Le Covid-19 n’a pas empêché la Commission nationale de l’informatique et des libertés (« CNIL ») de publier le 15 avril 2020 son référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel[1] (« Référentiel »). Ce Référentiel ne s’applique pas aux traitements considérés comme sensibles parce qu’ils utilisent des technologies innovantes (biométrie, intelligence artificielle, Big Data) ou parce qu’ils sont « à grande échelle » ou qu’ils visent à contrôler l’activité des salariés. Mais pour tous les autres traitements (paie, formation, suivi des carrières, déclaration sociale nominative etc.), le Référentiel comporte des précisions utiles sur les caractéristiques requises de ces traitements pour être en conformité avec le règlement général sur la protection des données[2] (« RGPD »). C’est une occasion pour les entreprises de refaire l’inventaire de leurs traitements et vérifier point par point leur conformité avec ces préconisations. Même si elles n’ont pas de valeur juridique contraignante, ne pas les suivre reste risqué.  

La crise que suscite la pandémie liée au Covid-19 conduit à repenser les modes de travail à distance. Elle doit aussi être l’occasion de mettre à jour les traitements de gestion du personnel en perspective du déconfinement et de la reprise économique dans les semaines à venir.

Les entreprises disposent à ce titre d’un Référentiel de la CNIL publié le 15 avril 2020, de nature à les aider. Ce Référentiel précise les conditions à respecter pour être en conformité avec le RGPD et savoir quand réaliser une analyse d’impact à la protection des données (« AIPD »)[3].

Dès lors que le RGPD a supprimé les formalités préalables imposées par la directive 95/46/CE[4] de 1995, il n’y a plus lieu pour la CNIL de publier des « normes simplifiées » destinées à alléger les anciennes obligations déclaratives. Mais ce que la CNIL a perdu comme pouvoir d’orientation des pratiques des entreprises dans la mise en œuvre de leurs traitements, elle le retrouve via la formule du Référentiel élaboré après une large consultation du publique. C’est ainsi que le Référentiel sur la gestion des ressources humaines remplace l’ancienne norme simplifiée (NS 46)[5], les dispenses de déclaration en matière de paie (DI-001)[6] et les diverses autorisations uniques adoptées par la CNIL avant l’entrée en vigueur du RGPD en matière de gestion du personnel.

Si ce Référentiel a valeur de recommandation et n’est donc pas en principe contraignant, les employeurs sont toutefois fortement incités à suivre ces préconisations. L’employeur peut s’en écarter, mais dans ce cas il doit se préparer à justifier, par exemple en cas de contrôle de la CNIL, des raisons pour lesquelles sous sa responsabilité il a estimé ne pas se conformer à la lettre à ces préconisations. On retrouve ici l’alternative « comply or explain » reflétant le pragmatisme dont la CNIL entend faire preuve, selon les récentes déclarations de sa présidente[7]. Ce pragmatisme est indispensable dans les choix de gestion du personnel faits par les entreprises ou autres organismes, du secteur privé comme public et qui relève du pouvoir d’administration des dirigeants.

Le Référentiel ne s’applique pas aux traitements jugés sensibles comme:

  • les traitements impliquant le recours à des outils innovants telle que la psychométrie, les traitements algorithmiques ou le « Big Data» ; et
  • les traitements ayant pour objet ou pour effet le contrôle de l’activité des salariés[8].

Le Référentiel guide les acteurs publics et privés sur les différents aspects de la protection des données, à savoir :

  • Les finalités des traitements peuvent être le recrutement, la gestion administrative du personnel, la gestion des rémunérations et l’accomplissement des formalités administratives afférentes, la mise à disposition du personnel d’outils professionnels, l’organisation du travail, suivi des carrières et de la mobilité, la formation, la tenue des registres obligatoires, la communication interne, la gestion des aides sociales, la réalisation des audits et la gestion du contentieux et du précontentieux. Il n’est pas précisé si cette liste est limitative.
  • Les interconnexions de fichiers ne sont pas exclues pour peu seulement qu’elles soient nécessaires à l’accomplissement des finalités ainsi énumérées. Si le Référentiel ne donne aucun exemple, on pourrait concevoir que le fichier de suivi des carrières soit interconnecté avec celui du suivi des formations obligatoires ou facultatives de l’employé (e-learning et formation en face à face). Mais une telle interconnexion doit être strictement justifiée et documentée eu égard à la méfiance de la CNIL vis-à-vis de cette possibilité.
  • La base légale des traitements, conformément à la position retenue par le Groupe de travail de l’article 29[9] (« G29»), ne peut qu’exceptionnellement être  le consentement. En effet, dans le cadre des relations de travail, il est considéré comme ayant peu de chances d’être réellement « libre » au sens de l’article 7 du RGPD en raison du lien de subordination entre le salarié et son employeur[10]. Le Référentiel reflète cette idée en indiquant que les employés « ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entraine aucune conséquence sur leur situation ». C’est par exemple le cas de l’enregistrement d’un clip promotionnel dans un espace de travail faisant apparaitre des employés à condition que leur refus d’être filmés n’ait aucun impact à leur égard. Aussi, les bases légales les plus fréquemment utilisables devraient être :
    • le respect d’une obligation légale (par exemple, la tenue d’un registre unique du personnel ou les obligations liées à la déclaration sociale nominative) ;
    • l’exécution d’un contrat ou de mesures précontractuelles (par exemple, l’examen des candidatures ou tout ce qui est en lien avec la gestion de la paie) ;
    • la poursuite de l’intérêt légitime de l’entreprise (par exemple, la mise à disposition du personnel d’outils informatiques ou le suivi des carrières et de la mobilité) ;
    • l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Sans que la CNIL donne d’indications, on peut imaginer que cela concerne les agents publics ou les agents de statut privé d’une entité publique, ou encore les personnels des opérateurs privés concessionnaires de service public.
  • S’agissant des données personnelles susceptibles d’être enregistrées dans le traitement, le Référentiel souligne que « l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu’à partir du moment où ce besoin se concrétise». Les catégories de données que l’employeur peut collecter sont énumérées, selon les finalités. Le Référentiel indique que les données sensibles comme le numéro de sécurité sociale ou les données relatives à l’état de santé de l’employé ne peuvent être collectées et traitées que dans les conditions strictement définies par l’article 9 du RGPD. Le traitement de ces données étant en principe interdit[11], l’employeur bénéficie d’une exception pour les traiter sur le fondement de l’article 9.2.b du RGPD qui permet la mise en place d’un traitement « nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective ».
  • Les personnels pouvant accéder aux données et éventuellement les traiter pour le compte de l’employeur doivent avoir été spécifiquement habilités pour ce faire, ce qui signifie que leur habilitation doit être documentée et que la consultation des traitements doit permettre une traçabilité[12].
  • Les destinataires des données pouvant recevoir communication des données sont notamment les instances représentatives du personnel, les organismes publics et les administrations légalement habilités à les recevoir, les entités chargées de l’audit et du contrôle financier, les entités en charge de l’action culturelle et sociale, les prestataires auxquels l’employeur a sous-traité la gestion de certaines tâches (par exemple, restauration collective, organisation du vote électronique etc.).
  • Les durées de conservation doivent par principe être limitées au temps strictement nécessaire en fonction des finalités. Le Référentiel dresse un tableau des durées de conservation en base active selon les catégories de données et les finalités poursuivies. La CNIL va jusqu’à préciser les durées de l’archivage intermédiaire, correspondant aux durées légales de conservation. Il n’est le plus souvent pas tenu compte de la prescription. Or, en cas de départ litigieux d’un salarié ou de la survenance tardive d’une maladie ou d’un handicap, longtemps après le départ du salarié et que celui-ci imputerait à ses conditions de travail, il pourrait être utile à l’employeur de garder des preuves issues des fichiers de personnel. La CNIL n’aborde absolument pas cette question. Rien n’est dit en outre de la solution de l’archivage définitif.
  • Le Référentiel souligne par ailleurs l’importance des principes de transparence et de loyauté à l’égard des personnes dont les données sont traitées. Conformément à l’article 13 du RGPD, le personnel doit être informé de « l’existence du traitement, de ses caractéristiques et les droits dont elles disposent » dès le stade de la collecte des données. A cette fin, les employeurs peuvent s’inspirer des modèles d’information disponibles sur le site de la CNIL[13].
  • Le Référentiel énumère les droits des employés à la protection de leurs données : le droit d’opposition, le droit d’accès, de rectification et d’effacement, le droit à la limitation et le droit à la portabilité des données. Concernant le droit d’opposition, le Référentiel rappelle que ce droit n’existe que pour les traitements mis en œuvre sur la base de l’intérêt légitime de l’entreprise ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. En revanche, il est regrettable qu’aucun exemple ne soit donné des « raisons particulières » de nature à justifier l’exercice du droit d’opposition et ce, d’autant plus que l’intérêt légitime de l’employeur représente la base légale des traitements de gestion du personnel dans la majorité des cas évoqués par la CNIL. A titre d’exemple, comment peut-on se passer de la gestion des annuaires informatiques permettant de définir les autorisations d’accès, de la gestion de la messagerie électronique professionnelle, de la gestion des agendas et projets professionnels ou encore de la gestion des aides sociales ? Reconnaître un droit d’opposition dans ces hypothèses serait une source de désorganisation de la gestion de l’entreprise. Aussi, il serait utile de savoir dans quelles autres éventuelles hypothèses la CNIL entend que le droit d’opposition puisse s’exercer en conformité du RGPD.
  • Le Référentiel précise les mesures de sécurité à prendre pour empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. Ces indications sont autant d’instructions à donner par l’entreprise à son sous-traitant informatique dans le cadre de leur relation contractuelle.
  • Enfin, le Référentiel indique les traitements devant faire l’objet ou non d’une AIPD. Cette dernière est obligatoire lorsque le traitement peut engendrer un risque élevé pour les droits et libertés de la personne concernée[14]. Cette analyse doit comprendre au moins une description détaillée du traitement, l’intérêt et la finalité de celui-ci, la justification de la nécessité du traitement et les mesures de sécurité et garanties prises pour diminuer les risques ayant conduit à réaliser une AIPD[15]. Le Référentiel rappelle ainsi les traitements pour lesquels une AIPD n’est pas requise en donnant des exemples :
    • les traitements mis en œuvre uniquement à des fins de ressources humaines par les organismes employant moins de 250 personnes (par exemple, gestion de la paie, des formations ou du restaurant d’entreprise) ;
    • les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physique en dehors de l’usage de la biométrie et à l’exclusion des traitements de données sensibles (par exemple, dispositif de contrôle du temps de travail effectué par les salariés ou dispositif d’accès non-biométriques par badges aux locaux).

Le Référentiel indique qu’une AIPD est toutefois requise pour :

  • les traitements établissant des profils à des fins de gestion des ressources humaines (par exemple, traitements visant à faciliter le recrutement grâce à un algorithme) ;
  • les traitements ayant pour finalité la surveillance constante de l’activité des employés (par exemple, vidéosurveillance ou analyse des flux de courriels sortants afin de détecter d’éventuelles fuites des données).

Pour d’autres traitements, le Référentiel rappelle les critères établis par le G29[16] ; la réalisation d’une AIPD étant obligatoire si deux des neuf critères suivants sont réunis :

  • l’évaluation/notation d’un employé ;
  • une prise de décision automatisée ;
  • la surveillance systématique des employés ;
  • le traitement de données sensibles ou à grande échelle ;
  • le croisement ou la combinaison d’un ensemble de données ;
  • le traitement de données sur des personnes vulnérables ;
  • l’utilisation de solutions innovantes technologiques ou organisationnelles ;
  • le traitement de données impliquant que les personnes sont privées d’un droit ou du bénéfice d’un service ou d’un contrat.

En guise de conclusion :

  • Il faut d’abord noter qu’en dépit de la suppression des formalités préalables, la CNIL entend multiplier les préconisations dans les différents domaines d’activités des entreprises. Compte tenu des pouvoirs de sanction de la CNIL, les opérateurs sont hautement incités à suivre ces recommandations, bien qu’elles n’aient juridiquement pas de valeur contraignante. A défaut, il leur faut être en mesure de pouvoir justifier de manière circonstanciée et documentée les raisons pour lesquelles elles ne sont pas suivies à la lettre.
  • Comme tous les référentiels déjà publiés et ceux qui le seront plus tard, le Référentiel sur la gestion des ressources humaines constitue un guide utile pour les directeurs des ressources humaines, les directeurs juridiques et les directeurs de l’informatique des entreprises, ainsi que les DPO. Néanmoins, ce Référentiel laisse subsister des zones d’ombre importantes, qu’il faudra éclaircir notamment en cas de contestation de la part des salariés, des syndicats ou encore de tiers. C’est pourquoi, le Référentiel semble avoir vocation à évoluer en fonction de l’évolution des besoins et des pratiques des entreprises.
  • Enfin, il est symptomatique que ce Référentiel exclut de son champ d’application un nombre non négligeable de traitements au motif qu’ils utilisent des technologies innovantes comme la biométrie, l’intelligence artificielle ou le Big Data. Pourtant, ces technologies, qui se développent à un rythme accéléré à travers le monde, impactent de plus en plus la gestion du personnel. Elles ne peuvent être ignorées, et encore moins repoussées. Elles doivent être contrôlées pour ne pas se retourner contre les intérêts des employés. Elles sont par ailleurs un formidable outil pour faciliter et valoriser leurs activités et c’est dans cet esprit d’équilibre que la CNIL devrait en concevoir l’utilisation.

 

[1] Délibération n° 2019-160 du 21 novembre 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel.

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[3] https://www.cnil.fr/fr/le-referentiel-relatif-la-gestion-des-ressources-humaines-en-questions.

[4] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[5] Délibération n°2005-002 du 13 janvier 2005 portant adoption d'une norme destinée à simplifier l'obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels modifiée par délibération n°2005-277 du 17 novembre 2005.

[6] Délibération n°2004-096 du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par l'Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public.

[7] « Protection des données : pour la présidente de la CNIL, ‘il y a une prise de conscience mondiale’ », Le Monde, 15 avril 2020 : https://www.lemonde.fr/pixels/article/2019/04/15/protection-des-donnees-pour-la-presidente-de-la-cnil-il-y-a-une-prise-de-conscience-mondiale_5450271_4408996.html.

[8] Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

[9] Organe consultatif européen indépendant sur la protection des données et de la vie privée composé par des représentations des autorités de contrôle des Etats membres qui a été remplacé depuis l’entrée en vigueur du RGPD par le Comité européen de la protection des données.

[10] G29, Lignes directrices du 10 avril 2018 sur le consentement au sens du règlement 2016/679, WP259 rév. 01, p. 7-8.

[11] Article 9.1 du RGPD.

[12] Il convient ainsi de prévoir un système de journalisation des activités des utilisateurs, des anomalies et des événements liés à la sécurité, d’informer les utilisateurs de la mise en place d’un tel système, de protéger les équipements de journalisations et les informations journalisées contre les accès non autorisées, d’établir des procédures détaillant la surveillance d’utilisation du traitement et examiner périodiquement les journaux d’événements et d’assurer que les gestionnaires du dispositif de gestion des traces notifie toute anomalie ou tout incident de sécurité (Agence nationale de la sécurité des systèmes d’information, Recommandations de sécurité pour la mise en œuvre d’un système de journalisation, 2 décembre 2013).

[13] https://www.cnil.fr/fr/exemples-de-formulaire-de-collecte-de-donnees-caractere-personnel.

[14] Article 35.1 du RGPD.

[15] Article 35.7 du RGPD ; pour réaliser une AIPD, il faut se reporter aux outils méthodologiques proposés par la CNIL.

[16] G29 Lignes directrices du 4 octobre 2017concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, WP 248 rév. 01, p. 10-13.