Le 21 novembre 2019, la Cnil avait adopté une délibération relative aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des ressources humaines.

Ce n’est que le 15 avril dernier que la Cnil a procédé à la publication de son référentiel, ayant vocation à s’appliquer à l’ensemble des employeurs, tant privés que publics. Pour rappel, ce référentiel remplace la norme simplifiée NS-46, dépourvue de valeur juridique depuis l’entrée en application du RGPD.

Quel est le champ d’application du référentiel ?

Le référentiel vise à orienter les employeurs dans le cadre de la mise en conformité des traitements courants dans le cadre de la gestion de leur personnel. La Cnil a notamment listé les finalités de traitement suivantes :

  • Le recrutement,
  • La gestion administrative des personnels,
  • La gestion des rémunérations et accomplissement des formalités administratives afférentes,
  • La mise à disposition du personnel d’outils professionnels,
  • L’organisation du travail,
  • Le suivi des carrières et de la mobilité,
  • La formation,
  • La tenue des registres obligatoires et des rapports avec les instances représentatives du personnel,
  • La communication interne,
  • La gestion des aides sociales,
  • La réalisation des audits ainsi que la gestion du contentieux et du précontentieux.

Toutefois, il convient de souligner que certains traitements sont expressément exclus du champ d’application du référentiel et nécessiteront la mise en œuvre d’une démarche de conformité autonome de l’employeur. En effet, pour ces traitements, le respect des prescriptions du référentiel ne suffira pas à démontrer la conformité de l’entité.

Sont concernés par cette exclusion :

  • Les traitements de gestion RH impliquant le recours à des outils innovants, tels que la psychométrie, les traitements algorithmiques à des fins de profilage ou les traitements dits de « Big Data »,
  • Les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.

La Cnil a néanmoins mis en place des outils d’aide à la mise en conformité pour certains dispositifs tels que les dispositifs biométriques de contrôle d’accès aux locaux de travail, les dispositifs d’alertes professionnelles et les dispositifs de vidéosurveillance et de vidéoprotection sur le lieu de travail.

En outre, ce référentiel n’a pas vocation à s’appliquer aux traitements mis en œuvre notamment par les organisations syndicales, les instances représentatives du personnel ou les services de médecine de travail.

Gestion des ressources humaines et bases légales

Le référentiel revient utilement sur les bases légales mobilisables dans le contexte de la gestion des ressources humaines en proposant un tableau des activités de traitement les plus susceptibles d’être mises en œuvre par les organismes.

Il sera toutefois relevé que la base légale relative aux mesures précontractuelles dans le cadre des opérations de recrutement retenue par la Cnil peut être mise en balance avec l’intérêt légitime. En effet, le lien entre la collecte de données à caractère personnel dans le cadre du recrutement (CV, lettre de motivation, synthèse des entretiens, etc.) et l’exécution d’une mesure précontractuelle à la demande d’un candidat semble assez distendu. Par ailleurs, cette base légale a pour effet de priver le candidat de son droit d’opposition et lui ouvre la possibilité d’exercer son droit à la portabilité.

Dans ce contexte, les bases légales qui figurent dans le référentiel de la Cnil devront malgré tout être appréciées suivant le contexte dans lequel chaque employeur évolue.

Certaines bases légales font l’objet d’un point d’attention par le référentiel. Il est en effet rappelé qu’un contrat entre l’employeur et un tiers ne peut servir de base légale au traitement de données d’une personne qui n’y est pas elle-même partie. Ainsi, un contrat entre l’employeur et un client ou un prestataire ne permet pas de fonder un traitement de données RH.

De plus, la Cnil rappelle que les employés ne sont que très rarement en mesure d’exprimer un consentement valide en raison de leur situation de dépendance vis-à-vis de l’employeur. Elle appelle donc à la vigilance lorsqu’il est envisagé de procéder à un traitement sur ce fondement et à s’assurer, notamment, que l’acceptation ou le rejet de ce traitement n’entraîne aucune conséquence sur la situation de l’employé (condition de travail, de rémunération, d’avancement, etc.).

Gestion des ressources humaines et conservation des données

Le référentiel revient sur la manière de déterminer la durée de conservation des données et propose un tableau détaillé de durées de conservation pour les traitements les plus fréquents en matière de RH.

Pour rappel, les données à caractère personnel des collaborateurs ne doivent être conservées que le temps strictement nécessaire à la réalisation des fins poursuivies. Par conséquent, cette durée doit être déterminée en amont de la réalisation de tout traitement et communiquée aux personnes concernées. Il incombera au responsable de traitement de documenter la manière dont est établie cette durée ou, lorsqu’il est impossible de la fixer, de préciser les critères utilisés pour la déterminer.

Le référentiel revient également sur les enjeux d’archivages intermédiaires distincts de la base active, par exemple pour le respect de dispositions législatives ou réglementaires spécifiques, et recommande la mise en place d’un archivage avec accès restreint.

Les durées de conservations en base active et en archivage intermédiaire issues de certaines dispositions du code du travail sont mentionnées à titre d’illustration. Les employeurs ne devront toutefois pas s’interdire de se référer à d’autres normes qui leur seraient applicables, ni se s’interroger sur la définition de durées de conservation non prévues par le référentiel. A titre d’illustration, certaines données ne doivent-elles pas être conservées par l’employeur jusqu’à liquidation des droits à la retraite ? En présence d’un employeur soumis au droit public, des textes ne définissent-ils pas la durée de conservation du dossier administratif des agents ?

L’information des candidats et des salariés

Le référentiel de la Cnil rappelle l’obligation d’information des candidats et collaborateurs à la charge de l’employeur. Il renvoie également aux modèles d’information disponibles sur le site Internet de la Cnil. Il pourra toutefois être regretté que la Cnil ne détaille pas davantage les modalités pratiques d’information de ces personnes concernées, par ailleurs considérées comme des personnes vulnérables, à l’instar des travaux en cours sur les cookies.

D’une manière générale, ce référentiel constitue une aide aux employeurs dans le cadre de leur mise en conformité. Il leur permet aussi d’avoir connaissance des positions de la Cnil sur certains points de conformité. En revanche, ils n’y trouveront pas toutes les réponses. Une appréciation de la conformité des traitements au cas par cas et une gestion des risques demeureront donc nécessaires.