RÉFÉRENTIEL
RÉFÉRENTIEL RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE AUX FINS DE GESTION DU PERSONNEL
Adopté le 21 novembre 2019
1. A qui s'adresse ce référentiel ?
Ce référentiel s'adresse aux organismes privés ou publics, quelle que soit leur forme juridique, et encadre la mise en œuvre de leurs traitements courants de « gestion du personnel ».
Pour les besoins du présent référentiel, les termes : « personnes employées », « personnels » « effectifs », « moyens humains » ou « ressources humaines », sont considérés comme synonymes et désignent l'ensemble des collaborateurs permanents ou temporaires de l'employeur, quels que soient leur statut, leur type ou durée de contrat, leur niveau de rémunération. Sont notamment couverts par les dispositions du présent référentiel les salariés, les agents de la fonction publique, les stagiaires, les vacataires, etc., faisant partie des effectifs de l'organisme employeur.
Les organismes mettant en place des traitements de gestion du personnel doivent s'assurer de sa conformité :
- aux dispositions du règlement général sur la protection des données (RGPD) ainsi qu'à celles de la loi du 6 janvier 1978 modifiée (LIL) ;
- à l'ensemble des autres règles applicables telles que la législation du travail, les textes régissant la fonction publique, les conventions collectives, etc.
2. Portée du référentiel
Ce référentiel a pour objectif de fournir aux organismes publics et privés mettant en œuvre des traitements de gestion courante des ressources humaines (RH), un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
Il couvre les traitements mis en place couramment par les organismes-employeurs dans le cadre de la gestion de leur personnel.
Il n'a dès lors pas vocation à s'appliquer aux traitements mis en œuvre notamment par les organisations syndicales, les instances représentatives du personnel, ou encore les services de médecine de travail.
En raison de leur sensibilité, ce référentiel n'a pas vocation à encadrer :
- les traitements de gestion RH impliquant le recours à des outils innovants tels que la psychométrie (i.e. les techniques de quantifications des aspects de personnalité), les traitements algorithmiques à des fins notamment de profilage, ou encore les traitements dits de « Big Data », qui seront traités à part ;
- les traitements ayant pour objet ou pour effet le contrôle individuel de l'activité des salariés.
Le respect de ce référentiel permet aux organismes de s'assurer de la conformité des traitements de données mis en œuvre dans ce cadre aux principes relatifs à la protection des données.
Les organismes qui s'écarteraient du référentiel au regard des conditions particulières tenant à leur situation doivent être en mesure de justifier l'existence d'un tel besoin, puis prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Le référentiel n'a pas pour objet d'interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s'assurer qu'ils respectent les autres réglementations qui peuvent par ailleurs trouver à s'appliquer.
Ce référentiel constitue également une aide à la réalisation d'une analyse d'impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire.
Pour réaliser une étude d'impact, le responsable de traitement pourra également se reporter aux outils méthodologiques proposés par la CNIL sur son site web. Les organismes seront ainsi à même de définir les mesures permettant d'assurer la proportionnalité et la nécessité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). A cette fin, l'organisme s'appuiera sur les lignes directrices de la CNIL sur les AIPD. Si l'organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.
3. Objectif(s) poursuivi(s) par le traitement (finalités)
Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l'organisme.
Un traitement de gestion du personnel peut être mis en œuvre pour les finalités suivantes :
a) Recrutement ;
b) Gestion administrative des personnels ;
c) Gestion des rémunérations et accomplissement des formalités administratives afférentes ;
d) Mise à disposition du personnel d'outils professionnels ;
e) Organisation du travail ;
f) Suivi des carrières et de la mobilité ;
g) Formation ;
h) Tenue des registres obligatoires, rapports avec les instances représentatives du personnel ;
i) Communication interne ;
j) Gestion des aides sociales ;
k) Réalisation des audits, gestion du contentieux et du précontentieux.
Les informations recueillies pour l'une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité initiale. Tout nouvel usage des données doit en effet respecter les principes de protection des données personnelles. Les traitements mis en œuvre ne doivent pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l'accomplissement des finalités ci-dessus énoncées.
4. Base(s) légale(s) du traitement
Lorsqu'un traitement poursuit plusieurs finalités, le responsable du traitement doit déterminer la base légale la plus appropriée pour chacune d'elles (art. 6.1 du RGPD).
Il appartient au responsable de traitement de déterminer ces bases légales avant toute opération de traitement, après avoir mené une réflexion, qu'il pourra documenter, au regard de sa situation spécifique et du contexte.
Ayant un impact sur l'exercice de certains droits, ces bases légales font partie des informations devant être portées à la connaissance des personnes concernées.
Afin d'aider les organismes dans cette analyse, le présent référentiel présente les différentes bases légales applicables, puis propose, à titre indicatif, un choix de base légale pour chaque finalité dans un tableau.
Aussi, les bases légales les plus fréquemment mobilisables dans le contexte de gestion des ressources humaines, sont :
- le respect d'une obligation légale incombant à l'organisme, imposant la mise en œuvre d'un traitement entrant dans le cadre de la gestion du personnel (par ex. les obligations liées à la déclaration sociale nominative (DSN) ou encore à la tenue d'un registre unique du personnel) ;
- l'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à sa demande.
A noter : un contrat conclu entre l'employeur et un tiers (par ex. un client ou un prestataire) ne peut pas en tant que tel constituer la base légale d'un traitement de données d'une personne qui n'y est pas elle-même partie.