La Commission nationale de l’informatique et des libertés (CNIL) a adopté, le 21 novembre 2019, un « référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel », rendu public le 15 avril 2020.
Ce référentiel, destiné aux employeurs, privés et publics, recense et applique les principes du Règlement général sur la protection des données (RGPD) aux traitements de données couramment mis en œuvre dans le cadre de la gestion du personnel.
Ce document, accompagné d’une foire aux questions, définit :
- les finalités des traitements mis en œuvre ;
- les bases légales de ces traitements (respect d’une obligation légale incombant à l’employeur, exécution du contrat de travail…) ;
- les données personnelles concernées par les traitements ;
- les destinataires des données ;
- la durée de conservation des données ;
- les modalités d’information des personnes concernées ;
- les droits des personnes (droit d’opposition, droit d’accès et de rectification…) ;
- les mesures de sécurité à adopter.
Les traitements concernés portent sur le recrutement, la gestion administrative du personnel, la gestion des rémunérations, la mise à disposition du personnel d’outils professionnels, l’organisation du travail, le suivi des carrières et de la mobilité, la formation, la tenue des registres obligatoires, les rapports avec les institutions représentatives du personnel, la communication interne, la gestion des aides sociales, la réalisation des audits et la gestion du contentieux et du précontentieux.
Le référentiel n’a pas de caractère contraignant, de sorte que les employeurs ont la possibilité de s’en écarter, en appliquant des durées de conservation différentes de celles suggérées par le référentiel, par exemple. Il conviendra toutefois de pouvoir justifier leur choix, sous peine de voir leur responsabilité engagée.
Les règles édictées dans ce référentiel ne s’appliquent pas aux traitements de gestion de personnel « impliquant le recours à des outils innovants, tels que les traitements algorithmiques à des fins de profilage », et aux traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.
Sont également expressément exclus du champ d’application du référentiel, les traitements mis en œuvre par les entreprises de travail temporaire, les organisations syndicales, les instances représentatives du personnel et les services de médecine du travail.
https://www.cnil.fr/sites/default/files/atoms/files/referentiel_grh_novembre_2019_0.pdf
https://www.cnil.fr/fr/le-referentiel-relatif-la-gestion-des-ressources-humaines-en-questions
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041798580&categorieLien=id
D
