Afin d’aider les employeurs dans leurs démarches de conformité au RGPD, la CNIL a adopté mi-avril 2020, à la suite d’une consultation publique, un nouveau référentiel qui recense et applique les principes du RGPD aux traitements de données à caractère personnel couramment mis en œuvre dans le cadre de la gestion du personnel.

Il vient remplacer la norme simplifiée 46 (« NS-46 ») qui était applicable avant l’entrée en application du RGPD et qui, bien que n’ayant plus de valeur juridique depuis le 25 mai 2018, était restée accessible pour accompagner les différents acteurs.

Ce référentiel constitue désormais le cadre de référence en matière de gestion des ressources humaines mais n’est pas pour autant contraignant. La CNIL indique clairement que les responsables de traitement peuvent s’écarter de ses préconisations, à condition toutefois de pouvoir justifier leur choix et de prendre toutes les mesures appropriées afin de garantir la conformité des traitements à la réglementation applicable en matière de protection des données.

Ce référentiel a indéniablement le mérite de fournir de nombreux détails et exemples concrets, permettant aux employeurs d’affiner leurs pratiques et de vérifier la conformité de leur documentation interne (registre des traitement, notices d’information, politique de durée de conservation, etc.). Certains points n’ont cependant pas été abordés par la CNIL dans ce document, ou l’ont été de manière discutable.

Un champ d’application large, tant en termes de portée que de contenu

Le référentiel a vocation à s’appliquer à toute relation de travail entre un employeur, public ou privé, et son personnel quel que soit son statut ou son contrat.

Il couvre en outre toutes les finalités des traitements mis en place couramment par les employeurs dans le cadre de la gestion de leur personnel, dont certaines ne faisaient pas partie de l’ancienne NS-46 telles que la paye ou la gestion du recrutement.

Il ne couvre cependant pas les traitements mis en œuvre par les organisations syndicales, les instances représentatives du personnel ou les services de médecine du travail. Il n’a pas non plus vocation à encadrer les traitements de gestion RH impliquant le recours à des outils innovants (psychométrie, traitements algorithmiques à des fins de profilage, Big Data), ni les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés.

Ces traitements constituent pourtant ceux pour lesquels les organismes qui doivent les mettre en place éprouvent le plus de difficulté à assurer leur conformité au RGPD.

Des indications concrètes sur la base légale des traitements et la durée de conservation des données

Afin d’aider les responsables de traitement à déterminer les bases légales adéquates, le référentiel fournit un tableau qui recense, pour chacune des finalités identifiées, les bases légales envisageables. Sans surprise, ce sont les bases relatives à l’exécution du contrat, la poursuite d’un intérêt légitime ou le respect d’une obligation légale qui sont retenues.

Le référentiel rappelle que le consentement du personnel ne peut, en revanche, être utilisé comme base légale que de manière exceptionnelle en raison de la relation de subordination existante avec l’employeur (le référentiel cite à cet égard quelques exemples de cas dans lesquels le consentement peut ou ne peut pas être demandé).

Il peut cependant sembler étonnant que l’intérêt légitime constitue la base légale la plus utilisée par la CNIL, l’application du contrat ou le respect d’une obligation légale étant minoritaires dans les exemples qui y sont donnés. En effet, le choix de cette base légale est parfois discutable (par exemple la mise à disposition de certains outils de travail semble plutôt nécessaire à l’exécution du contrat de travail, la gestion des formations peut relever d’obligations légales, etc.) alors qu’elle est, en pratique, contraignante pour les organismes.

Rappelons que l’intérêt légitime impose un travail supplémentaire de la part du responsable de traitement qui est supposé, lorsqu’il souhaite retenir cette base légale, établir une balance des intérêts entre le traitement réalisé et la protection des droits et libertés des personnes concernées. Rappelons également que cette base légale, contrairement aux deux autres susmentionnées, permet l’exercice du droit d’opposition par les personnes concernées.

Il est ainsi très difficile pour les organismes de savoir ce qu’ils ont effectivement l’obligation de communiquer, surtout lorsqu’il existe un contentieux ou un risque de contentieux avec le salarié exerçant son droit d’accès. De nombreux organismes auraient dès lors espéré une position de la CNIL dans ce domaine 

Florence Chafiol

Il s’agit donc d’une base qu’il convient en principe plutôt d’utiliser avec parcimonie et vigilance et que les responsables de traitement tentaient jusque-là d’utiliser avec parcimonie.

Concernant la durée de conservation des données, le référentiel, plus précis à ce sujet que la NS-46, indique notamment que de nombreuses données nécessaires à la gestion de la relation contractuelle doivent être conservées pendant la durée de la relation de travail mais que cela ne fait pas obstacle à leur conservation sous forme d’archives lorsqu’il existe des obligations légales en la matière ou qu’une telle conservation se justifie au regard des règles de prescription applicables.

Le référentiel fournit à cet égard un tableau avec quelques exemples concrets sur les délais de conservation à respecter. La position prise par la CNIL est précieuse car la question de la durée de conservation des données constitue généralement l’une des principales problématiques auxquelles les employeurs font face dans l’application du RGPD.

Il est cependant dommage que la CNIL n’ait pas donné plus d’exemples, la majorité des traitements réalisés en entreprise s’agissant de la gestion du personnel étant similaire d’une entreprise à l’autre. On peut également regretter que la CNIL n’ait pas donné d’indication concernant la durée de conservation des données de candidats.

Une durée de 2 ans avait été recommandée par la CNIL pour ces données dans une de ses précédentes lignes directrices, durée largement critiquée par les organismes et remise en cause par le Défenseur des droits, considérant que les informations relatives à un candidat devraient être conservées pour une durée minimale de 6 ans, sous forme d’archive, afin d’être en mesure de faire face à un éventuel contentieux en discrimination.

Il aurait donc été intéressant que de telles données fassent partie des exemples concrets présentés dans le référentiel pour confirmer ou infirmer la position prise sur ce point.

Un recensement précis et détaillé des données pouvant être collectées 

Le référentiel, comme le faisait la NS-46, vient lister de manière précise et détaillée les types de données qui peuvent être traitées à des fin de gestion du personnel.

Le référentiel rappelle également que certaines données doivent faire l’objet d’une vigilance particulière car, en raison de leur caractère particulièrement sensible, elles ne peuvent être collectées et traitées que dans des conditions strictement définies par la législation : il s’agit ainsi du numéro de sécurité sociale, des données relatives aux infractions et condamnations pénales et des catégories particulières de données identifiées dans l’article 9 du RGPD.

Concernant tout particulièrement les données relatives aux infractions et aux condamnations pénales, la CNIL avait indiqué, dans une précédente recommandation relative au casier judiciaire, (i) qu’il n’était pas possible pour un employeur de collecter le casier judiciaire de ses salariés (et/ou de traiter les données qu’il contient) en l’absence d’un texte spécifique prévoyant une telle obligation mais (ii) qu’une simple consultation, sans traitement spécifique, était possible.

Cependant, il arrive que certains organismes se retrouvent dans des situations dans lesquelles ils ont besoin de traiter les antécédents judiciaires de leurs salariés pour se conformer à une obligation générale de vigilance en droit français à laquelle ils sont soumis (bien que les textes invoqués ne prévoient souvent pas clairement la vérification desdits antécédents judiciaires) ou à une obligation légale étrangère en ce sens. Ils ne savent dès lors bien souvent pas quelle position adopter pour ne violer aucune des règles applicables.

Une position plus exhaustive de la CNIL sur ce sujet aurait dès lors été bienvenue, d’autant que des positions divergentes sont observées dans certains autres pays européens également soumis au RGPD.

Un rappel des règles applicables concernant les destinataires des données, l’information et les droits des personnes, les transferts de données ainsi que les analyses d’impact.

Le référentiel rappelle l’importance de limiter l’accès aux données aux personnes ayant besoin d’en connaitre dans le cadre de leur mission et d’encadrer les relations avec les sous-traitants ainsi que les transferts de données en dehors de l’Union européenne.

Il fournit également des exemples de destinataires des données possibles dans le cadre de la gestion des RH. Ces exemples sont cependant assez restreints et n’évoquent pas clairement la question de la qualification de ces destinataires (responsable de traitement, sous-traitant ou responsable conjoint). Or, les employeurs ont souvent des difficultés à identifier ce qui relève ou non de la sous-traitance, notamment lorsqu’ils sont en relation avec des entreprises de travail temporaire, des agences de voyages, des cabinets de recrutement, des organismes de formation ou encore des cabinets de conseil. Le référentiel ne vient dès lors pas réellement leur faciliter la tâche sur ce point.

Par ailleurs, la question des rôles et responsabilités des parties au sein de groupes de sociétés dans le cadre de la gestion des ressources humaines n’est pas abordée. Cela représente pourtant également un sujet de préoccupation majeure pour de nombreux organismes, notamment lorsque la société mère met un logiciel de gestion des ressources humaines à la disposition de toutes ses filiales qui l’utilisent ensuite avec plus ou moins d’autonomie. Bien que la qualification doive être évaluée au cas par cas, des lignes directrices précisant les différents facteurs à prendre en considération dans ce contexte spécifique auraient été appréciées.

Ce référentiel a indéniablement le mérite de fournir de nombreux détails et exemples concrets, permettant aux employeurs d’affiner leurs pratiques et de vérifier la conformité de leur documentation interne 

Stéphanie Lapyre

Le référentiel souligne par ailleurs l’importance de respecter les principes de transparence et de loyauté à l’égard des personnes concernées et vient lister les droits dont elles bénéficient (accès, modification, suppression, opposition etc.). Concernant plus spécifiquement le droit d’accès, la CNIL se contente de rappeler l’existence de ce droit sans plus de précisions. Si elle a pu publier par le passé plusieurs recommandations relatives à l’exercice du droit d’accès, y compris dans le domaine RH, le contenu dudit droit et ses limites ne sont bien souvent abordés que de manière succincte.

Or, l’exercice de ce droit est bien souvent source de nombreuses interrogations, notamment lorsqu’il porte sur le contenu d’emails ou de documents qui ne font que mentionner le nom du salarié, dans un contexte en outre où certains salariés ont tendance à instrumentaliser ce dit droit au profit d’autres causes sans lien avec l’essence même du droit d’accès consistant à permettre à la personne concernée d’avoir la confirmation que des données personnelles le concernant sont ou ne sont pas traitées.

Il est ainsi très difficile pour les organismes de savoir ce qu’ils ont effectivement l’obligation de communiquer, surtout lorsqu’il existe un contentieux ou un risque de contentieux avec le salarié exerçant son droit d’accès. De nombreux organismes auraient dès lors espéré une position de la CNIL dans ce domaine.

Enfin, le référentiel rappelle que les responsables de traitement doivent se référer aux listes établies par la CNIL et aux critères établis par le Comité européen de la protection des données pour déterminer si le traitement envisagé doit ou non faire l’objet d’une analyse d’impact. N’oublions pas en effet que de nombreux traitements RH peuvent nécessiter la réalisation d’une telle analyse qui est pourtant bien souvent négligée par les employeurs.

Une attention particulière portée à la sécurité des données

Le référentiel est détaillé sur ce sujet et comporte toute une série de mesures que le responsable de traitement doit adopter. Figurent, parmi ces mesures, la rédaction d’une charte informatique ayant force contraignante, la gestion des habilitations, l’utilisation d’antivirus régulièrement mis à jour ou encore la gestion des relations avec les sous-traitants par le biais d’un contrat écrit. Dans l’hypothèse où le responsable de traitement n’adopterait pas ces mesures, il doit justifier soit de la mise en place de mesures équivalentes, soit du fait ne pas avoir besoin d’y recourir.

La question de la sécurité est un enjeu majeur pour les organismes et les recommandations de la CNIL dans ce cadre sont très importantes, d’autant quand on constate, à la lecture de certaines analyses, que la moitié des violations de données rencontrées par les entreprises en 2019 auraient été causées par des employés (source)


A propos des Auteures

Florence-Chafiol

Florence Chafiol

Florence Chafiol a débuté sa carrière chez August Debouzy ; elle y est associée depuis 2009. Au sein du Département Technologies, Propriété Intellectuelle, Media, elle intervient principalement sur des questions liées aux projets informatiques ou technologiques innovants (y compris Digital et Internet) en conseil et en contentieux.

Elle a en outre développé une pratique très reconnue sur toutes les questions liées aux données à caractère personnel, tant pour des entreprises françaises qu’étrangères, dans le cadre de leur mise en conformité ou pour des lancements de produits ou nouveaux projets.

Elle assiste également ses clients ayant fait l’objet de contrôles dans la gestion de leurs contentieux devant la Section Contentieuse de la CNIL. Florence Chafiol publie régulièrement des articles d’actualité sur ses sujets de prédilection dans des supports de presse généraliste et spécialisée.


Stéphanie Lapyere

Stéphanie Lapeyre

Stéphanie Lapyere a rejoint August Debouzy en 2015. Elle est spécialisée en droit des nouvelles technologies et accompagne ainsi de nombreux clients français et étrangers dans le cadre de projets innovants.

Elle a notamment acquis une connaissance approfondie et transversale des problématiques relatives à la protection des données personnelles lui permettant d’assister les clients dans la valorisation de leur patrimoine informationnel tout en assurant le respect de la législation applicable.

Diplômée de Sciences Po et titulaire d’un Master 1 en droit des affaires et d’un Master 2 en droit des créations numériques, Stéphanie a développé une vision globale et pragmatique des besoins des entreprises afin d’apporter des conseils adaptés à chaque secteur et à chaque projet.