Flash infos

Flash infos

20/04/20

Le référentiel relatif aux traitements de données à caractère personnel donne le « La » pour la gestion du personnel

Contexte

Même si la publication est un peu … tardive : 15 avril 2020 pour un texte adopté le 21 novembre 2019, la délibération n° 2019-160 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel est fondamentale pour les entreprises et donne le « la » pour la plupart des DRH.

Comme il est indiqué dès le préambule, le référentiel s’applique aux «  personnes employées », « personnels » « effectifs », « moyens humains » ou « ressources humaines » qui sont considérés comme synonymes et désignent l’ensemble des collaborateurs permanents ou temporaires de l’employeur, quels que soient leurs statuts, leur type ou durée de contrat, leur niveau de rémunération. Sont notamment couverts par le référentiel les salariés, les agents de la fonction publique, les stagiaires, les vacataires, etc., faisant partie des effectifs de l’organisme employeur.

Le référentiel évoque le cas des candidats même s’il faudrait sans aucun doute un référentiel spécifique comme en témoigne l’adoption dans de nombreuses entreprises de politiques d’information distinctes « salariés » d’une part et « candidats » d’autre part.

Comme le rappelle la Cnil elle-même, certains traitements sont exclus du champ d’application du référentiel en raison de leurs spécificités et font l’objet d’un encadrement particulier (contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriquesdispositifs d’alertes professionnellesvidéosurveillanced’écoute et enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc.). Il en va de même pour certains traitements invasifs ou ayant recours à des outils particulièrement innovants.

Ce référentiel rappelle enfin que certains traitements RH nécessitent la mise en œuvre préalable d’analyses d’impact trop souvent ignorées.

Rappelons enfin qu’à l’instar de ce qu’étaient, à la belle époque, les « normes simplifiées » ces éléments ne s’appliquent que pour les SI RH « normaux ». Il serait bon d’ailleurs que les référentiels à la NS 46 disparaissent du site de la Cnil https://www.cnil.fr/fr/declaration/ns-046-gestion-du-personnel

Ce nouveau référentiel doit devenir la bible des DRH en matière de données personnelles car elle servira, à n’en pas douter, de base à la Cnil pour ces futurs contrôles.

Les points « + » du référentiel

Au rang des points positifs, on notera que la Cnil permet aux entreprises et acteurs publics d’affiner leur position en termes de traitement de données RH et apporte des informations très importantes sur :

  • Le type de traitement en matière RH avec une liste précise même si elle semble fondée sur des catégories assez « larges », typologie sur lesquelles la plupart des DPO sont allés dans beaucoup plus de détails ;
  • Le type de données collectées là aussi avec une liste précise et très détaillée ;
  • La durée de conservation, ce qui est sans aucun doute l’un des plus gros problèmes de mise en œuvre des DRH actuellement ;
  • Les destinataires des données sont également identifiés même si nous, pauvres avocats, ne sommes pas mentionnés ce qui aurait permis de lever une question existentielle : sommes-nous ou non les sous-traitants de nos clients (ce qui n’est pas le cas évidemment mais ce point n’est pas toujours partagé par nos propres clients) ;
  • La sécurité. C’est un des points les plus importants de cette recommandation qui propose, à défaut d’imposer, un ensemble de mesures techniques pouvant être mises en œuvre ;
  • Les flux transfrontières, rappelant les cas dans lesquels ils peuvent être mis en œuvre (notamment pour les groupes internationaux).

Les points «- » du référentiel

Ce type de document est important mais l’on peut regretter que plusieurs questions n’aient pas été abordées :

  • Sur l’information des salariés. On peut regretter que la Cnil n’ait pas mis en exergue l’adoption par nombre d’entreprises d’une « politique d’information salariés » qui est assurément une bonne pratique pour respecter l’obligation fixée à l’article 12 du Règlement ;
  • Sur les fondements légaux. On aurait pu penser que la Cnil allait principalement retenir comme base légale des traitements RH, soit l’application du contrat (le contrat de travail) ; soit l’application de la loi (déclarations sociales et fiscales notamment). Or dans bon nombre de cas elle retient l’intérêt légitime notamment pour : la mise à disposition des outils de travail, l’organisation du travail, la gestion des aides sociales, le suivi des carrières et des mobilités et une partie des traitements relatifs à la formation, la gestion des candidatures, et même une grande partie de la gestion administrative du personnel. Or dans la plupart de ces cas on aurait pu penser que la Cnil retienne l’exécution du contrat de travail ou l’obligation légale.

Il s’agit là d’une fausse bonne nouvelle pour les entreprises. Bonne sur le principe mais mauvaise sur la mise en œuvre. En effet, il faut rappeler que l’intérêt légitime comme base légale impose un travail supplémentaire de la part du responsable de traitement qui est d’établir la balance des intérêts entre le traitement réalisé et la protection des droits des personnes concernées. Or cette balance des intérêts est rarement réalisée.

  • Sur les sous-traitants on aurait pu s’attendre à une liste plus étoffée car nombreux sont les DRH ou les DPO qui sont perdus entre ce qui relève ou non de la sous-traitance. Ainsi la Cnil retient comme sous-traitant : restauration collective, vote électronique, archivage des documents, tenue des comptes d’épargne, etc (sic) ; seraient des « destinataires » mais non des sous-traitants ; les organismes gérant les différents systèmes d’assurances sociales, d’assurances chômage, de retraite et de prévoyance, les caisses de congés payés, les organismes publics et administrations légalement habilités à les recevoir.

Mais pourquoi ne pas évoquer la paye externalisée, l’épargne salariale, les taxis, les gestionnaires de flottes automobiles, relations avec ETT, agences de voyages pour les déplacements professionnels, cabinets de recrutement, établissements fournissant des titres restaurants, organismes de formation, chasseurs de tête, job board , coachs ou médiateurs en entreprise et tant d’autres cas difficiles à traiter…

Mais mon plus grand regret porte sur le droit des personnes (salariés / candidats) et notamment le droit d’accès.

Cette question est pourtant centrale et induit déjà un gros contentieux.

Or il existe sur ce point deux écoles : l’école réaliste versus l’école des fondamentalistes !

L’école réaliste, dont je fais ardemment partie, consiste à limiter le droit d’accès aux données concernant le salarié lui-même, c’est-à-dire les éléments de son dossier RH : dossier RH, suivi de carrière, évaluation, sanction,….

L’école fondamentaliste, que je réfute avec autant d’ardeur, considère que le salarié doit avoir accès à tout document dans lequel figure son nom : mel, SMS, message sur les médias sociaux internes ou externes, lettre, fax mais aussi le moindre compte-rendu de réunion et que sais-je encore. Le salarié pourrait même avoir accès aux éléments échangés au sein de l’entreprise entre le mangement et la RH par exemple, concernant le dit salarié ou tout simplement entre deux salariés, ce qui se heurte de plein fouet au respect des correspondances privées.

Il faudra attendre une position claire de la Cnil sur ce dernier point…

Affaire à suivre…

Auteur : 

Eric Barbry, Avocat associé

Télécharger

Avocats concernés :