L’essentiel : La CNIL a adopté un référentiel sur les traitements de données personnelles en gestion des ressources humaines, s’adressant aux employeurs privés et publics. Bien que non contraignant, il remplace la norme simplifiée NS-46, désormais obsolète avec l’entrée en vigueur du RGPD. Ce référentiel élargit le champ d’application pour inclure le recrutement et la gestion de la paye. Il précise les bases légales pour les traitements RH et les durées de conservation des données. Certains traitements spécifiques, comme la vidéosurveillance ou l’analyse algorithmique, sont exclus et nécessitent une conformité particulière.

La CNIL a adopté son référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Ce référentiel n’est pas contraignant, il est pris dans les suites de la Délibération n° 2019-160 du 21 novembre 2019 et s’adresse à l’ensemble des employeurs privés et publics. Il s’inscrit dans la continuité de la norme simplifiée NS-46 qui n’a plus de valeur juridique depuis l’entrée en application du RGPD. Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée car il couvre le processus de recrutement mais également la gestion de la paye. Certaines règles de fond ont été précisées parmi lesquelles celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière RH, ou encore en matière de détermination des durées de conservation des données.

L’encadrement des traitements courants en matière RH

Adopté à la suite d’une consultation publique, ce référentiel s’adresse à l’ensemble des organismes privés et publics qui mettent en place des traitements de données à des fins de gestion des ressources humaines. Outil d’aide à la mise en conformité, il applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Les traitements exclus du référentiel

Certains traitements sont exclus du champ d’application du référentiel en raison de leurs spécificités et font l’objet d’un encadrement particulier (contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriques, dispositif d’alertes professionnelles, vidéosurveillance, d’écoute et enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc.). Il en va de même pour certains traitements invasifs ou ayant recours à des outils particulièrement innovants.

Aussi, un responsable de traitement qui souhaiterait mettre en œuvre de tels dispositifs devra s’assurer de la conformité de sa démarche à la réglementation en vigueur, en procédant à sa propre analyse. Il pourra partiellement s’aider du présent référentiel, mais ce dernier ne garantira pas la conformité de son traitement.

Les principales évolutions du référentiel

Afin de répondre au mieux aux besoins des organismes, le champ d’application du référentiel a été élargi et couvre désormais non seulement la gestion des ressources humaines, mais également la gestion de la paye et les traitements les plus répandus en matière de recrutement.

Des développements nouveaux ont été rajoutés concernant l’identification des bases légales susceptibles de fonder les traitements courants en matière RH. Des précisions ont été également apportées sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire, ou non, pour le responsable de traitement. Le référentiel relatif à la gestion des ressources humaines applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération ou encore la mise à disposition des salariés d’outils de travail.

Q/R juridiques soulevées :

Quel est l’objectif principal du référentiel de la CNIL concernant les données personnelles en gestion des ressources humaines ?

Le référentiel de la CNIL a pour objectif principal d’encadrer les traitements de données personnelles mis en œuvre dans le cadre de la gestion des ressources humaines.

Il s’adresse à tous les employeurs, qu’ils soient privés ou publics, et vise à assurer la conformité avec les règles de protection des données.

Adopté suite à une consultation publique, ce référentiel est un outil d’aide qui permet de clarifier les obligations des organismes en matière de traitement des données, notamment pour des processus tels que le recrutement, la gestion administrative du personnel, et la rémunération.

Quelles sont les spécificités des traitements exclus du référentiel ?

Certains traitements de données sont exclus du champ d’application du référentiel en raison de leur nature spécifique.

Ces traitements incluent, par exemple, le contrôle d’accès aux locaux de travail via des dispositifs biométriques, la vidéosurveillance, et l’enregistrement des conversations téléphoniques.

De plus, les analyses algorithmiques visant à prédire le comportement ou la productivité des salariés sont également concernées.

Pour ces traitements, un responsable de traitement doit s’assurer de la conformité de sa démarche avec la réglementation en vigueur, en effectuant une analyse propre, car le référentiel ne garantit pas la conformité.

Quelles évolutions majeures ont été apportées au référentiel par rapport à l’ancienne norme simplifiée NS-46 ?

Le référentiel a élargi son champ d’application par rapport à l’ancienne norme simplifiée NS-46, qui n’a plus de valeur juridique depuis l’entrée en application du RGPD.

Il couvre désormais non seulement la gestion des ressources humaines, mais aussi la gestion de la paye et les traitements liés au recrutement.

Des développements ont été ajoutés concernant l’identification des bases légales pour fonder les traitements en matière RH.

Des précisions ont également été apportées sur les situations où une analyse d’impact sur la protection des données (AIPD) est obligatoire pour le responsable de traitement.

Comment le référentiel aide-t-il les organismes dans la mise en conformité ?

Le référentiel sert d’outil d’aide à la mise en conformité pour les organismes qui traitent des données personnelles dans le cadre de la gestion des ressources humaines.

Il fournit des lignes directrices sur les obligations à respecter, notamment en ce qui concerne la protection des données lors des processus de recrutement, de gestion administrative, et de rémunération.

En clarifiant les règles applicables, le référentiel permet aux employeurs de mieux comprendre comment gérer les données de manière conforme et sécurisée.

Cela inclut des recommandations sur l’identification des bases légales et la durée de conservation des données, ce qui est essentiel pour respecter les exigences du RGPD.