Le référentiel relatif à la gestion des ressources humaines adopté par la Cnil le 29 novembre 2019 a été publié au Journal Officiel le 15 avril dernier.
Il vise à clarifier la conduite de certains traitements RH parmi les plus courants en proposant des bases légales et des recommandations pour la conduite d’analyse d’impact.
Les traitements concernés sont donc, en majorité, les traitements relatifs au recrutement, à la gestion administrative du personnel, à la rémunération ou encore la mise à disposition des salariés d’outils de travail.
A l’heure de la généralisation du télétravail, cette publication ne pourra qu’aider les entreprises à mieux anticiper les traitements de données qu’elles pourraient avoir mis en place dans l’urgence, tel que le prêt de matériel informatique.
Le référentiel identifie en effet les principales finalités des traitements de données RH, les bases légales susceptibles de fonder ces traitements et les durées de conservation qui leur sont applicables.
A cette occasion, la Cnil rappelle que le contrat ne peut être la base légale d’un traitement de données que si la personne concernée y est partie, et, que le consentement peut rarement être la base légale d’un traitement RH en raison de la dépendance qui découle de la relation employeur/employé et qui rend difficile la collecte d’un consentement libre.
Le référentiel rappelle également l’importance de la sélection et de la détermination des personnes et des organismes destinataires des données. Il insiste par ailleurs sur les principes de proportionnalité et de minimalisation en rappelant que seules les données strictement nécessaires doivent être collectées et traitées.
Il apporte également des précisions quant aux situations nécessitant la réalisation d’une analyse d’impact.
Bien que ce référentiel ne soit pas contraignant, la Cnil indique sur son site Internet qu’il a, « dans les limites de son champ d’application », vocation à remplacer toute la documentation et les autorisations qui étaient préalablement nécessaires à la conduite de ces traitements (parmi lesquels, les normes simplifiées et packs de conformité produits par la CNIL avant l’entrée en application du RGPD).
Pour rappel, jusqu’à l’entrée en vigueur du RGPD, certains traitements ne pouvaient être réalisés que sur dispense nominative d’autorisation préalable ou en application de normes simplifiées.
Les responsables du traitement conservent la possibilité de s’écarter des recommandations du référentiel, mais doivent également être en mesure de justifier leurs choix.
Le référentiel écarte cependant certains traitements, parmi lesquels les traitements incluant des outils innovants, contrôlant l’activité des salariés ou les traitements dits « de Big Data ».
Pour ces traitements en particulier, il est possible d’utiliser le référentiel mais chaque responsable du traitement devra conduire sa propre analyse détaillée. La Cnil indique cependant que ces traitements font actuellement l’objet de travaux séparés et devraient faire l’objet d’une communication distincte.
Enfin, en complément de la publication du référentiel, la Cnil a mis à jour et documenté au cours du mois ses publications relatives au télétravail et à l’utilisation des outils informatiques personnels des salariés.