🟧 DĂ©libĂ©ration CNIL du 23 mai 2022 portant modification de la dĂ©libĂ©ration du 21 novembre 2019 portant adoption d’un rĂ©fĂ©rentiel relatif aux traitements de donnĂ©es Ă  caractĂšre personnel mis en Ɠuvre aux fins de gestion du personnel

Références

NOR : CNIL2303441X
Source : JORF n°0033 du 8 février 2023, texte n° 84

En-tĂȘte

La Commission nationale de l’informatique et des libertĂ©s,
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es ou RGPD) ;
Vu le code du travail ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 8.I.2°.b ;
Vu les lois n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives Ă  la fonction publique de l’Etat, n° 84-53 du 26 janvier 1984 portant dispositions statutaires relatives Ă  la fonction publique territoriale, et n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives Ă  la fonction publique hospitaliĂšre ;
Vu le décret n° 2011-675 du 15 juin 2011 relatif au dossier individuel des agents publics et à sa gestion sur support électronique ;
Vu le dĂ©cret n° 2019-536 du 29 mai 2019 modifiĂ© pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu l’arrĂȘtĂ© du 21 dĂ©cembre 2012 relatif Ă  la composition du dossier individuel des agents publics gĂ©rĂ© sur support Ă©lectronique ;

Article

AprĂšs avoir entendu le rapport de M. Alexandre LINDEN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement ;
Adopte le rĂ©fĂ©rentiel relatif aux traitements de donnĂ©es Ă  caractĂšre personnel mis en Ɠuvre aux fins de gestion du personnel, qui sera publiĂ© au Journal officiel de la RĂ©publique française.

Annexe

RÉFÉRENTIEL RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ƒUVRE AUX FINS DE GESTION DU PERSONNEL
Adopté le 21 novembre 2019
Modifié le 23 mai 2022

1. A qui s’adresse ce rĂ©fĂ©rentiel ?

Ce rĂ©fĂ©rentiel s’adresse aux organismes privĂ©s ou publics, quelle que soit leur forme juridique, et encadre la mise en Ɠuvre de leurs traitements courants de « gestion du personnel ».
Pour les besoins du prĂ©sent rĂ©fĂ©rentiel, les termes « personnes employĂ©es », « personnels » « effectifs », « moyens humains » ou « ressources humaines », sont considĂ©rĂ©s comme synonymes et dĂ©signent l’ensemble des collaborateurs permanents ou temporaires de l’employeur, quels que soient leur statut, leur type ou durĂ©e de contrat, leur niveau de rĂ©munĂ©ration. Sont notamment couverts par les dispositions du prĂ©sent rĂ©fĂ©rentiel les salariĂ©s, les agents de la fonction publique, les stagiaires, les vacataires, etc., faisant partie des effectifs de l’organisme employeur.
Les organismes mettant en place des traitements de gestion du personnel doivent s’assurer de sa conformitĂ© :

– aux dispositions du RĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) ainsi qu’Ă  celles de la loi du 6 janvier 1978 modifiĂ©e (LIL) ;
– Ă  l’ensemble des autres rĂšgles applicables telles que la lĂ©gislation du travail, les textes rĂ©gissant la fonction publique, les conventions collectives, etc.

2. Portée du référentiel

Ce rĂ©fĂ©rentiel a pour objectif de fournir aux organismes publics et privĂ©s mettant en Ɠuvre des traitements de gestion courante des ressources humaines (RH), un outil d’aide Ă  la mise en conformitĂ© Ă  la rĂ©glementation relative Ă  la protection des donnĂ©es Ă  caractĂšre personnel.
Il couvre les traitements mis en place couramment par les organismes-employeurs dans le cadre de la gestion de leur personnel.
Il n’a dĂšs lors pas vocation Ă  s’appliquer aux traitements mis en Ɠuvre notamment par les organisations syndicales, les instances reprĂ©sentatives du personnel, ou encore les services de mĂ©decine de travail.
En raison de leur sensibilitĂ©, ce rĂ©fĂ©rentiel n’a pas vocation Ă  encadrer :

– les traitements de gestion RH impliquant le recours Ă  des outils innovants tels que la psychomĂ©trie (i.e. les techniques de quantifications des aspects de personnalitĂ©), les traitements algorithmiques Ă  des fins notamment de profilage, ou encore les traitements dits de « Big Data », qui seront traitĂ©s Ă  part ;
– les traitements ayant pour objet ou pour effet le contrĂŽle individuel de l’activitĂ© des salariĂ©s.

Le respect de ce rĂ©fĂ©rentiel permet aux organismes de s’assurer de la conformitĂ© des traitements de donnĂ©es mis en Ɠuvre dans ce cadre aux principes relatifs Ă  la protection des donnĂ©es.
Les organismes qui s’Ă©carteraient du rĂ©fĂ©rentiel au regard des conditions particuliĂšres tenant Ă  leur situation doivent ĂȘtre en mesure de justifier l’existence d’un tel besoin, puis prendre toutes les mesures appropriĂ©es Ă  mĂȘme de garantir la conformitĂ© des traitements Ă  la rĂ©glementation en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel.
Le rĂ©fĂ©rentiel n’a pas pour objet d’interprĂ©ter les rĂšgles de droit autres que celles relatives Ă  la protection des donnĂ©es Ă  caractĂšre personnel. Il appartient aux acteurs concernĂ©s de s’assurer qu’ils respectent les autres rĂ©glementations qui peuvent par ailleurs trouver Ă  s’appliquer.
Ce rĂ©fĂ©rentiel constitue Ă©galement une aide Ă  la rĂ©alisation d’une analyse d’impact relative Ă  la protection des donnĂ©es (AIPD), dans le cas oĂč celle-ci est nĂ©cessaire.
Pour rĂ©aliser une Ă©tude d’impact, le responsable de traitement pourra Ă©galement se reporter aux outils mĂ©thodologiques proposĂ©s par la CNIL sur son site web. Les organismes seront ainsi Ă  mĂȘme de dĂ©finir les mesures permettant d’assurer la proportionnalitĂ© et la nĂ©cessitĂ© de leurs traitements (points 3 Ă  7), de garantir les droits des personnes (points 8 et 9) et la maĂźtrise de leurs risques (point 10). A cette fin, l’organisme s’appuiera sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a dĂ©signĂ© un, le dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPD/DPO) devra ĂȘtre consultĂ©.

3. Objectif(s) poursuivi(s) par le traitement (Finalités)

Le traitement mis en Ɠuvre doit rĂ©pondre Ă  un objectif prĂ©cis et ĂȘtre justifiĂ© au regard des missions et des activitĂ©s de l’organisme.
Un traitement de gestion du personnel peut ĂȘtre mis en Ɠuvre pour les finalitĂ©s suivantes :

a) Gestion administrative des personnels ;
b) Gestion des rémunérations et accomplissement des formalités administratives afférentes ;
c) Mise Ă  disposition du personnel d’outils professionnels ;
d) Organisation du travail ;
e) Suivi des carriÚres et de la mobilité ;
f) Formation ;
g) Tenue des registres obligatoires, rapports avec les instances représentatives du personnel ;
h) Communication interne ;
i) Gestion des aides sociales ;
j) Réalisation des audits, gestion du contentieux et du précontentieux.

Les informations recueillies pour l’une de ces finalitĂ©s ne peuvent pas ĂȘtre rĂ©utilisĂ©es pour poursuivre un autre objectif qui serait incompatible avec la finalitĂ© initiale. Tout nouvel usage des donnĂ©es doit en effet respecter les principes de protection des donnĂ©es personnelles. Les traitements mis en Ɠuvre ne doivent pas donner lieu Ă  des interconnexions ou Ă©changes autres que ceux nĂ©cessaires Ă  l’accomplissement des finalitĂ©s ci-dessus Ă©noncĂ©es.

4. Base(s) légale(s) du traitement

Lorsqu’un traitement poursuit plusieurs finalitĂ©s, le responsable du traitement doit dĂ©terminer la base lĂ©gale la plus appropriĂ©e pour chacune d’elles (art. 6.1 du RGPD).
Il appartient au responsable de traitement de dĂ©terminer ces bases lĂ©gales avant toute opĂ©ration de traitement, aprĂšs avoir menĂ© une rĂ©flexion, qu’il pourra documenter, au regard de sa situation spĂ©cifique et du contexte.
Ayant un impact sur l’exercice de certains droits, ces bases lĂ©gales font partie des informations devant ĂȘtre portĂ©es Ă  la connaissance des personnes concernĂ©es.
Afin d’aider les organismes dans cette analyse, le prĂ©sent rĂ©fĂ©rentiel prĂ©sente les diffĂ©rentes bases lĂ©gales applicables, puis propose, Ă  titre indicatif, un choix de base lĂ©gale pour chaque finalitĂ© dans un tableau.
Aussi, les bases légales les plus fréquemment mobilisables dans le contexte de gestion des ressources humaines, sont :

– le respect d’une obligation lĂ©gale incombant Ă  l’organisme, imposant la mise en Ɠuvre d’un traitement entrant dans le cadre de la gestion du personnel (par ex. les obligations liĂ©es Ă  la dĂ©claration sociale nominative (DSN) ou encore Ă  la tenue d’un registre unique du personnel) ;
– l’exĂ©cution, soit d’un contrat auquel la personne concernĂ©e est partie, soit de mesures prĂ©contractuelles prises Ă  sa demande.

A noter : un contrat conclu entre l’employeur et un tiers (par ex. un client ou un prestataire) ne peut pas en tant que tel constituer la base lĂ©gale d’un traitement de donnĂ©es d’une personne qui n’y est pas elle-mĂȘme partie.

– la rĂ©alisation de l’intĂ©rĂȘt lĂ©gitime poursuivi par l’organisme ou par le destinataire des donnĂ©es, sous rĂ©serve de ne pas mĂ©connaĂźtre l’intĂ©rĂȘt ou les droits et libertĂ©s fondamentaux de la personne concernĂ©e ;
– l’exĂ©cution d’une mission d’intĂ©rĂȘt public ou relevant de l’exercice de l’autoritĂ© publique dont est investi le responsable du traitement.

Dans certains cas exceptionnels, les bases lĂ©gales suivantes peuvent Ă©galement ĂȘtre invoquĂ©es dans le contexte RH :

– le consentement libre, spĂ©cifique, Ă©clairĂ© et univoque de la personne concernĂ©e.

 

A noter : Les employĂ©s ne sont que trĂšs rarement en mesure de donner, de refuser ou de rĂ©voquer librement leur consentement, Ă©tant donnĂ© la dĂ©pendance qui dĂ©coule de la relation employeur/employĂ©. Ils ne peuvent donner leur libre consentement que dans le cas oĂč l’acceptation ou le rejet d’une proposition n’entraine aucune consĂ©quence sur leur situation.

 

Exemple : l’enregistrement d’un clip promotionnel dans un espace de travail faisant apparaitre des employĂ©s identifiables, peut ĂȘtre fondĂ© sur leur consentement dĂšs lors que les personnes concernĂ©es bĂ©nĂ©ficient d’un choix d’apparaitre ou non dans ces enregistrements, et Ă  condition que le choix rĂ©alisĂ© n’ait aucun impact Ă  leur Ă©gard (notamment Ă  l’Ă©gard des conditions de travail, de rĂ©munĂ©ration, d’avancement, etc.).

 

Pour une Ă©tude d’ensemble des diffĂ©rentes bases lĂ©gales, voir l’avis de l’ex-G29, devenu ComitĂ© EuropĂ©en de la Protection de DonnĂ©es (CEPD) n° 06/2014 sur la notion d’intĂ©rĂȘt lĂ©gitime poursuivi par le responsable du traitement des donnĂ©es au sens de l’article 7 de la directive 95/46/CE.

 

Le tableau reproduit ci-dessous vise Ă  apporter aux responsables de traitement des Ă©lĂ©ments concrets relatifs Ă  l’identification de bases lĂ©gales susceptibles d’ĂȘtre utilisĂ©es dans les cas les plus courants.
Bien entendu, ces Ă©lĂ©ments doivent ĂȘtre adoptĂ©s Ă  la situation spĂ©cifique de chaque organisme concernĂ©. Ainsi, par exemple, selon que l’organisme en question relĂšve du secteur privĂ© ou public, certains traitements rĂ©pondant pourtant Ă  la mĂȘme finalitĂ© peuvent ĂȘtre fondĂ©s sur des bases lĂ©gales diffĂ©rentes (intĂ©rĂȘt lĂ©gitime dans le secteur privĂ©, exĂ©cution d’une mission d’intĂ©rĂȘt public dans le secteur public).
Pour plus de conseils sur la mĂ©thode Ă  suivre, vous pouvez Ă©galement reporter Ă  l’article « La licĂ©itĂ© du traitement : l’essentiel sur les bases lĂ©gales prĂ©vues par le RGPD », publiĂ© sur le site de la CNIL.

 

Activités

de traitement

Finalités Bases légales envisageables
(sous réserve de choix différents

justifiés par un contexte spécifique)

Gestion administres connaissances et des formations. de gestion administrative.ssĂ©s.tions lĂ©gislatives et rĂ©glementaires, ainsi qu’ative du personnel Gestion du dossier professionnel des employĂ©s, tenu conformĂ©ment aux dispositions lĂ©gislatives et rĂ©glementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui rĂ©gissent les intĂ©ressĂ©s. – ExĂ©cution du contrat
RĂ©alisation d’Ă©tats statistiques ou de listes d’employĂ©s pour rĂ©pondre Ă  des besoins de gestion administrative. – IntĂ©rĂȘt lĂ©gitime
Gestion des annuaires internes et des organigrammes. – IntĂ©rĂȘt lĂ©gitime
Gestion des dotations individuelles en fournitures, Ă©quipements, vĂ©hicules et cartes de paiement. – IntĂ©rĂȘt lĂ©gitime
Gestion des Ă©lections professionnelles. – Obligation lĂ©gale
Organisation des rĂ©unions des instances reprĂ©sentatives du personnel. – Obligation lĂ©gale
Gestion des rĂ©munĂ©rations et accomplissement des formalitĂ©s administratives Etablissement des rĂ©munĂ©rations, mise Ă  disposition des bulletins de salaire – ExĂ©cution du contrat
DĂ©claration sociale nominative. – Obligation lĂ©gale
Mise Ă  disposition des personnels d’outils informatiques Suivi et maintenance du parc informatique. – IntĂ©rĂȘt lĂ©gitime
Gestion des annuaires informatiques permettant de dĂ©finir les autorisations d’accĂšs aux applications et aux rĂ©seaux. – IntĂ©rĂȘt lĂ©gitime
Mise en Ɠuvre de dispositifs destinĂ©s Ă  assurer la sĂ©curitĂ© et le bon fonctionnement des applications informatiques et des rĂ©seaux. – IntĂ©rĂȘt lĂ©gitime
Gestion de la messagerie Ă©lectronique professionnelle. – IntĂ©rĂȘt lĂ©gitime
RĂ©seaux privĂ©s virtuels internes Ă  l’organisme permettant la diffusion ou la collecte de donnĂ©es de gestion administrative des personnels (intranet). – IntĂ©rĂȘt lĂ©gitime
Organisation du travail Gestion des agendas et projets professionnels. – IntĂ©rĂȘt lĂ©gitime
Suivi des carriĂšres et de la mobilitĂ© Evaluation professionnelle des personnels, dans le respect des dispositions lĂ©gislatives, rĂ©glementaires ou conventionnelles qui la rĂ©gissent. – IntĂ©rĂȘt lĂ©gitime
Gestion des compĂ©tences professionnelles internes. – IntĂ©rĂȘt lĂ©gitime
Gestion prĂ©visionnelle de l’emploi et des compĂ©tences (GPEC) – IntĂ©rĂȘt lĂ©gitime
Gestion de la mobilitĂ© professionnelle. – ExĂ©cution du contrat
Formation Gestion des demandes de formation et des pĂ©riodes de formation effectuĂ©es. – ExĂ©cution du contrat
Organisation des sessions de formation et Ă©valuation des connaissances et des formations.
– IntĂ©rĂȘt lĂ©gitime
Gestion des aides sociales Gestion de l’action sociale et culturelle directement mise en Ɠuvre par l’employeur, Ă  l’exclusion des activitĂ©s de mĂ©decine du travail, de service social ou de soutien psychologique. – IntĂ©rĂȘt lĂ©gitime

 

5. Données personnelles concernées

Dans un souci de minimisation des donnĂ©es personnelles traitĂ©es, l’organisme doit veiller Ă  ne collecter et n’utiliser que les donnĂ©es pertinentes et strictement nĂ©cessaires au regard de ses propres besoins de gestion du personnel. Il peut s’agir de donnĂ©es relatives :
a) A l’identification de l’employĂ© ;
b) Au suivi de carriĂšre et de la formation de l’employĂ© ;
c) A l’Ă©tablissement de la fiche de paie et aux obligations lĂ©gales connexes (notamment, dans le cadre du prĂ©lĂšvement Ă  la source, le taux d’imposition) ;
d) A la validation des acquis de l’expĂ©rience ;
e) A la gestion des dĂ©clarations d’accident du travail et de maladie professionnelle, Ă  la gestion des arrĂȘts de travail et autres cas d’absences autorisĂ©es et au suivi des visites mĂ©dicales de l’employĂ© ;
f) Aux sujĂ©tions ou situations particuliĂšres ouvrant droit Ă  congĂ©s spĂ©ciaux ou Ă  un crĂ©dit d’heures de dĂ©lĂ©gation ;
g) Aux outils et matĂ©riels professionnels mis Ă  la disposition de l’employĂ© dans le cadre de ses missions (i.e. cartes de paiement, dotation en matĂ©riel informatique, etc.) ;
h) A la gestion des activitĂ©s sociales et culturelles mises en Ɠuvre par l’employeur ;
i) Aux élections professionnelles et réunions des instances représentatives du personnel ;
j) A la lutte contre la discrimination, Ă  l’obligation d’emploi rĂ©sultant des articles L. 5212-2 et suivants du code du travail, etc.
De maniĂšre gĂ©nĂ©rale, l’employeur ne doit collecter que les donnĂ©es dont il a rĂ©ellement besoin, et ne doit le faire qu’Ă  partir du moment oĂč ce besoin se concrĂ©tise.

 

Exemple 1 : lors de la conclusion d’un contrat de travail, l’employeur a l’obligation d’accomplir certaines formalitĂ©s dĂ©claratives qui requiĂšrent le traitement du numĂ©ro de sĂ©curitĂ© sociale (NIR) des salariĂ©s. Si cette utilisation est alors justifiĂ©e, elle ne saurait ĂȘtre demandĂ©e Ă  un candidat avant la validation dĂ©finitive de sa candidature.
Exemple 2 : les informations pouvant ĂȘtre demandĂ©es Ă  un candidat Ă  l’embauche, doivent prĂ©senter un lien direct avec l’apprĂ©ciation de ses qualitĂ©s et compĂ©tences professionnelles, et ne doivent donc pas porter sur la composition de sa famille, sur des informations relatives Ă  ses proches, etc. En revanche, lorsqu’un salariĂ© en poste demande Ă  bĂ©nĂ©ficier d’un congĂ© spĂ©cifique pour le dĂ©cĂšs ou l’accompagnement de grave maladie d’un proche, l’employeur peut exiger la production de documents Ă©tablissant la rĂ©alitĂ© des situations invoquĂ©es.

 

Attention : les donnĂ©es, dont le traitement est justifiĂ© pour une finalitĂ© dĂ©terminĂ©e, ne peuvent ĂȘtre rĂ©utilisĂ©es Ă  d’autres fins que si cette utilisation est elle-mĂȘme lĂ©galement justifiĂ©e.
Par ailleurs, certaines catĂ©gories de donnĂ©es appellent une vigilance renforcĂ©e en raison de leur caractĂšre particuliĂšrement sensible. BĂ©nĂ©ficiant d’une protection particuliĂšre, elles ne peuvent ĂȘtre collectĂ©es et traitĂ©es que dans des conditions strictement dĂ©finies par les textes.
Il s’agit notamment :

– du numĂ©ro de sĂ©curitĂ© sociale ;
– des donnĂ©es relatives aux infractions, condamnations pĂ©nales et mesures de sĂ»retĂ© connexes.

Exemple : Ă  la suite d’un accident du travail concernant l’un de ses salariĂ©s, l’employeur remplit une dĂ©claration d’accident du travail dans laquelle il doit indiquer la nature et le siĂšge des lĂ©sions de la victime. Or, ces donnĂ©es sont relatives Ă  l’Ă©tat de santĂ© de l’employĂ© et constituent de ce fait des donnĂ©es sensibles. Leur traitement est donc en principe interdit en vertu de l’article 9.1 du RGPD.
Toutefois, l’employeur bĂ©nĂ©ficie d’une exception pour les traiter sur le fondement de l’article 9-2-b du RGPD (« le traitement est nĂ©cessaire aux fins de l’exĂ©cution des obligations et de l’exercice des droits propres au responsable du traitement ou Ă  la personne concernĂ©e en matiĂšre de droit du travail, de la sĂ©curitĂ© sociale et de la protection sociale [
]).

 

Dans certains cas trÚs limités :

– des donnĂ©es sensibles (article 9 du RGPD, articles 6 et 44 de la LIL), c’est-Ă -dire celles qui rĂ©vĂšlent l’origine ethnique ou prĂ©tendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les donnĂ©es gĂ©nĂ©tiques, les donnĂ©es biomĂ©triques, les donnĂ©es concernant la santĂ© ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

Un tableau reproduit ci-dessous recense des donnĂ©es pouvant ĂȘtre collectĂ©es et traitĂ©es selon les finalitĂ©s du traitement.

 

Catégories de données Exemples de données
Identification de l’employĂ© DonnĂ©es relatives Ă  l’identitĂ© : nom, prĂ©nom, photographie (facultatif), sexe, date et lieu de naissance, nationalitĂ©, coordonnĂ©es professionnelles, coordonnĂ©es personnelles (facultatif), rĂ©fĂ©rences du passeport (uniquement pour les personnels amenĂ©s Ă  se dĂ©placer Ă  l’Ă©tranger), situation familiale, situation matrimoniale, enfants Ă  charge, type de permis de conduire dĂ©tenu par l’employĂ©.
DonnĂ©es relatives Ă  la situation professionnelle : lieu de travail, numĂ©ro d’identification interne, date d’entrĂ©e dans l’entreprise, anciennetĂ©, emploi occupĂ© et coefficient hiĂ©rarchique, section comptable, nature du contrat de travail, taux d’invaliditĂ©, reconnaissance de la qualitĂ© de travailleur handicapĂ© (RQTH), autres catĂ©gories de bĂ©nĂ©ficiaires de la loi n° 87-517 du 10 juillet 1987 (invalide pensionnĂ©, mutilĂ© de guerre, assimilĂ© mutilĂ© de guerre).
DonnĂ©es relatives au titre valant autorisation de travail : type, numĂ©ro d’ordre et copie du titre pour les employĂ©s Ă©trangers en application de l’article R. 620-3 du code du travail.
CoordonnĂ©es des personnes Ă  prĂ©venir en cas d’urgence.
Distinctions honorifiques.
Suivi de la carriĂšre et de la formation de l’employĂ© Gestion de la carriĂšre de l’employĂ© : date et conditions de recrutement, date, objet et motif des modifications apportĂ©es Ă  la situation professionnelle de l’employĂ©, simulation de carriĂšre, desiderata de l’employĂ© en termes d’emploi, sanctions disciplinaires Ă  l’exclusion de celles consĂ©cutives Ă  des faits amnistiĂ©s.
Evaluation professionnelle de l’employĂ© : dates des entretiens d’Ă©valuation, identitĂ© de l’Ă©valuateur, compĂ©tences professionnelles de l’employĂ©, objectifs assignĂ©s, rĂ©sultats obtenus, apprĂ©ciation des aptitudes professionnelles sur la base de critĂšres objectifs et prĂ©sentant un lien direct et nĂ©cessaire avec l’emploi occupĂ©, observations et souhaits formulĂ©s par l’employĂ©, prĂ©visions d’Ă©volution de carriĂšre.
Formation : diplÎmes, certificats et attestations, langues étrangÚres pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations.
Suivi administratif des visites mĂ©dicales des employĂ©s : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation Ă  un autre poste de travail formulĂ©es par le mĂ©decin du travail).
Etablissement des fiches de paie et obligations lĂ©gales connexes NumĂ©ro de sĂ©curitĂ© sociale dans les conditions fixĂ©es par le dĂ©cret n° 2019-341 du 19 avril 2019 ou par l’article L. 444-5 du code du travail, numĂ©ros attribuĂ©s par les organismes d’assurances sociales, de retraite et de prĂ©voyance, situation familiale, situation matrimoniale, enfants Ă  charge, rĂ©gime et base de calcul de la rĂ©munĂ©ration, Ă©lĂ©ments dĂ©terminant l’attribution d’un complĂ©ment de rĂ©munĂ©ration, congĂ©s et absences donnant lieu Ă  retenues dĂ©ductibles ou indemnisables, ainsi que toute retenue lĂ©galement opĂ©rĂ©e par l’employeur, frais professionnels, taux de prĂ©lĂšvement Ă  la source, donnĂ©es transmises via la DĂ©claration sociale nominative.
Validation des acquis de l’expĂ©rience Date de la demande de validation, diplĂŽme, titre ou certificat de qualification concernĂ©, expĂ©riences professionnelles soumises Ă  validation, validation (oui/non), date de la dĂ©cision.
Gestion des dĂ©clarations d’accident du travail et de maladie, autres absences CoordonnĂ©es du mĂ©decin du travail, date de l’accident ou de la premiĂšre constatation mĂ©dicale de la maladie, date du dernier jour de travail, date de reprise, motif de l’arrĂȘt (accident du travail ou maladie professionnelle), travail non repris Ă  ce jour et autres Ă©lĂ©ments nĂ©cessaires auxdites dĂ©clarations.
SujĂ©tions particuliĂšres ouvrant droit Ă  congĂ©s spĂ©ciaux ou Ă  un crĂ©dit d’heures de dĂ©lĂ©gation DonnĂ©es relatives Ă  l’exercice d’un mandat Ă©lectif ou reprĂ©sentatif syndical, la participation Ă  la rĂ©serve opĂ©rationnelle ou aux missions de sapeur-pompier volontaire.
Outils et matĂ©riel mis Ă  la disposition de l’employĂ© dans le cadre de ses missions professionnelles Annuaires internes et organigrammes : nom, prĂ©nom, photographie (facultatif), fonction, coordonnĂ©es professionnelles, le cas Ă©chĂ©ant, formation et rĂ©alisations professionnelles.
Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes.
Tùches des personnels : identification des personnels concernés, répartition des tùches.
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires.
Annuaires informatiques permettant de dĂ©finir les autorisations d’accĂšs aux applications et aux rĂ©seaux.
DonnĂ©es de connexion enregistrĂ©es pour assurer la sĂ©curitĂ© et le bon fonctionnement des applications et des rĂ©seaux informatiques, Ă  l’exclusion de tout traitement permettant le contrĂŽle individuel de l’activitĂ© des employĂ©s.
Messagerie Ă©lectronique : carnet d’adresses, comptes individuels, Ă  l’exclusion de toute donnĂ©e relative au contrĂŽle individuel des communications Ă©lectroniques Ă©mises ou reçues par les employĂ©s.
RĂ©seaux privĂ©s virtuels de diffusion ou de collecte de donnĂ©es de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d’information.
ActivitĂ©s sociales et mises en Ɠuvre par l’employeur IdentitĂ© de l’employĂ© et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandĂ©s et servis.
Relations avec les instances représentatives de personnel Convocations, documents préparatoires, comptes rendus, procÚs-verbaux divers.

 

AprĂšs s’ĂȘtre assurĂ© de la nĂ©cessitĂ© et de la pertinence des donnĂ©es personnelles qu’il traite, l’organisme doit par ailleurs s’assurer, tout au long de la durĂ©e de vie du traitement, de la qualitĂ© de ces donnĂ©es qui doivent ĂȘtre exactes et mises Ă  jour.

6. Destinataires des données

Les donnĂ©es personnelles doivent uniquement ĂȘtre rendues accessibles aux personnes habilitĂ©es Ă  en connaitre au regard de leurs attributions.
Les habilitations d’accĂšs doivent ĂȘtre documentĂ©es par les organismes, et les accĂšs aux diffĂ©rents traitements doivent faire l’objet de mesures de traçabilitĂ© (cf. point relatif Ă  la sĂ©curitĂ©).
Le responsable de traitement qui souhaite avoir recours Ă  un sous-traitant doit veiller Ă  ne faire appel qu’Ă  des organismes prĂ©sentant des garanties suffisantes. Un contrat dĂ©finissant les caractĂ©ristiques du traitement ainsi que les diffĂ©rentes obligations des parties en matiĂšre de protection des donnĂ©es doit ĂȘtre Ă©tabli entre elles (article 28 du RGPD). Un guide du sous-traitant, Ă©ditĂ© par la CNIL, prĂ©cise ces obligations et les clauses Ă  intĂ©grer dans les contrats.

6.1. Les personnes accĂ©dant aux donnĂ©es pour le compte de l’employeur

Seules les personnes habilitĂ©es au titre de leurs missions ou de leurs fonctions, doivent pouvoir accĂ©der aux donnĂ©es Ă  caractĂšre personnel traitĂ©es, et ce, dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions. Il peut s’agir, par exemple :

– des personnes habilitĂ©es chargĂ©es de la gestion du personnel ou de la gestion de la paie ;
– des personnes habilitĂ©es chargĂ©es d’assurer la sĂ©curitĂ© des personnes et des biens, pour les besoins du contrĂŽle d’accĂšs aux locaux et aux outils de travail ;
– des supĂ©rieurs hiĂ©rarchiques des employĂ©s concernĂ©s, Ă  l’exclusion des donnĂ©es relatives Ă  l’action sociale directement mise en Ɠuvre par l’employeur.

6.2. Les destinataires des données

Le RGPD définit les destinataires comme « tout organisme qui reçoit la communication des données ».
Dans le cadre de ce rĂ©fĂ©rentiel, peuvent notamment ĂȘtre destinataires des donnĂ©es :

– les instances reprĂ©sentatives du personnel, pour les donnĂ©es strictement nĂ©cessaires Ă  leurs missions dans les conditions fixĂ©es par les textes applicables ;
– les organismes gĂ©rant les diffĂ©rents systĂšmes d’assurances sociales, d’assurances chĂŽmage, de retraite et de prĂ©voyance, les caisses de congĂ©s payĂ©s, les organismes publics et administrations lĂ©galement habilitĂ©s Ă  les recevoir ;
– les entitĂ©s chargĂ©es de l’audit et du contrĂŽle financier de l’organisme employeur ;
– les diffĂ©rents prestataires auxquels l’organisme employeur est susceptible de sous-traiter la gestion de certaines activitĂ©s (restauration collective, vote Ă©lectronique, archivage des documents, tenue des comptes d’Ă©pargne, etc.) ;
– les entitĂ©s en charge de l’action culturelle et sociale telles que les comitĂ©s sociaux et Ă©conomiques (CSE), Ă  condition que le bĂ©nĂ©ficiaire en ait fait la demande.

Pour assurer la continuitĂ© de la protection des donnĂ©es Ă  caractĂšre personnel, leur transfert en dehors de l’Union europĂ©enne est soumis Ă  des rĂšgles particuliĂšres. Ainsi, conformĂ©ment aux dispositions des articles 44 et suivants du RGPD, toute transmission de donnĂ©es hors de l’UE doit :

– ĂȘtre fondĂ©e sur une dĂ©cision d’adĂ©quation ;
– ou ĂȘtre encadrĂ©e par des rĂšgles internes d’entreprise (« BCR »), des clauses types de protection des donnĂ©es, un code de conduite ou un mĂ©canisme de certification approuvĂ© par la CNIL ;
– ou ĂȘtre encadrĂ©e par des clauses contractuelles ad hoc prĂ©alablement autorisĂ©es par la CNIL ;
– ou rĂ©pondre Ă  une des dĂ©rogations prĂ©vues Ă  l’article 49 du RGPD.

Pour en savoir plus, consulter la rubrique « TransfĂ©rer des donnĂ©es hors de l’UE » sur le site de la CNIL.

7. Durées de conservation

ConformĂ©ment Ă  l’article 5-1-e du RGPD, les donnĂ©es Ă  caractĂšre personnel ne doivent ĂȘtre conservĂ©es sous une forme permettant l’identification des personnes que le temps strictement nĂ©cessaire Ă  la rĂ©alisation des finalitĂ©s poursuivies. C’est donc au regard de la finalitĂ© que la durĂ©e de conservation sera dĂ©terminĂ©e.
La durĂ©e de conservation de donnĂ©es ou, lorsqu’il est impossible de la fixer, les critĂšres utilisĂ©s pour dĂ©terminer cette durĂ©e, font partie des informations qui doivent ĂȘtre communiquĂ©es aux personnes concernĂ©es.
Dans ces conditions, il incombe au responsable du traitement de déterminer cette durée en amont de la réalisation du traitement.
Par exemple, de nombreuses donnĂ©es nĂ©cessaires Ă  la gestion de la relation contractuelle (contrat de travail) doivent ĂȘtre conservĂ©es pendant la durĂ©e de la relation de travail, sauf disposition lĂ©gale ou rĂ©glementaire contraire.
Cela ne fait toutefois pas obstacle Ă  leur conservation sous forme d’archives intermĂ©diaires distinctes de la base active, avec accĂšs restreint, dans la mesure oĂč il existerait des dispositions lĂ©gislatives ou rĂ©glementaires spĂ©cifiques (par exemple, pour rĂ©pondre Ă  des obligations comptables, sociales ou fiscales, ou encore si ces donnĂ©es prĂ©senteraient un intĂ©rĂȘt en cas de contentieux, justifiant de les conserver le temps des rĂšgles de prescription/forclusion applicables.
Pour en savoir plus, vous pouvez vous référer aux guides de la CNIL :

– « SĂ©curitĂ© : Archiver de maniĂšre sĂ©curisĂ©e » ;
– « Limiter la conservation des donnĂ©es ».

Les donnĂ©es utilisĂ©es Ă  des fins statistiques ne sont plus qualifiĂ©es de donnĂ©es Ă  caractĂšre personnel dĂšs lors qu’elles auront ont Ă©tĂ© dĂ»ment anonymisĂ©es (Voir les lignes directrices du CEPD sur l’anonymisation).

 

Le tableau suivant contient des illustrations pratiques des durĂ©es de conservation pouvant, selon le contexte, ĂȘtre retenues par les organismes concernĂ©s :

Activités

de traitement

DĂ©tails

du traitement

Base active Archivage

intermédiaire

Textes

de référence

Gestion de la paie Bulletin de salaire 1 mois 5 ans L. 3243-4 du code du travail
50 ans en version dématérialisée D. 3243-8 du code du travail
ElĂ©ments nĂ©cessaires au calcul de l’assiette 1 mois 6 ans L. 243-16 du code sĂ©curitĂ© sociale
Saisie des donnĂ©es calculĂ©es (DSN) Le temps nĂ©cessaire Ă  l’accomplissement de la dĂ©claration 6 ans L. 243-16 du code sĂ©curitĂ© sociale
Ordre de virement pour paiement Le temps nĂ©cessaire Ă  l’Ă©mission du bulletin de paie 10 ans Ă  compter de la clĂŽture de l’exercice comptable L. 123-22 du code du commerce
Registre unique du personnel La durĂ©e pendant laquelle le salariĂ© fait partie des effectifs 5 ans Ă  compter du dĂ©part du salariĂ© de l’organisme R. 1221-26 du code du travail
Gestion des mandats des reprĂ©sentants du personnel Nature du mandat et syndicat d’appartenance 6 mois aprĂšs la fin du mandat 6 ans (prescription pĂ©nale pour dĂ©lit) L. 2411-5 du code du travail
Gestion des mandats des reprĂ©sentants du personnel Les donnĂ©es relatives aux sujĂ©tions particuliĂšres ouvrant droit Ă  congĂ©s spĂ©ciaux ou Ă  crĂ©dit d’heures de dĂ©lĂ©gation (ex : exercice d’un mandat Ă©lectif ou reprĂ©sentatif syndical) Le temps de la pĂ©riode de sujĂ©tion de l’employĂ© concernĂ© 6 ans (prescription pĂ©nale pour dĂ©lit) L. 2142-1-3 du code du travail

 

8. Information des personnes

Il incombe au responsable de traitement de s’assurer du respect des principes de transparence et de loyautĂ© Ă  l’Ă©gard des personnes dont les donnĂ©es peuvent ĂȘtre traitĂ©es dans les conditions prĂ©vues par les articles 12, 13 et 14 du RGPD.
Ainsi, dĂšs le stade de la collecte des donnĂ©es personnelles, les personnes concernĂ©es doivent ĂȘtre informĂ©es de l’existence du traitement, de ses caractĂ©ristiques et des droits dont elles disposent en vertu de la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel.
Des modĂšles d’information sont disponibles sur le site de la CNIL et peuvent ĂȘtre consultĂ©s dans la rubrique « RGPD : exemples de mentions d’information ».
Si le RGPD n’impose aucune forme spĂ©cifique, une information Ă©crite doit ĂȘtre privilĂ©giĂ©e de maniĂšre Ă  pouvoir justifier de son contenu, ainsi que du moment oĂč elle a Ă©tĂ© dĂ©livrĂ©e.
Par ailleurs dans le cadre d’une relation de travail, le responsable de traitement doit aussi veiller Ă  respecter ses autres obligations de transparence issues de la lĂ©gislation sociale Ă  laquelle il est soumis.
Le code du travail impose ainsi aux employeurs d’informer individuellement leurs salariĂ©s dans certaines situations.
De la mĂȘme maniĂšre, il appartient aux responsables de traitement de s’assurer, au regard de la rĂ©glementation qui leur est applicable, du respect de l’Ă©ventuelle obligation d’informer et/ou de consulter les instances reprĂ©sentatives du personnel compĂ©tentes.

9. Droits des personnes

Les personnes concernĂ©es disposent des droits suivants, qu’ils exercent dans les conditions prĂ©vues par le RGPD (voir la rubrique qui s’intitule « Comprendre mes droits » sur le site de la CNIL) :

– le droit de s’opposer au traitement de leurs donnĂ©es, sous rĂ©serve qu’il soit prĂ©vu en application des dispositions de l’article 21 du RGPD.

En ce qui concerne les traitements de gestion du personnel :

– le droit d’opposition n’existe pas lorsque le traitement rĂ©pond Ă  une obligation lĂ©gale, s’il est nĂ©cessaire Ă  l’exĂ©cution d’un contrat ou est, exceptionnellement, fondĂ© sur le consentement du salariĂ© (dans la mesure oĂč, dans ce dernier cas la personne concernĂ©e pourra retirer le consentement au traitement de ses donnĂ©es) ;
– en revanche, le droit d’opposition pourra ĂȘtre exercĂ©, Ă  charge pour la personne d’invoquer des raisons tenant Ă  sa situation particuliĂšre, lorsque le traitement est mis en Ɠuvre sur la base de l’intĂ©rĂȘt lĂ©gitime du responsable de traitement, ou pour l’exĂ©cution d’une mission d’intĂ©rĂȘt public ou d’une mission relevant de l’exercice de l’autoritĂ© publique ;
– le droit d’accĂšs, de rectification et, dans des conditions particuliĂšres, d’effacement des donnĂ©es qui les concernent ;
– le droit Ă  la limitation du traitement (par exemple, lorsque la personne conteste l’exactitude de ses donnĂ©es, celle-ci peut demander Ă  l’organisme le gel temporaire du traitement de ses donnĂ©es, le temps que celui-ci procĂšde aux vĂ©rifications nĂ©cessaires) ;
– le droit Ă  la portabilitĂ© : l’organisme doit permettre Ă  toute personne de recevoir, dans un format structurĂ© et couramment utilisĂ©, l’ensemble des donnĂ©es traitĂ©es par des moyens automatisĂ©s. La personne concernĂ©e peut demander Ă  ce que ses donnĂ©es soient directement transmises par l’organisme initial Ă  un autre organisme.

Ne sont concernĂ©es que les donnĂ©es fournies par la personne sur la base de son consentement ou d’un contrat. Il est donc recommandĂ© de prĂ©ciser aux personnes les traitements concernĂ©s par ce droit Ă  la portabilitĂ©.

10. Sécurité

L’organisme doit prendre toutes les prĂ©cautions utiles au regard des risques prĂ©sentĂ©s par son traitement pour prĂ©server la sĂ©curitĂ© des donnĂ©es Ă  caractĂšre personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empĂȘcher qu’elles soient dĂ©formĂ©es, endommagĂ©es ou que des tiers non autorisĂ©s y aient accĂšs.
En particulier, dans le contexte spĂ©cifique du prĂ©sent rĂ©fĂ©rentiel, soit l’organisme adopte les mesures suivantes, soit il justifie de leur Ă©quivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir :

 

Catégories Mesures
Sensibiliser les utilisateurs Informer et sensibiliser les personnes manipulant les données
RĂ©diger une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs DĂ©finir un identifiant (login) unique Ă  chaque utilisateur
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL
Obliger l’utilisateur Ă  changer son mot de passe aprĂšs rĂ©initialisation
Limiter le nombre de tentatives d’accĂšs Ă  un compte
GĂ©rer les habilitations DĂ©finir des profils d’habilitation
Supprimer les permissions d’accĂšs obsolĂštes
RĂ©aliser une revue annuelle des habilitations
Tracer les accÚs et gérer les incidents Prévoir un systÚme de journalisation
Informer les utilisateurs de la mise en place du systĂšme de journalisation
Protéger les équipements de journalisation et les informations journalisées
Prévoir les procédures pour les notifications de violation de données à caractÚre personnel
Sécuriser les postes de travail Prévoir une procédure de verrouillage automatique de session
Utiliser des antivirus réguliÚrement mis à jour
Installer un « pare-feu » (firewall) logiciel
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
SĂ©curiser l’informatique mobile PrĂ©voir des moyens de chiffrement des Ă©quipements mobiles
Faire des sauvegardes ou des synchronisations réguliÚres des données
Exiger un secret pour le déverrouillage des smartphones
Protéger le réseau informatique interne Limiter les flux réseau au strict nécessaire
SĂ©curiser les accĂšs distants des appareils informatiques nomades par VPN
Mettre en Ɠuvre le protocole WPA2 ou WPA2-PSK pour les rĂ©seaux Wi-Fi
SĂ©curiser les serveurs Limiter l’accĂšs aux outils et interfaces d’administration aux seules personnes habilitĂ©es
Installer sans délai les mises à jour critiques
Assurer une disponibilité des données
SĂ©curiser les sites web Utiliser le protocole TLS et vĂ©rifier sa mise en Ɠuvre
VĂ©rifier qu’aucun mot de passe ou identifiant ne passe dans les url
ContrÎler que les entrées des utilisateurs correspondent à ce qui est attendu
Mettre un bandeau de consentement pour les cookies non nécessaires au service
Sauvegarder et prĂ©voir la continuitĂ© d’activitĂ© Effectuer des sauvegardes rĂ©guliĂšres
Stocker les supports de sauvegarde dans un endroit sûr
Prévoir des moyens de sécurité pour le convoyage des sauvegardes
PrĂ©voir et tester rĂ©guliĂšrement la continuitĂ© d’activitĂ©
Archiver de maniĂšre sĂ©curisĂ©e Mettre en Ɠuvre des modalitĂ©s d’accĂšs spĂ©cifiques aux donnĂ©es archivĂ©es
Détruire les archives obsolÚtes de maniÚre sécurisée
Encadrer la maintenance et la destruction des données Enregistrer les interventions de maintenance dans une main courante
Encadrer par un responsable de l’organisme les interventions par des tiers
Effacer les données de tout matériel avant sa mise au rebut
GĂ©rer la sous-traitance Les relations avec les prestataires qui traitent des donnĂ©es au nom et pour le compte du responsable de traitement (l’organisme employeur) doivent faire l’objet d’un accord Ă©crit.
Cet accord doit contenir une ou des clauses spécifiques relatives aux obligations respectives des parties résultant du traitement des données à caractÚre personnel.
L’accord doit notamment prĂ©voir les conditions de restitution et de destruction des donnĂ©es. Il incombe au responsable de traitement de s’assurer de l’effectivitĂ© des garanties prĂ©vues (audits de sĂ©curitĂ©, visites, etc.).
Pour plus de précisions, vous pouvez vous reporter au guide de la sous-traitance et aux exemples des clauses de sous-traitance.
SĂ©curiser les Ă©changes avec d’autres organismes Chiffrer les donnĂ©es avant leur envoi
S’assurer qu’il s’agit du bon destinataire
Transmettre le secret lors d’un envoi distinct et via un canal diffĂ©rent
Protéger les locaux Restreindre les accÚs aux locaux au moyen de portes verrouillées
Installer des alarmes anti-intrusion et les vérifier périodiquement
Encadrer les développements informatiques Proposer des paramÚtres respectueux de la vie privée aux utilisateurs finaux
Encadrer de maniĂšre stricte les zones de commentaires libres
Tester sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques Utiliser des algorithmes, des logiciels et des bibliothĂšques reconnus
Conserver les secrets et les clés cryptographiques de maniÚre sécurisée

 

Pour ce faire, le responsable de traitement pourra utilement se référer au Guide de la sécurité des données personnelles.

11. Analyse d’impact relative Ă  la protection des donnĂ©es (AIPD)

En application des dispositions de l’article 35 du RGPD, le responsable de traitement pourrait avoir Ă  rĂ©aliser une analyse d’impact dĂšs lors que le traitement qu’il met en Ɠuvre est susceptible de prĂ©senter un risque Ă©levĂ© pour les droits et les libertĂ©s des personnes concernĂ©es.
Il conviendra tout d’abord de se rĂ©fĂ©rer :

– Ă  la liste des traitements pour lesquels une analyse d’impact n’est pas requise ;

Types d’opĂ©rations de traitement Exemples
Traitements, mis en Ɠuvre uniquement Ă  des fins de ressources humaines et dans les conditions prĂ©vues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, Ă  l’exception du recours au profilage. Les traitements permettant :
– la gestion de la paye, l’Ă©mission des bulletins de salaire ;
– la gestion des formations ;
– la gestion du restaurant d’entreprise, la dĂ©livrance des chĂšques-repas ;
– le remboursement des frais professionnels ;
– le suivi des entretiens annuels d’Ă©valuation ;
la tenue des registres obligatoires ;
– l’utilisation des outils de communication (messagerie Ă©lectronique, tĂ©lĂ©phonie, vidĂ©oconfĂ©rences, outils collaboratifs en ligne) sans recours au profilage ni Ă  la biomĂ©trie ;
– le contrĂŽle du temps de travail (sans dispositif biomĂ©trique, sans donnĂ©es sensibles ou Ă  caractĂšre hautement personnel) ;
Traitements mis en Ɠuvre aux seules fins de gestion des contrĂŽles d’accĂšs physiques, en dehors de tout dispositif biomĂ©trique.
A l’exclusion des traitements des donnĂ©es qui rĂ©vĂšlent des donnĂ©es sensibles ou Ă  caractĂšre hautement personnel.
Les traitements ayant pour finalité :
– la mise en place d’un dispositif par badge sans biomĂ©trie pour entrer dans les locaux d’un organisme Ă  des fins de sĂ©curitĂ© ;
– la mise en place d’un dispositif de contrĂŽle du temps de travail effectuĂ© par les salariĂ©s, Ă  l’exclusion de toute autre finalitĂ© ;

 

– puis, Ă  la liste des types d’opĂ©rations de traitement pour lesquelles une analyse d’impact relative Ă  la protection des donnĂ©es est requise.

Types d’opĂ©rations de traitement Exemples
Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines Les traitements ayant pour finalité :
– traitements visant Ă  proposer des actions de formations personnalisĂ©es grĂące Ă  un algorithme ;
– traitement visant dĂ©tecter et Ă  prĂ©venir les dĂ©parts de salariĂ©s sur la base de corrĂ©lations Ă©tablies entre divers facteurs ;
Traitements ayant pour finalitĂ© de surveiller de maniĂšre constante l’activitĂ© des employĂ©s concernĂ©s Les traitements ayant pour finalitĂ© :
– l’analyse des flux de courriels sortants afin de dĂ©tecter d’Ă©ventuelles fuites d’information (dispositifs dits de « Data Loss Prevention ») ;
– la vidĂ©osurveillance portant sur les employĂ©s manipulant de l’argent ;
– la vidĂ©osurveillance d’un entrepĂŽt stockant des biens de valeur au sein duquel travaillent des manutentionnaires ;
– la fonction de chronotachygraphe des vĂ©hicules de transport routier.

 

– si le traitement mis en Ɠuvre n’est pas prĂ©sent sur l’une de ces listes, il faut alors s’interroger sur la nĂ©cessitĂ© d’effectuer une AIPD.

Pour ce faire, il convient de s’appuyer sur les critĂšres Ă©tablis par le ComitĂ© europĂ©en de la protection des donnĂ©es (CEPD) dans les lignes directrices concernant l’analyse d’impact relative Ă  la protection des donnĂ©es (AIPD).
ConformĂ©ment Ă  ce texte, la rĂ©alisation d’une AIPD est obligatoire dĂšs lors qu’au moins deux des neuf critĂšres sont remplis :

– Ă©valuation ou notation d’une personne ;
– prise de dĂ©cision automatisĂ©e ;
– surveillance systĂ©matique ;
– traitement de donnĂ©es sensibles ou Ă  caractĂšre hautement personnel ;
– traitement Ă  grande Ă©chelle ;
– croisement ou combinaison d’ensembles de donnĂ©es ;
– donnĂ©es concernant des personnes vulnĂ©rables ;
– utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
– traitements qui empĂȘchent les personnes d’exercer un droit ou de bĂ©nĂ©ficier d’un service ou d’un contrat.

A noter : les lignes directrices du CEPD prĂ©cisent que les employĂ©s peuvent ĂȘtre considĂ©rĂ©s comme des personnes concernĂ©es vulnĂ©rables en raison du dĂ©sĂ©quilibre des pouvoirs accru qui existe entre elles et le responsable du traitement (l’employeur).

Pour rĂ©aliser une Ă©tude d’impact, le responsable de traitement pourra se reporter :
– aux principes contenus dans ce rĂ©fĂ©rentiel ;
– aux outils mĂ©thodologiques proposĂ©s par la CNIL sur son site web.
Si l’organisme en a dĂ©signĂ©, le DPO devra ĂȘtre consultĂ©.

 

ConformĂ©ment Ă  l’article 36 du RGPD, le responsable de traitement doit consulter la CNIL prĂ©alablement Ă  la mise en Ɠuvre du traitement si l’analyse d’impact indique qu’il ne parvient pas Ă  identifier des mesures suffisantes pour rĂ©duire les risques Ă  un niveau accept.

Date et signature(s)

La présidente,
M.-L. Denis