La Cnil a adopté le référentiel relatif aux traitements RH qui encadre les traitements courants de « gestion du personnel » de tous les organismes privés comme publics (1).
Référentiel des traitements RH : outil d’aide à la mise en conformité
Bien que ce référentiel relatif aux traitements RH ne soit pas contraignant, il constitue un cadre de référence pour aider les employeurs dans leur démarche de mise en conformité de leurs traitements RH tels que le recrutement, la gestion administrative du personnel, la rémunération, la mise à disposition des salariés d’outils de travail, etc.
La portée de ce référentiel relatif aux traitements RH est donc plus large que la norme simplifiée 46 de la Cnil (2) dans la mesure où il couvre la phase de recrutement et la gestion de la paie.
Ce référentiel apporte des précisions sur l’identification des bases juridiques susceptibles de fonder des traitements en matière RH, la détermination des durées de conservation des données ainsi que sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données est obligatoire ou non.
Apports sur les bases juridiques
Les bases juridiques identifiées par la Cnil comme susceptibles de fonder des traitements en matière RH sont les suivantes :
- le respect d’une obligation légale incombant à l’organisme pour les traitements relatifs à la gestion des élections professionnelles, l’organisation des réunions des instances représentatives du personnel, à la déclaration sociale nominative ;
- l’exécution d’un contrat auquel la personne concernée est partie pour les traitements relatifs à la gestion du dossier professionnel des employés, à l’établissement des rémunérations et mise à disposition des bulletins de salaire, la gestion de la mobilité professionnelle, gestion des demandes de formation et des périodes de formation effectuées ;
- l’exécution de mesures pré-contractuelles prises à la demande de la personne concernée pour le traitement des candidatures et la gestion des entretiens ;
- la réalisation de l’intérêt légitime poursuivi par l’organisme ou par le destinataire des données,
Sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée pour :
- les traitements relatifs à la constitution d’une CV-thèque,
- la réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative,
- la gestion des annuaires internes et des organigrammes,
- la gestion des dotations individuelles en fournitures, équipement, véhicules et cartes de paiement,
- la mise à disposition d’outils informatiques,
- l’organisation du travail,
- le suivi des carrières,
- l’organisation de sessions de formation et
- évaluation des connaissances et des formations, la gestion des aides sociales.
Apports sur la durée de conservation des données
La Cnil propose des durées de conservation des données pour les traitements relatifs à/au :
- la gestion de la paie
- le bulletin de salaire est conservé en base active 1 mois puis en archivage intermédiaire 5 ans dans les conditions de l’article L.3243-4 du Code du travail ou 50 ans en version dématérialisée dans les conditions de l’article D.3243-8 du Code du travail ;
- les éléments nécessaires au calcul de l’assiette sont conservés 1 mois puis 6 ans en archivage intermédiaire ;
- la saisie des données calculées est conservée le temps nécessaire à l’émission du bulletin de paie puis en archivage intermédiaire 6 ans ;
- l’ordre de virement pour paiement est conservée le temps nécessaire à l’émission du bulletin de paie puis en archivage intermédiaire 10 ans à compter de la clôture de l’exercice comptable ;
- registre unique du personnel pour lequel les données sont conservées pendant toute la durée de présence du salarié dans l’entreprise puis en archivage intermédiaire pendant 5 ans à compter du départ de celui-ci ;
- la gestion des mandats des représentants du personnel :
- les données relatives à la nature du mandat et au syndicat d’appartenance sont conservées 6 mois après la fin du mandat puis en archivage intermédiaire pendant 6 ans ;
- les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation sont conservées le temps de la période de sujétion de l’employé concerné puis en archivage intermédiaire pendant 6 ans.
Apports concernant la conduite d’analyses d’impact
La Cnil indique que l’élaboration d’une analyse d’impact n’est pas requise pour les traitements mis en œuvre uniquement à des fins de :
- ressources humaines et dans les conditions prévues par les textes applicables pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage ;
- gestion des contrôles d’accès physiques en dehors de tout dispositif biométrique, à l’exclusion des traitements de données qui révèlent des données sensibles ou à caractère hautement personnel.
A contrario, la conduite d’une analyse d’impact est nécessaire pour les traitements :
- établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
- ayant pour finalité de surveiller de manière constante l’activité des employés concernés.
Pour identifier si la conduite d’une analyse d’impact est nécessaire pour les autres traitements RH, il convient de vérifier si deux des neuf critères établis par le Comité européen de la protection des données sont réunies, à savoir :
- évaluation ou notation d’une personne ;
- prise de décision automatisée ;
- surveillance systématique ;
- traitement de données sensibles ou à caractère hautement personnel ;
- traitement à grande échelle ;
- croisement ou combinaison d’ensembles de données ;
- données concernant des personnes vulnérables (à noter que les salariés sont considérés comme des personnes vulnérables) ;
- utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
- traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique
(1) Délibération n° 2019-160 du 21-11-2019 portant adoption du référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel. Référentiel également disponible sur le site de la Cnil.
(2) Délibération n° 2005-002 du 12-01-2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels.