Le 15 avril 2020, la Commission Nationale de l’Informatique et des Libertés (la « CNIL ») a publié un référentiel relatif aux traitements de données personnelles mis en œuvre dans le cadre de la gestion des ressources humaines. Dune décrypte ce nouvel outil d’aide à la mise en conformité.
Les traitements de données concernés
Ce référentiel a vocation à aiguiller toutes entreprises, associations ou organismes publics mettant en œuvre des traitements courants de données ayant pour objectifs le recrutement, la gestion du personnel et des paies, l’organisation du travail ou encore la formation professionnelle.
Les Préconisations de la CNIL
Le référentiel contient des préconisations concernant la mise en œuvre de ces traitements qui doivent être adaptés au fonctionnement de chaque entreprise.
La CNIL décrit notamment les données pouvant être collectées dans le cadre de la gestion du personnel et les bases légales justifiant la collecte de données au regard des objectifs et finalités d’un traitement.
Exemple : afin de procéder à la rémunération de ses salariés, une entreprise est en droit de collecter leurs données bancaires sur la base légale de l’exécution du contrat.
Le référentiel indique également que les données de salariés ne peuvent pas être conservées sans limitation de durée. Consciente de la difficulté de fixer ces durées de conservation, la CNIL a enrichi ce référentiel d’un tableau reprenant ses recommandations de conservation pour les traitements les plus courants.
La publication de ce référentiel est l’occasion pour les entreprises, deux ans après l’entrée en application du Règlement Général sur la Protection des Données (le « RGPD »), de s’assurer que leurs traitements sont conformes et de pouvoir les mettre à jour si nécessaire.
Le cas particulier des données de santé des salariés
Les données sensibles — telles que les données de santé des salariés — ne peuvent être collectées que dans des situations précises et limitées.
Exemple : lorsqu’un employeur doit remplir une déclaration d’accident du travail ou de maladie. Seules les données de santé nécessaires à une telle déclaration seront collectées et transmises à des destinataires limités.
Une attention particulière doit être portée à la sécurité de ces données sensibles, la sécurité des données étant d’ailleurs une thématique prioritaire de la stratégie de contrôle pour 2020 de la CNIL.
Ainsi, et a fortiori pendant l’épidémie de Covid-19, la collecte des données de santé des salariés continue d’être strictement encadrée. La CNIL précise, à ce titre, qu’un employeur peut consigner la date et l’identité du salarié exposé ou suspecté d’avoir été exposé au Covid-19 ainsi que les mesures organisationnelles prises à la suite de cette déclaration (ex : mise en place du télétravail). Cet exemple est extrait d’une recommandation de la CNIL en date du 6 mars dernier : il est possible que la doctrine soit amenée à évoluer au vue de la situation actuelle.
Il conviendra d’être particulièrement vigilant lors du déconfinement concernant la mise en œuvre de ces traitements, qui pourront s’avérer indispensables à la sécurité de tous.
Dune suit de près les recommandations de la CNIL et ne manquera pas de vous informer afin de vous permettre de demeurer en conformité avec les exigences du RGPD.