La CNIL a adopté son référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Ce référentiel n’est pas contraignant, il est pris dans les suites de la Délibération n° 2019-160 du 21 novembre 2019 et s’adresse à l’ensemble des employeurs privés et publics. Il s’inscrit dans la continuité de la norme simplifiée NS-46 qui n’a plus de valeur juridique depuis l’entrée en application du RGPD. Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée car il couvre le processus de recrutement mais également la gestion de la paye. Certaines règles de fond ont été précisées parmi lesquelles celles relatives à l’identification des bases légales susceptibles de fonder des traitements en matière RH, ou encore en matière de détermination des durées de conservation des données.

L’encadrement des traitements courants en matière RH

Adopté à la suite d’une consultation publique, ce référentiel s’adresse à l’ensemble des organismes privés et publics qui mettent en place des traitements de données à des fins de gestion des ressources humaines. Outil d’aide à la mise en conformité, il applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Les traitements exclus du référentiel

Certains traitements sont exclus du champ d’application du référentiel en raison de leurs spécificités et font l’objet d’un encadrement particulier (contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriques, dispositif d’alertes professionnelles, vidéosurveillance, d’écoute et enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc.). Il en va de même pour certains traitements invasifs ou ayant recours à des outils particulièrement innovants.

Aussi, un responsable de traitement qui souhaiterait mettre en œuvre de tels dispositifs devra s’assurer de la conformité de sa démarche à la réglementation en vigueur, en procédant à sa propre analyse. Il pourra partiellement s’aider du présent référentiel, mais ce dernier ne garantira pas la conformité de son traitement.

Les principales évolutions du référentiel

Afin de répondre au mieux aux besoins des organismes, le champ d’application du référentiel a été élargi et couvre désormais non seulement la gestion des ressources humaines, mais également la gestion de la paye et les traitements les plus répandus en matière de recrutement.

Des développements nouveaux ont été rajoutés concernant l’identification des bases légales susceptibles de fonder les traitements courants en matière RH. Des précisions ont été également apportées sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire, ou non, pour le responsable de traitement. Le référentiel relatif à la gestion des ressources humaines applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération ou encore la mise à disposition des salariés d’outils de travail.