La CNIL publie un nouveau référentiel Ressources Humaines

La CNIL publie un nouveau référentiel Ressources Humaines

Depuis le 26 mai 2018, date d’entrée en application du Règlement Général sur la Protection des Données (RGPD), les normes simplifiées de la Commission Nationale Informatique et Libertés (CNIL) n’ont, d’après ses propres termes , plus de “valeur juridique”.

En attendant l’adoption et la publication de nouveaux référentiels devant remplacer ces normes, celles-ci restent accessibles sur son site Internet et sont régulièrement consultées par les organismes se mettant en conformité avec le RGPD.

La CNIL a publié sur son site Internet, le mercredi 15 mars 2020, le nouveau “Référentiel relatif aux traitements de données à caractère personnel mis en oeuvre aux fins de gestion du personnel”, adopté le 21 novembre 2019 et qui remplace l’ancienne norme simplifiée NS-046 “Gestion du personnel”.

Datanaos vous propose de faire ensemble le tour de ce nouveau référentiel et des changements qu’il opère par rapport à l’ancienne norme NS-046.

Un petit tour d’abord sur les points communs

Ce référentiel semble plutôt se présenter comme une mise à jour de la NS-046 “Gestion du personnel”. Il est organisé de façon similaire à la NS-046 et n’est pas contraignant : tout organisme peut décider de s’écarter des préconisations du référentiel, à condition de pouvoir justifier les écarts.
Pour notre part, nous continuons de recommander fortement aux Responsables de traitement de le suivre ou de s’en inspirer.

Les organismes concernés par ce référentiel sont toujours les mêmes : organismes publics et privés, sans distinction.

Les finalités du traitement des données des employés ont quelque peu changées, mais présentent de fortes ressemblances entre les deux textes.

De même, la partie relative à l’information des personnes concernées (employés) sur le traitement de leurs données a été étoffée, mais le message reste le même : le RGPD impose aux organismes d’informer les personnes concernées du traitement de leurs données, y compris dans le contexte d’une situation employeur / employé.

Les évolutions apportées par le référentiel : principalement des précisions

A sa lecture, ce référentiel apporte moins d’évolutions que de précisions sur le cadre du traitement des données personnelles des employés, précisions qui restent bienvenues et sauront répondre plus efficacement que l’ancienne norme 046 aux interrogations des organismes et de leurs départements Ressources Humaines.

Dans l’article de sa publication, la CNIL indique d’abord que le champ du référentiel a été élargi par rapport à la norme NS-046.
Si les organismes concernés restent les mêmes, on peut noter qu’alors que la norme n’utilisait que les termes “employé” ou “personnel” pour qualifier les personnes concernés, le référentiel précise de suite que tout terme utilisé pour qualifier la masse salariale correspond à plusieurs catégories de travailleurs, qu’ils soient en CDI, en CDD, vacataires ou stagiaires, agents de la fonction publique, etc. Une première précision bienvenue en ce que certains organismes comprenaient que l’ancienne norme ne s’appliquait qu’aux collaborateurs habituels (CDI), ce qui n’était pas le cas.

Évolution qui est aussi la bienvenue : les finalités des traitements des données.
Là où la norme distinguait 4 grandes familles d’activités, décomposées en finalités, le référentiel en distingue maintenant 11 grandes familles dont 8 sont ensuite divisées en finalités.
La CNIL en profite par ailleurs pour indiquer, pour chacune des finalités identifiées, les bases légales possibles des finalités (exécution d’un contrat, obligation légale, etc.). Une précision encore une fois nécessaire puisqu’en France il est assez commun d’entendre des entreprises parler de leur intérêt légitime, une base légale possible d’un traitement de données, mais parfois difficilement appréciable.

A l’instar de l’ancienne norme, le référentiel contient des exemples des données personnelles qu’un organisme est susceptible de traiter dans le cadre de certaines activités.
Le but du référentiel n’est bien sûr pas d’en faire une liste exhaustive, cependant la liste des exemples de données dans le référentiel a été allongée par rapport à la norme.

Contrairement à la norme NS-046, le référentiel fait cette fois-ci la distinction dans ses parties entre les destinataires “tiers” des données (organismes de sécurité sociale par exemple) et les destinataires des données internes à l’organisme (supérieurs hiérarchiques par exemple).

La partie relative aux durées de conservation va sûrement attirer l’attention des Ressources Humaines et à juste titre, puisque dans l’ancienne norme 046, la CNIL se contentait d’indiquer que les données devaient être conservées le temps de la période d’emploi des personnes, hors dispositions législatives ou réglementaires contraires (le domaine des Ressources Humaines étant par ailleurs fortement réglementé…).
Dans ce référentiel, la CNIL indique pas moins de 7 durées de conservations pour des données relatives aux employés, dont 4 s’appliquant aux données nécessaires à la gestion de la paie.
Si la liste des durées que propose la CNIL reste courte (Datanaos dénombre actuellement plus de 20 durées de conservation différentes dans le domaine des Ressources Humaines), elle a au moins le mérite d’être claire et précise (la CNIL indique chaque fois un texte de référence justifiant la durée) et d’apporter un début de réponse aux organismes qui planchent (et parfois titubent) sur le sujet des durées de conservation de leurs données.

Concernant les mesures de sécurité, la CNIL indique une liste de mesures de sécurité recommandées pour la protection des données, qui était déjà disponible sur son site, mais n’était pas incorporée à la NS-046.
Cette liste n’est bien sûr pas exhaustive, mais donne des indications sur la manière de sécuriser efficacement des données, et parfois pour un coût assez faible. De quoi intéresser toute entreprise.

La CNIL termine par une dernière précision : les traitements de données personnelles des employés qui doivent faire l’objet d’une Analyse d’Impact sur la Protection des Données (AIPD), et les traitements pour lesquels ce n’est pas nécessaire.
Encore une fois, ces listes étaient présentes à plusieurs endroits de son site Internet, mais la CNIL ne les avait pas intégré dans ses normes.

Un plus qui permettra aux organismes de vérifier plus rapidement si oui ou non ils une analyse doit être effectuée.

Alors, simple réécriture ou véritable apport ?

La CNIL, l’organe de contrôle et de sanction en France quand il s’agit du traitement de données personnelles, s’inscrit depuis sa création dans une logique de responsabilisation et d’aide plutôt que dans une logique de répression, et ce référentiel en apporte encore une fois la preuve, puisque la CNIL continue d’améliorer ou de préciser ses recommandations pour les organismes.

Nous vous laissons prendre connaissance de ce nouveau référentiel, que vous pourrez trouver ici : https://www.cnil.fr/fr/publication-du-referentiel-relatif-la-gestion-des-ressources-humaines , et vous faire votre propre opinion.

Toute l’équipe Datanaos vous souhaite une bonne lecture 🙂