La Commission nationale informatique et libertés (Cnil) a publié deux projets de référentiels. Ces fiches pratiques guideront les ressources humaines dans leur démarche de mise en conformité liée au traitement des données personnelles des salariés et aux dispositifs d’alerte en entreprise. Plusieurs tableaux pratiques sont proposés.
La Commission nationale informatique et libertés (Cnil) est bien décidée à épauler les ressources humaines dans la mise en oeuvre du très technique RGPD, le règlement européen dédié à la protection des données. L’autorité administrative indépendante a publié jeudi 11 avril sur son site internet deux projets de référentiels qui serviront de guides aux RH.
Le premier donne la marche à suivre pour mettre en place un traitement des données personnelles des salariés dans le cadre de pratiques de gestion du personnel : recrutement, organisation du travail, mise à disposition d’outils informatiques, etc. Le second référentiel guidera les entreprises dans la mise en oeuvre d’un dispositif d’alerte. Une procédure pour les lanceurs d’alerte est obligatoire dans les entreprises de 50 salariés et plus, afin de permettre aux salariés de signaler en toute sécurité les comportements graves dont ils sont témoins dans l’entreprise (loi dite « Sapin 2 »).
Les deux référentiels serviront également d’aide aux entreprises pour la réalisation des analyses d’impact relatives à la protection des données (AIPD), qui sont obligatoires lors de la mise en oeuvre de traitements de données particulièrement risqués.Un tableau pour justifier le traitement de données
Relativement courts (13 et 14 pages), les deux référentiels sont construits comme des modes d’emploi. Ils doivent guider l’entreprise tout au long de la mise en oeuvre du traitement de données personnelles. Ils aident en premier lieu l’entreprise à justifier le traitement, en déterminant précisément l’objectif poursuivi et la base légale sur lequel il repose. Cette justification est rendue obligatoire par le RGPD, et son absence ou son insuffisance peuvent être sanctionnées par la Cnil lors d’un contrôle.
La base légale soulève beaucoup de questions auprès des entreprises. Le document fait le point, en rappelant que le consentement ne suffit généralement pas pour justifier le traitement de données dans le cadre d’une relation – manifestement déséquilibrée – entre le salarié et son entreprise. Dans un tableau récapitulatif, la Cnil livre des illustrations pratiques des finalités et bases légales possibles. Par exemple, une base légale envisageable pour la gestion des annuaires internes et organigrammes pourrait être l’intérêt légitime de l’entreprise. En revanche, pour la collecte de données en vue des élections professionnelles, l’entreprise pourrait valablement se fonder sur l’obligation légale.
Le référentiel dédié à la gestion du personnel liste également les données pouvant être collectées auprès des salariés, en les triant selon leur finalité. Par exemple, l’entreprise peut, dans l’objectif du suivi de la carrière, collecter la date des entretiens d’évaluation, l’identitié de l’évaluateur, les observations formulées par le salarié ou encore les résultats obtenus par ce dernier au regard des objectifs fixés.Des textes à enrichir
Les deux projets de référentiel rappellent aussi les règles relatives à la limitation de l’accès et la durée de conservation des données. Ils soulignent l’importance d’informer les personnes concernées par le traitement ainsi que leurs représentants. La Cnil fournit pour cela des modèles de mentions d’information dont l’entreprise peut s’inspirer pour la mise en place de la vidéosurveillance ou la géolocalisation, par exemple. Elle rappelle également les règles en matière de droits des personnes : droit d’opposition, droit d’accès, de rectification, etc. Enfin, un tableau liste les précautions de sécurité que l’entreprise doit appliquer, comme la sécurisation des postes de travail par antivirus ou la définition d’une politique de mots de passe fiables.
La Cnil soumet ces deux projets de texte à la consultation publique, tous les intéressés pouvant émettre leur avis sur le site de la Cnil. Une fois enrichis des propositions recueillies auprès du public, les référentiels seront adoptés par la Cnil en séance plénière. La période de consultation se déroulera jusqu’au vendredi 10 mai 2019 pour le référentiel « alertes professionnelles » et jusqu’au vendredi 31 mai 2019 pour le référentiel « gestion des ressources humaines ».
Selon le dernier rapport d’activité de la Cnil publié lundi 15 avril, le secteur du travail constitue 16,5 % des plaintes déposées par les usagers concernant leurs données personnelles. Il s’agit du deuxième motif de plaintes, juste après la prospection abusive dans le secteur du marketing et du commerce (21 % des plaintes).
Source – Actuel CE
