Le 15 avril 2020, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel.
Ce nouveau référentiel s’adresse à tout organisme public ou privé qui a des salariés et ne concerne que les traitements relatifs à la gestion RH. Il exclut, dès lors, certains traitement tels que les traitements relatifs aux contrôles de l’activité des salariés.
Il a pour but d’aider les responsables de traitement à assurer la conformité des traitements concernés avec les dispositions du RGPD, notamment les principes relatifs à la protection des données.
Toutefois, bien que nous saluons le travail de la CNIL car il s’agit d’un exercice difficile, ce projet, qui semblait ambitieux et pédagogique, exigera beaucoup de travail complémentaire, notamment de clarification, de la part des organismes concernés. S’il avait pour but d’aider les PME qui n’ont pas forcément accès à des avocats ou consultants, l’objectif du référentiel ne semble donc pas atteint.
En effet, ce document affiche un objectif d’accompagnement mais se révèle très hétérogène d’une section à l’autre, certaines sections étant très générales et d’autres apportant des exemples très détaillés mais toujours partiels.
S’agissant, en principe, de traitements peu intrusifs, une approche simplifiée mais exhaustive aurait été préférable.
Une présentation générale de ce document de onze pages s’imposent donc avant de parler des limites de ce dernier.
1. Présentation générale du référentiel
Le référentiel a pour but de fournir aux responsables de traitement des informations et des exemples afin de les aider à assurer la conformité des traitements relatifs à la gestion RH aux RGPD.
Ainsi, il comprend onze sections relatives au champs d’application (responsable du traitement concernés), aux traitements concernées et leur finalités, les bases légales, les données collectées, les destinataires, les durées de conservation applicables, l’information et les droits des personnes concernées, les mesures de sécurité, la nécessité de réaliser une anayse d’impact relatives à la vie privée (AIPD).
Chaque section contient des explications avec des degrés divers de détails dont les grandes lignes sont exposées ci-dessous.
A quoi sert ce référentiel ?
Selon la CNIL, ce référentiel est un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel et peut servir de base à la réalisation d’une analyse d’impact relative à la vie privée (AIPD).
La CNIL indique que les organismes qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation doivent être en mesure de justifier cet écart.
Selon l’autorité, le référentiel n’applique que la réglementation relative à la protection des données, les organismes concernés doivent s’assurer qu’ils respectent toutes autres réglementations qui leur sont applicables.
A qui s’adresse ce référentiel ?
Ce référentiel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique, et encadre la mise en oeuvre de leurs traitements courants de «gestion du personnel».
Quels traitements couvre-t-il ?
Il couvre les traitements mis en place couramment par les organismes-employeurs dans le cadre de la gestion de leur personnel.
Il s’agit des traitements dont les finalités sont les suivantes :
- Recrutement ;
- Gestion administrative des personnels ;
- Gestion des rémunérations et accomplissement des formalités administratives afférentes ;
- Mise à disposition du personnel d’outils professionnels ;
- Organisation du travail ;
- Suivi des carrières et de la mobilité ;
- Formation ;
- Tenue des registres obligatoires, rapports avec les instances représentatives du personnel ;
- Communication interne ;
- Gestion des aides sociales ;
- Réalisation des audits, gestion du contentieux et du précontentieux.
Sont toutefois exclus les traitements mis en œuvre notamment par les organisations syndicales, les instances représentatives du personnel, ou encore les services de médecine de travail ainsi que les traitements sensibles tels que:
- les traitements de gestion RH impliquant le recours à des outils innovants tels que la psychométrie (i.e. les techniques de quantifications des aspects de personnalité) ;
- les traitements algorithmiques à des fins notamment de profilage, ou les traitements dits de «Big Data» ;
- les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.
Dans quels cas une AIPD est-elle nécessaire ?
Bien que la CNIL indique que le référentiel peut servir de support pour une AIPD, le document se contente de rappeler les règles permettant d’identifier les traitements soumis à une AIPD et ceux qui ont été dispensés ou obligatoirement soumis à une AIPD en vertu des listes publiées par la CNIL fin 2019.
Ainsi, les traitements expressément exclus sont les suivants:
- les traitements mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
- les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel.
Les traitements devant faire l’objet d’une AIPD sont les suivants :
- les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines;
- les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés (ceci inclut les activités de “Data Loss Prevention”).
Les autres traitements doivent faire l’objet d’une AIPD seulement s’ils répondent à deux critères parmi les 9 identifiées par les autorités.
Il est important de noter que les salariés peuvent être considérés comme des personnes vulnérables face à leur employeur. Ainsi, si l’un des autres (9) critères est remplis, une AIPD s’impose. Nous pensons notamment au critère de « grande échelle » qui peut facilement être rempli dans les entreprises comptant des milliers de salariés.
Les autres informations fournies dans le référentiel
Le référentiel fournit de nombreuses informations avec des degrés divers de granularité sur les finalités, les bases légales, les durées de conservation, les données pouvant être collectées, les destinataires ainsi que les mesures de sécurité applicables.
Toutefois, un manque de consistance, notamment au niveau des exemples fournis et des finalités identifiées, entre les sections essentielles du référentiel, le rende difficile à mettre en pratique et nécessite un travail complémentaire poussé afin de pouvoir le mettre en pratique.
2. Un référentiel au contenu hététrogène qui reste plus théorique que pratique
Comme indiqué précédemment, ce document ambitieux se révèle incomplet et nécessite un travail de clarification et de recherche d’informations complémentaires afin de pouvoir être mis en pratique.
En effet, ce référentiel rappelle pour chaque section comment appliquer les règles de droit aux traitements RH et fournis des exemples.
Toutefois du fait d’un périmètre d’application très large (organismes du secteur public et privés), les exemples fournis ne sont pas exhaustif et cohérents d’une section à l’autre. Cette approche limite fortement l’intérêt du référentiel et rend difficile sa mise en pratique.
Des exemples non exhaustifs et cryptiques
Les exemples fournis par la CNIL dans les sections bases légales, durées de conservation et données collectées ne sont jamais exhaustifs, ne reprennent pas à l’identique les finalités identifiées dans la section finalités, ni le même vocabulaire.
Par ailleurs, à chaque relecteure du document, des incohérences ou des informations sujettent à débat apparaissent.
Dans l’exemple base légale, évaluer les personnes à la fin de la formation relève de l’intérêt légitime tandis que la demande de formation relève de l’exécution d’un contrat… or selon nous, la base légale dépend surtout du type de formation et de la raison/contexte de la demande. En effet, gérer ou même fournir les formations peut relever d’une obligation légale et non relevé du contrat de travail ou d’un intérêt légitime.
Les catégories de données pouvant être collectées dans la section relative aux données collectées sont, à l’exception de la catégorie “identification du salarié”, des finalités de traitement et non des catégories de données (ex: suivi de la carrière , établissement des fiches de paie, outil et matériel mis à la disposition de l’employé, activités sociales etc.). Les données peuvent apparaître plusieurs fois ou ne sont pas des données (ex: la donnée « organisation des sessions de formation »). Ceci rend le tableau difficile à lire et crée toujours plus de confusions.
Ainsi, trouver une information complète ou cohérente pour certains types de traitement relève d’un jeu de piste et rend peu lisible les attentes de la CNIL. Il n’est d’ailleurs pas possible d’identifier toutes les finalités possibles.
Une difficile identification des finalités et du niveau de granularité attendu par la CNIL
Le niveau de granularité et/ou le type de finalités de traitement pris en exemple est différent d’une section à l’autre et apparaît sous différent termes.
Par exemple, dans la section « bases légales », les finalités identifiées dans la section « finalités », deviennent des activités de traitement qui couvrent des finalités (ou sous-finalité). Ainsi l' »organisation du travail » a pour finalité la gestion des agendas et des projets professionnels dans l’exemple. La finalité/catégorie « formation » comprend les sous-finalités gestion des demandes de formation et l’organisation des sessions etc.
En ce qui concerne la section « durée de conservation », la CNIL ne produit des durées de conservation que pour la gestion de la paie, le registre unique du personnel, la gestion des mandats de représentant du personnel. Toutefois, selon la CNIL, il s’agit là aussi d’activités de traitement qui comprennent des détails de traitement (gestion de la paie comprend le bulletin de paie, la saisie des donnée (DSN) etc.). Certaines de ces finalités/activités apparaissent pour la première fois dans le document (ex: registre unique du personnel).
Ainsi, jongler entre les mots finalités, activités de traitements, objectifs de traitement, détails de traitement, catégories de données etc., qui peuvent couvrir des informations identiques ou similaires, ne facilitent pas la tâche des organismes et ne rend que moins lisibles les attentes de la CNIL.
En conclusion, nous comprenons que la CNIL a peut être voulu donner des explications et des exemples sur la manière dont le RGPD s’applique aux traitements RH mais ce document, bien qu’utile à certains égards, manque d’informations pratiques complètes et reste donc très théorique.
Nous essaierons de décrypter ce document et de fournir un tableau récapitulatif dans les prochains jours.