Nouvel référentiel relatif à la gestion des ressources humaines

référentiel rgpd RH

Face aux nombreuses préoccupations concernant le traitement des données personnelles, des mesures ont été prises. La CNIL a ainsi publié un nouveau référentiel relatif à la gestion des ressources humaines.

Référentiel relatif à la gestion des ressources humaines : de quoi parle-t-on ?

Vu les mutations profondes de notre société en matière de technologies, l'Union européenne s'attache à adapter régulièrement son cadre juridique. Au travers de textes comme le RGPD, celle-ci souhaite s'adapter aux différentes transformations du secteur (commerce en ligne, réseaux sociaux, usage du numérique). Ceci en harmonisant les règles appliquées entre ses états.

Avec la mise en application de ce règlement en 2018, les professionnels ont dû s'adapter à d'importantes évolutions en matière de réglementation Informatique et Libertés. Parmi celles-ci, les employeurs se sont notamment vus attribuer la pleine responsabilité de leur mise en conformité. Pour les appuyer dans cette démarche, la CNIL a souhaité mettre à leur disposition un outil précieux.

Principaux objectifs du référentiel

Avant tout, le référentiel s'adresse aux employeurs, publics ou privés, qui s'adonnent au traitement de données dans leur gestion RH. Parallèlement, il garantit la protection du personnel en apportant un cadre au traitement de leurs données. Il précise à nouveau les bases légales de ce traitement de données qui doit impérativement être motivé par des objectifs clairement établis. En effet, la dépendance découlant de la relation employé/employeur empêche bien souvent le personnel de donner ou de refuser librement son consentement quant à la gestion de ses données.

Adopté à l'issue d'une consultation publique, ce dispositif constitue un solide cadre de référence peu contraignant et pratique. Pour se mettre en conformité avec le RGPD, ce référentiel propose notamment aux employeurs :

  • De recenser les traitements relatifs à la gestion du personnel mis en œuvre au sein de leur organisme.
  • D'informer les personnes concernées.
  • De s’interroger sur le besoin de réaliser une analyse d’impact relative à la protection des données (AIPD).

D'autre part, le règlement vulgarise certaines règles de fond pour faciliter les employeurs dans leur mise en œuvre pratique. Celles-ci concernent l’identification des bases légales susceptibles de fonder des traitements en matière RH, les durées de conservation des données ou encore la tenue d’un registre des traitements.

Zoom sur les principaux points du référentiel

Concernant le contenu concret du référentiel, certains aspects sont essentiels.

Parmi ses apports salutaires, il apporte des éléments concrets relatifs à l'identification de bases légales pouvant être invoquées dans les cas les plus usuels. Parmi les exemples illustrés, le document rappelle que, dans le cadre des recrutements, la constitution d'une CV thèque doit revêtir un intérêt légitime. Concernant la gestion des rémunérations et des formalités administratives, la déclaration sociale nominative constitue quant à elle une stricte obligation légale. De nombreux autres exemples de cas concrets rencontrés par les organisations professionnelles sont cités dans le référentiel.

Quelles sont les données concernées ?

Parmi les autres aspects principaux du document, ce dernier rappelle aux employeurs que seules les données strictement nécessaires à la gestion de leur personnel peuvent être collectées. Ceci, uniquement au moment de l'émergence concrète du besoin.

Une liste exhaustive de ces données est détaillée dans le document et apporte de précieux éclairages aux employeurs. Elles sont classées parmi plusieurs catégories.

  • Identification : identité ou encore situation professionnelle (ex. : ancienneté ou nature du contrat).
  • Suivi de carrière et de formation : éléments relatifs au recrutement ou encore évaluation professionnelle.
  • Établissement des fiches de paie et obligations légales (ex. : numéro de sécurité sociale ou taux de prélèvement à la source).
  • Validation des acquis de l’expérience.
  • Gestion des déclarations d'accident du travail et de maladie.
  • Sujétions particulières : données relatives à l’exercice d'un mandat représentatif syndical par exemple.
  • Outils et matériel mis à la disposition de l’employé : annuaires internes, organigrammes ou encore données de connexion enregistrées.
  • Activités sociales et mises en œuvre par l’employeur (ex. : revenus).
  • Relations avec les instances représentatives de personnel (ex. : convocations).

D'autres règles à respecter

Enfin, le document rappelle la protection particulière dont bénéficient certaines données particulièrement sensibles, comme le numéro de sécurité sociale ou les données pénales et médicales. Il s'agit également des données révélant l'origine ethnique, les convictions politiques et religieuses ou encore l'orientation sexuelle.

Par ailleurs, le référentiel précise à nouveau les règles concernant les destinataires des données, les durées de conservation à respecter, mais également l'information des personnes concernées par les données. Il rappelle aussi la nécessité de réaliser une analyse d'impact (AIPD), dès lors qu'il existe un risque élevé pour les droits et libertés des personnes avec le traitement de leurs données.

Voir le référentiel

Pour découvrir notre solution RH conforme à ce nouveau référentiel contactez nos experts pour une démo !