Données personnelles : la Cnil publie un référentiel de gestion RH

La Cnil a adopté un référentiel relatif aux traitements de données personnelles à des fins de gestion des ressources humaines. Il s’adresse à l’ensemble des employeurs privés et publics et s’inscrit dans la continuité de la norme simplifiée NS-46 qui n’a plus de valeur juridique depuis l’entrée en application du règlement général sur la protection des données (RGPD).

Outil d’aide à la mise en conformité, il applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Toutefois, certains traitements sont exclus du champ d’application du référentiel en raison de leurs spécificités et font l’objet d’un encadrement particulier. C’est le cas du contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriques, dispositif d’alertes professionnelles, de la vidéosurveillance, de l’écoute et de l’enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc. Il en va de même pour certains traitements invasifs ou ayant recours à des outils particulièrement innovants.

Résultat : un responsable de traitement qui souhaite mettre en œuvre de tels dispositifs devra s’assurer de la conformité de sa démarche à la réglementation en vigueur, en procédant à sa propre analyse. Il pourra s’appuyer en partie sur le référentiel de la Cnil, mais ce document ne suffira pas à garantir la conformité de son traitement.

La Cnil précise que le champ d’application du référentiel couvre non seulement la gestion RH stricto sensu, mais aussi la gestion de la paye et le recrutement.