sociales ;
  • réalisation des audits;
  • gestion du contentieux et du précontentieux.

Base légale du traitement

Aussi, les bases légales les plus fréquemment mobilisables dans le contexte de gestion des ressources humaines, sont :

  • le respect d’une obligation légale incombant à l’organisme, imposant la mise en oeuvre d’un traitement entrant dans le cadre de la gestion du personnel (par ex. les obligations liées à la déclaration sociale nominative (DSN) ou encore à la tenue d’un registre unique du personnel) ;
  • l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande ;
  • A noter : un contrat conclu entre l’employeur et un tiers (par ex. un client ou un prestataire) ne peut pas en tant que tel constituer la base légale d’un traitement de données d’une personne qui n’y est pas elle-même partie.
    la réalisation de l’intérêt légitime poursuivi par l’organisme ou par le destinataire des données, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ;
  • l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
    Dans certains cas exceptionnels, les bases légales suivantes peuvent également être invoquées dans le contexte RH:
    le consentement libre, spécifique, éclairé et univoque de la personne concernée.

Données personnelles collectées

  • à l’identification de l’employé ;
  • à l’évaluation des compétences du candidat au moment du recrutement ;
  • au suivi de carrière et de la formation de l’employé ;
  • à l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition) ;
  • à la validation des acquis de l’expérience ;
  • à la gestion des déclarations d’accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé ;
  • aux sujétions ou situations particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation ;
  • aux outils et matériels professionnels mis à la disposition de l’employé dans le cadre de ses missions (i.e. cartes de paiement, dotation en matériel informatique, etc.) ;
  • à la gestion des activités sociales et culturelles mises en oeuvre par l’employeur ;
  • aux élections professionnelles et réunions des instances représentatives du personnel ;
  • à la lutte contre la discrimination, à l’obligation d’emploi résultant des articles L5212-2 et suivants du code du travail, etc.

Destinataires des données

  • les instances représentatives du personnel, pour les données strictement nécessaires à leurs missions dans les conditions fixées par les textes applicables ;
  • les organismes gérant les différents systèmes d’assurances sociales, d’assurances chômage, de retraite et de prévoyance, les caisses de congés payés, les organismes publics et administrations légalement habilités à les recevoir ;
  • les entités chargées de l’audit et du contrôle financier de l’organisme employeur ;
  • les différents prestataires auxquels l’organisme employeur est susceptible de sous-traiter la gestion de certaines activités (restauration collective, vote électronique, archivage des documents, tenue des comptes d’épargne, etc.) ;
  • les entités en charge de l’action culturelle et sociale telles que les comités sociaux et économiques (CSE), à condition que le bénéficiaire en ait fait la demande.

Durée de conservation

Les données ne doivent pas être traitées au-delà du temps nécessaire à la réalisation des finalités poursuivies. Au-delà de ce délai, les données peuvent être conservées selon le besoin dans la base d’archivage intermédiaire (voir le référentiel, page 11).

Information des personnes

Le responsable de traitement doit s’assurer du respect des principes de transparence et de loyauté (article 12 à 14 du RGPD).
Une information écrite doit être privilégiée de manière à pouvoir justifier de son contenu, ainsi que du moment où elle a été délivrée.

Droit des personnes

  • droit de s’opposer au traitement des données (article 21 du RGPD);
  • droit d’accès, de rectification et d’effacement des données
  • droit à la limitation du traitement
  • droit à la portabilité

Sécurité

Le responsable de traitement doit prendre toutes les précautions utiles pour préserver la sécurité des données (confidentialité, intégrité et disponibilité):

  • sensibiliser les utilisateurs
  • authentifier les utilisateurs
  • gérer les habilitations
  • tracer les accès et gérer les incidents
  • sécuriser les postes de travail
  • sécuriser l’informatique mobile
  • protéger le réseau informatique interne
  • sécuriser les serveurs
  • sécuriser les sites web
  • sauvegarder et prévoir la continuité d’activité
  • archiver de manière sécurisée
  • encadrer la maintenance et la destruction des données
  • gérer la sous-traitance
  • sécuriser les échanges avec d’autres organismes
  • protéger les locaux
  • encadrer les développements informatique (zones de commentaires libre, etc.)
  • utiliser des fonctions cryptographiques

Analyse d'impact relative à la protection des données

Lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées, le responsable de traitement pourrait à avoir réaliser une analyse d’impact en application de l’article 35 du RGPD.

  • Traitements pour lesquels une analyse d’impact n’est pas nécessaire.
    • traitements à des fins de RH pour la seule gestion du personnel de de 250 personnes
    • traitements mis en oeuvre aux seules fins de gestion des contrôles d’accès physiques
  • Traitements pour lesquels une analyse d’impact est requise
    • traitements établissant des profils de personnes physiques à des fins de gestion RH (ex. traitements facilitant le recrutement, ceux proposant des actions de formations personnalisées, ceux détectant le départ de salariés, etc. )
    • traitements ayant pour finalité de surveiller l’activité des employés (analyse des mails sortants, vidéosurveillance, chronotachygraphe des véhicules de transport routier).

DPOINFO-AVOCATS (DIA) vous accompagne pour la mise en conformité de votre structure au référentiel relatif aux traitement de données à caractère personnel mis en œuvre aux fins de gestion du personnel et pour toute question à ce sujet.

Pour un devis ou pour toute autre question :

contact@dpoinfo-avocats.fr