L’entrée en application du Règlement 2016/679, dit Règlement général sur la protection des données ou RGPD, le 25 mai 2018 a fait couler beaucoup d’encre. Les entités sont amenées à s’adapter au diverses évolutions qu’emporte la nouvelle règlementation (ex : droit à la portabilité, analyse d’impact (DPIA), DPO…). Il convient néanmoins de souligner que les entités responsables du traitement ou sous-traitants ne sont pas les seules impactées. En effet, les autorités de contrôle sont également concernées et doivent réviser leurs pratiques afin d’être en mesure de pleinement appréhender les changements du RGPD.

A ce titre, la Commission nationale de l’informatique et des libertés (CNIL) – qui est l’autorité de contrôle compétente en France – a publié son programme pour 2018 auquel figurent les traitements liés au recrutement.

Mathias Avocats a décidé de faire le point sur les traitements liés aux ressources humaines (RH) et plus particulièrement au recrutement.

Que sont les traitements de la gestion des RH?

Dans le cadre de la gestion des ressources humaines, y compris toutes les fonctions qui y sont associées, de nombreuses données à caractère personnel sont traitées (ex : curriculum vitae, photographie des employés pour un annuaire interne, fiche de paie, etc.). Il est crucial pour un employeur de déterminer quelles données sont traitées dans le cadre de la gestion des ressources humaines afin de clairement définir les finalités des traitements mis en œuvre et les droits qui y sont associés.

A titre d’illustration, la gestion des paies, l’écoute et l’enregistrement d’appels, la gestion administrative du personnel, la vidéosurveillance ou la mise en place d’un système de badges ou encore l’organisation du travail sont des traitements de données à caractère personnel des salariés.

La CNIL a publié un guide sur le recrutement et la gestion du personnel dans le but de guider les employeurs. Par exemple, la géolocalisation des véhicules nécessite une attention accrue pour la détermination de la ou des finalités du traitement mis en œuvre (ex : suivre ou justifier et facturer une prestation de transport de personne, assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, etc.). Certaines finalités sont à exclure telles que le contrôle d’un employé en permanence ou suivre le temps de travail lorsqu’un autre moyen est disponible.

Dans son programme pour 2018, la CNIL souligne également le recours de plus en plus courant aux méthodes fondées sur le « big data » et l’utilisation d’algorithme d’aide au recrutement (ex : prédiction des performances du candidat au poste en fonction de critères définis, analyse du débit de parole ou des expressions du visage, etc.). Bien que ces moyens puissent faciliter la tâche de l’employeur, ils soulèvent également des difficultés supplémentaires (ex : information et consentement du candidat, stockage des données, exercice des droits du candidats, etc.). La CNIL compte donc effectuer des contrôles dans le cadre de la gestion du recrutement des entités afin de vérifier que les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données sont conformes à la nouvelle règlementation applicable à la protection des données à caractère personnel.

Quels sont les risques?

Les traitements de données à caractère personnel des salariés impliquent un équilibre délicat entre la gestion du personnel, la surveillance et sécurité du personnel et le droit au respect de la vie privée des salariés. Cet équilibre se trouvera au cas par cas selon les traitements mis en œuvre.

Par exemple, lors de la mise en place d’un système de vidéosurveillance dans les locaux de l’entité, l’employeur doit clairement définir pourquoi les caméras sont installées (ex : sécurité) et ne peut les utiliser aux fins de surveiller ses employés à leur poste de travail ou dans les espaces considérés comme privés (ex : vestiaire, zone de pause ou de repos, etc. ). Il doit également clairement informer les salariés de la mise en place du système de vidéosurveillance sous peine de se voir sanctionner. Ceci fut notamment le cas dans l’affaire López Ribalda et autres c. Espagne, CEDH, 9 janvier 2018.

En outre, rappelons que la base de licéité du traitement des données à caractère personnel des salariés ne peut être le consentement en raison du lien de subordination existant. Ce lien nuit notamment au caractère « libre » que doit revêtir le consentement. L’employeur doit également mettre en place des procédures assurant l’exercice des droits des salariés et respecter toutes les conditions relatives à la protection des données à caractère personnel sous la nouvelle règlementation applicable.

La CNIL mentionne un autre point de vigilance : les opérations de traitement automatisé et les algorithmes. Ces derniers peuvent être difficiles à expliquer aux salariés et doivent inclure une intervention humaine s’ils produisent des effets juridiques ou affectent de manière significative les salariés.

Soulignons que la CNIL n’est pas la seule à s’intéresser à ce sujet. En effet, dans la récente résolution sur l’adéquation de la protection assurée par le bouclier de protection des données Union Européenne (UE)-Etats-Unis (le Privacy Shield) du Parlement européen, ce dernier souligne les différentes interprétations d’un traitement de données liées aux ressources humaines entres l’UE et les Etats-Unis et appelle à une harmonisation de l’interprétation de la notion de « données liées aux ressources humaines ». En pratique, cela peut être problématique pour les entités travaillant à une échelle internationale et soumises au RGPD. Si les Etats-Unis n’interprètent pas la notion de « données liées aux ressources humaines » de la même manière qu’en Europe, comment assurer une protection suffisante pour ces données ?

Quelles mesures mettre en œuvre ?

Avant de mettre en place les mesures nécessaires concernant la protection des données à caractère personnel des salariés, l’employeur doit être en mesure de les identifier, dès l’embauche du salarié jusqu’à son départ. L’identification de ces données peut notamment se faire par le biais d’une cartographie.

Rappelons que l’employeur est tenu de prendre toutes les mesures requises afin de protéger les données à caractère personnel de ses salariés et d’être conforme au RGPD. A ce titre, il doit notamment informer les salariés des traitements de leurs données ainsi que mettre en place des procédures pour l’exercice des droits de ses salariés tel que le droit d’accès.

En outre, l’employeur devra mettre en œuvre des moyens de sécurité techniques et organisationnels ainsi qu’un dispositif de gestion des accès aux données personnelles. A cette fin, il dispose d’une palette d’outils : registre des habilitations d’accès aux données personnelles, procédures documentées de mise en sécurité des données, etc. A noter que l’accès aux données des salariés doit être limité.

Il convient également de préciser que tout contrat de travail doit contenir une clause de protection des données à caractère personnel. Cette clause doit notamment préciser les traitements mis en œuvre, les finalités, les destinataires, les données utilisées ou encore les transferts.

Mathias Avocats reste à votre disposition pour toute question complémentaire à votre mise en conformité.