Depuis l’entrée en vigueur du RGPD et la fin du mécanisme de déclaration préalable, la CNIL a initié un travail de mise à jour des anciennes normes simplifiées par l’adoption de référentiels. Tel est le cas de la norme simplifiée n°46 portant sur les traitements mis en œuvre aux fins de gestion du personnel, qui, bien que devenue vieillissante, demeurait la « bible » des traitements de données aux fins de gestion de ressources humaines.

Jusqu’à présent, la norme simplifiée « Gestion du personnel » n°46 (ou « NS46 ») faisait partie de ces textes majeurs relatifs aux traitements de données personnelles : adoptée en 2005, elle a constitué une « guideline » essentielle pour les services des ressources humaines permettant d’avoir une vision globale des standards de traitement des données de salariés. Du fait de l’évolution des technologies et l’adoption du RGPD, elle commençait à trouver ses limites malgré les compléments ponctuels de la CNIL et du CEPD (ex G29) sur des traitements spécifiques (vidéosurveillance, biométrie…).

Le référentiel relatif à la gestion des ressources humaines vise à remplacer cette NS46, en en reprenant naturellement les principes essentiels mais également en l’actualisant au regard du droit post-RGPD et en apportant de précieuses précisions pratiques.

A quels traitements s’applique ce référentiel et pour quelles finalités ? Seuls les traitements de gestion du personnel « mis en place couramment » sont concernés, ce qui exclut deux catégories spécifiques : d’une part, ceux portant sur le contrôle individuel de l’activité des salariés ; d’autre part, ceux portant sur des « outils innovants », tels que la psychométrie (quantifications des aspects de personnalité), les traitements algorithmiques à des fins de profilage ou le fameux « big data ». La CNIL prévoit que de telles finalités devront faire l’objet d’analyses d’impact selon les critères établis par le CEPD, même si nombre d’entreprises argueront que de tels outils innovants deviennent pourtant de plus en plus courants.

S’agissant des finalités et outre celles déjà connues (gestion administrative du personnel, mise à disposition d’outils, organisation du travail, formation…), la CNIL intègre des finalités omises par la NS46 pourtant « évidentes », telles que le recrutement, la gestion des aides ainsi que la réalisation des audits, le suivi du contentieux et du précontentieux…

Comment déterminer la base légale du traitement ? La détermination de la base légale des traitements portant sur des ressources humaines constitue généralement un casse-tête, tant la frontière entre le respect d’une obligation légale, l’exécution du contrat de travail ou l’intérêt légitime de l’employeur peut être mince. A ce titre, le référentiel présente deux intérêts.

D’une part, il rappelle une nouvelle fois un principe posé par la doctrine du G29 et rappelé à de nombreuses reprises par la CNIL (parfois oublié), selon lequel il reste exceptionnel que le consentement constitue la base légale applicable : l’existence même d’un lien de subordination n’est pas de nature à s’assurer de la liberté de ce consentement, sauf à démontrer que le traitement n’a aucun impact sur le salarié, sur ses conditions de travail, sa rémunération, son avancement….

D’autre part, la CNIL propose un tableau exhaustif suggérant la base légale la plus vraisemblable pour chaque traitement usuel. Si ce tableau constitue une trame devant être adaptée in concreto, il peut en être tiré l’enseignement que l’intérêt légitime de l’employeur constitue la base légale la plus fréquemment exploitable. On pourra également s’interroger sur certains arbitrages proposés, tels que la mise à disposition des bulletins de salaire sur la base de « l’exécution du contrat » ou la mise à disposition d’outils informatiques, sur la base exclusive de « l’intérêt légitime ».

Quelles sont les données concernées et à qui peuvent-elles être transmises ? Sur ce point, « rien de nouveau sous le soleil », les données ne devant être collectées que sur la base d’une finalité déterminée (la CNIL proposant un tableau non exhaustif des données dont la collecte paraît justifiée en fonction de la nature du traitement) et certaines données faisant l’objet d’un régime de vigilance renforcée, telles que le numéro de sécurité sociale, les données relatives aux infractions et condamnations pénales ou les données sensibles. Sauf situations spécifiques, ces données pourront être transmises aux personnes habilitées chargées de la gestion du personnel, aux supérieurs hiérarchiques concernés, aux instances représentatives du personnel et délégués syndicaux, ainsi qu’aux tiers habilités (assurances, congés payés, auditeurs…).

Pendant quelle durée les données peuvent-elles être traitées ? Alors que la NS46 se limitait à l’énonciation d’une durée générale de conservation correspondant à la période d'emploi de la personne concernée, le référentiel agrémente le rappel des principes applicables d’un tableau prévoyant une granularité en fonction de la nature des données et du mode de stockage.

Deux axes principaux doivent être dégagés : d’une part, la CNIL prévoit des durées relativement courtes s’agissant de la base active (1 seul mois pour un bulletin de paie, temps nécessaire pour la saisie des données DSN ou un ordre de virement…) : en pratique, il peut être anticipé qu’un allongement raisonnable de ces propositions se justifie en fonction de l’organisation interne de l’entreprise ; d’autre part, les durées en base archivage intermédiaire sont généralement calquées sur la prescription en matière pénale pour délit (soit 6 ans), sauf cas exceptionnels tels que 50 ans pour les bulletins de paie dématérialisés ou 10 ans pour les obligations comptables.

Quelles mesures de sécurité doivent être mises en œuvre ? Là où la NS46 se limitait à la formule générique recommandant « toutes précautions utiles pour préserver la sécurité et la confidentialité des traitements et des données », la CNIL propose désormais une synthèse – non exhaustive mais relativement complète – des mesures principales à mettre en place, telles que notamment : sensibilisation des acteurs, organisation de l’administration du réseau (habilitation…), mise en place de protocoles déterminés de sécurité et de cryptologie, encadrement des sous-traitants ainsi que des opérations de maintenance et de destruction des données…

En conclusion, ce référentiel propose une mise à niveau permettant d’évaluer leur propre conformité au RGPD au regard des illustrations concrètes proposées la CNIL s’agissant de leurs traitements « ressources humaines ». Ceci sera d’autant plus essentiel pour repenser la gestion des données de son personnel, notamment en pleine situation de crise sanitaire : en effet, de nombreuses entreprises ont dû se réorganiser, parfois précipitamment, pour mettre en place le télétravail et pourront trouver dans ce référentiel un moyen concret permettant de confirmer / d’assurer un premier niveau de conformité avec la réglementation portant sur les données personnelles de salariés.

Olivier Hayat, avocat, Hayat Avocat, et Stéphanie Ropars, avocate associée chez Patchwork Avocats