Publication du référentiel relatif à la gestion des ressources humaines

15 avril 2020

La CNIL a adopté le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Ce référentiel, qui s’adresse à l’ensemble des employeurs privés et publics, s’inscrit dans la continuité de la norme simplifiée NS-46 qui n’a plus de valeur juridique depuis l’entrée en application du RGPD.

L’encadrement des traitements courants en matière RH

Adopté à la suite d’une consultation publique, ce référentiel s’adresse à l’ensemble des organismes privés et publics qui mettent en place des traitements de données à des fins de gestion des ressources humaines.

Outil d’aide à la mise en conformité, il applique les règles de protection des données aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail.

Les traitements exclus du référentiel

Certains traitements sont exclus du champ d’application du référentiel en raison de leurs spécificités et font l’objet d’un encadrement particulier (contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriques, dispositif d’alertes professionnelles, vidéosurveillance, d’écoute et enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc.). Il en va de même pour certains traitements invasifs ou ayant recours à des outils particulièrement innovants.

Aussi, un responsable de traitement qui souhaiterait mettre en œuvre de tels dispositifs devra s’assurer de la conformité de sa démarche à la réglementation en vigueur, en procédant à sa propre analyse. Il pourra partiellement s’aider du présent référentiel, mais ce dernier ne garantira pas la conformité de son traitement.

Les principales évolutions du référentiel

Afin de répondre au mieux aux besoins des organismes, le champ d’application du référentiel a été élargi et couvre désormais non seulement la gestion des ressources humaines, mais également la gestion de la paye et les traitements les plus répandus en matière de recrutement.

Des développements nouveaux ont été rajoutés concernant l’identification des bases légales susceptibles de fonder les traitements courants en matière RH. Des précisions ont été également apportées sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données (AIPD) est obligatoire, ou non, pour le responsable de traitement.

Une FAQ accompagne la publication du référentiel pour répondre aux questions les plus fréquentes.