Attendu depuis l'automne 2019, le référentiel de la Commission nationale de l'informatique et des libertés (CNIL) sur la gestion des ressources humaines est disponible depuis le 15 avril. Chef du service des questions sociales et RH, Éric Delisle présente ce document majeur pour la gestion des données personnelles des salariés, publié en pleine crise sanitaire.
Compte tenu des événements actuels, sur quels éléments du référentiel attirez-vous l’attention des services RH ?
Éric Delisle : Dans la période actuelle, il convient d’être particulièrement vigilant quant à l’information des employés sur les traitements mis en œuvre : chacun doit comprendre quelles données sont traitées par son employeur. La suspicion engendrée par un manque de transparence crée du conflit social. Or, en droit des données personnelles comme en droit du travail, cette transparence et cette confiance sont essentielles. Si la période actuelle est sans précédent et amène employés et employeurs à se réinventer, il ne faut pas céder à la tentation de mettre en œuvre des traitements de données excessifs, notamment dans les modalités de contrôle d’activité liées à l’exercice du télétravail. Il ne faut pas chercher dans la surveillance les réponses aux défis posés par la crise sanitaire.
Sur quels points essentiels le référentiel vient-il apporter des consignes et des recommandations ?
É. D. : Le référentiel s’inscrit dans la continuité de la norme simplifiée 46, désormais dépourvue de sa valeur juridique, et il met à jour ses principes au regard du RGPD. Le champ d’application du référentiel a ainsi été élargi et couvre désormais davantage de finalités de traitements, visant ainsi non seulement la gestion des ressources humaines au sens large (le suivi de la carrière, l’organisation du travail, la formation…), mais aussi la gestion de la paye (qui faisait l’objet de deux dispenses de déclaration) ainsi que les traitements les plus répandus en matière de recrutement. Des développements nouveaux ont été ajoutés concernant l’identification des bases légales susceptibles de fonder les traitements courants en matière RH : même si cette notion existait avant le 25 mai 2018, ce point revêt une importance nouvelle avec le RGPD qui conditionne l’exercice de certains droits à l’utilisation de telle ou telle base légale. Des précisions ont également été apportées sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire ou non pour le responsable de traitement.
Quels éléments ont retardé la publication du référentiel de la CNIL relatif à la gestion des ressources humaines, prévu initialement à l’automne dernier ?
É. D. : Les exemples qui ont été ajoutés dans le référentiel devaient être choisis avec soin, et chacun devait être apprécié à l’aune de travaux internes (sur les bases légales, par exemple, ou sur les durées de conservation), mais également de certains travaux européens. Il a donc été préféré de ne pas précipiter les choses pour s’assurer du résultat final.
Propos recueillis par Gilmar Sequeira Martins
Accéder au référentiel de la CNIL sur la gestion des ressources humaines
Visualisez la pièce jointe
