Publication au JO du 15 avril 2020 du référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel

Le 20 avril 2020

La Commission Nationale Informatique et Libertés (CNIL) vient d’annoncer la publication au journal officiel de la Délibération n° 2019-160 du 21 novembre 2019, adoptant un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, dont le projet avait été soumis à consultation publique en avril 2019.

Il s’agit du sixième référentiel publié par la CNIL depuis l’entrée en application du Règlement général relatif à la protection des données personnelles (RGPD).

Ces documents sont élaborés sur la base d’une consultation publique, afin d’interroger les acteurs concernés par le type de traitement visé par le référentiel, et ont pour vocation d’accompagner ces derniers dans leur mise en conformité.

En effet, selon le type de traitement effectué (gestion des fichiers clients et prospects, gestion des risques sanitaires, gestion des ressources humaines), les exigences liées à la mise en conformité diffèrent. La réglementation européenne comme la législation nationale sont des règles générales qui ne répondent pas explicitement aux contraintes spécifiques à chaque type de traitement.

En outre, les cadres de référence proposés par la CNIL ont également vocation à remplacer les autorisations uniques, normes simplifiées et packs de conformité intervenus avant l’entrée en application du RGPD, lesquels n’ont plus de valeur juridique depuis cette date.

Ainsi, la publication de ce nouveau référentiel vient ici remplacer la norme simplifiée NS 46 relative à la gestion des ressources humaines.

 

Ce référentiel est-il obligatoire ?

Non, nous répond la CNIL. Au demeurant, tout organisme qui s’en écarterait devra être en mesure de le justifier ainsi que de prendre toutes mesures « appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel. » rappelle la CNIL dans ce référentiel.

Par ailleurs, la CNIL précise que pour les organismes s’étant auparavant conformés à la norme simplifiée NS 46 ont pour obligation d’appliquer les nouvelles règles issues du RGPD.

A cet égard, ce référentiel constitue la grille de lecture pour les responsables de traitement qui, une fois l’ensemble des traitements recensés, devront vérifier les écarts éventuels entre les traitements réalisés et ceux prévus par le référentiel.

En effet, il est à noter que certaines des activités de traitement et, en particulier des finalités de traitement, diffèrent entre les la norme simplifiée NS 46 et celles du référentiel. D’où la nécessité pour les organismes de procéder à ce comparatif.

En outre, les organismes qui étaient déjà conformes à la norme simplifiée NS 46 devront vérifier, pour chaque activité de traitement, la base légale de celui-ci, conformément à ce que prévoit le référentiel pour chaque activité de traitement.

Cette vérification participera de l’information que l’organisme, en qualité de responsable de traitement, doit fournir aux personnes concernés (salariés, collaborateurs, etc.) : quelles données traitées, pour quelles finalités, sur quelle base légale (son intérêt légitime, le consentement de la personne concernée, etc.) etc.

 

Un champ d’application plus large

De manière générale, ce référentiel couvre un champ d’application plus large que la norme simplifiée NS 46, puisqu’il couvre les aspects recrutement et gestion de la paye.

En réalité, certains de ces aspects étaient « rapidement » survolés dans les activités de traitement existantes. Ainsi, en ce qui concerne le recrutement, on le retrouvait dans la norme simplifiée NS 46 sous l’activité « gestion administrative de l'employé », en particulier dans le cadre de la finalité « gestion de la carrière de l'employé : date et conditions d'embauche ou de recrutement, […] ».

Dorénavant le recrutement est une activité de traitement à part entière et recoupe deux finalités : « Traitement des candidatures (CV et lettre de motivation) et gestion des entretiens » et « Constitution d’une CV-thèque ».

A contrario, la gestion de la paye était, curieusement, inexistante de la norme simplifiée NS 46.

Autre différence significative : les durées de conservation. En particulier, le référentiel apporte davantage de précisions sur les durées de conservations comme sur les modalités à mettre en œuvre en cas de difficulté pour l’organisme à fixer cette durée.

Enfin, s’agissant des aspects relatifs à la mise en place de mesures de sécurité, ceux-ci sont manifestement plus fournis que ce que proposait la norme simplifiée NS 46, laquelle prévoyait simplement la mise en place de « Toutes précautions utiles pour préserver la sécurité et la confidentialité des traitements et des données. ».

Dans le cadre du référentiel, toute une liste de mesures est suggérée par la CNIL, que les organismes peuvent suivre afin de renforcer la sécurité des traitements mis en œuvre.

 

Un référentiel utile pour la mise en œuvre d’analyse d’impact

Enfin, la CNIL précise qu’outre l’accompagnement dans la mise en conformité des organismes, ce cadre de référence constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire.

En effet, une telle analyse est nécessaire dans les situations où des traitements de données personnelles qui sont réalisés sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

A ce titre, le RGPD impose aux autorités compétentes en matière de protection des données, d’établir une liste des traitements qui nécessitent la mise en œuvre d’une telle analyse. Cette liste a été publiée par la CNIL en octobre 2018.

Dans le cadre du référentiel, la CNIL a de nouveau listé les types d’opérations de traitement nécessitant une telle analyse comme ceux étant exclus. Elle précise également les critères à prendre en compte pour déterminer si l’analyse d’impact est nécessaire et la démarche à suivre pour l’initier.

 

Liens utiles :

 

Eugénie Richard