Le 15 avril 2020, la CNIL a publié sur son site internet son nouveau référentiel relatif aux données de Ressources Humaines intitulé « Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel », adopté le 21 novembre 2019 et remplaçant la norme simplifiée NS-46.
Ce référentiel s’applique aux traitements de données « courants » relatifs à la gestion du personnel par l’employeur, mis en œuvre par les organismes privés ou publics, quelle que soit leur forme juridique. Il leur permet de s’assurer de la conformité de leurs traitements au Règlement général sur la protection des données (RGPD), à la loi du 6 janvier 1978 modifiée (LIL), et aux autres règles applicables (législation du travail, textes régissant la fonction publique, conventions collectives, etc.), et pourra également contribuer à la réalisation d’analyses d’impact lorsque celles-ci seront requises.
Sont néanmoins exclus de ce nouveau référentiel les traitements mis en œuvre par les organisations syndicales, les instances représentatives du personnel, ou les services de médecine de travail, mais aussi les traitements de « gestion RH » impliquant le recours à des outils « innovants », les traitements « algorithmiques à des fins notamment de profilage », les traitements dits de « Big Data », les traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés etc.
Les traitements de gestion du personnel concernés par ce référentiel sont ceux qui répondent à l’une des finalités suivantes : recrutement, gestion administrative des personnels, gestion des rémunérations et accomplissement des formalités administratives afférentes, mise à disposition du personnel d'outils professionnels, organisation du travail, suivi des carrières et de la mobilité, formation, tenue des registres obligatoires et rapports avec les instances représentatives du personnel, communication interne, gestion des aides sociales, réalisation des audits, gestion du contentieux et du précontentieux. La CNIL rappelle que les données traitées ne pourront pas être réutilisées pour poursuivre un autre objectif, qui serait incompatible avec la finalité initiale du traitement réalisé.
Le référentiel énumère ensuite les bases légales les plus fréquemment « mobilisables » /utilisables par l’employeur dans le cadre de ces traitements de gestion des ressources humaines, et donne plusieurs exemples concrets. A ce titre, il pourra s’agir notamment du respect d’une obligation légale incombant à l’employeur (ex : obligations liées à la déclaration sociale nominative « DSN »), de l’exécution d’un contrat (soit un contrat auquel la personne concernée est partie tel que le contrat de travail, soit des mesures précontractuelles prises à sa demande telles que le traitement de sa candidature), la réalisation de l’intérêt légitime poursuivi par l’employeur ou par le destinataire des données (ex : mise à disposition d'outils informatiques), ou encore de l'exécution d'une mission d'intérêt public.
Qu’en est-il du consentement des salariés ?
La CNIL considère que les employés, en raison de la dépendance inhérente à la relation qui les lie à leur employeur, ne sont en réalité que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement. Ainsi, ce fondement sera très peu utilisé.
S’agissant des catégories de données à caractère personnel concernées, le référentiel propose une liste non exhaustive. Il pourra s’agir par exemple des données relatives à l’identification de l’employé, à l’évaluation des compétences du candidat au moment du recrutement, au suivi de carrière et de la formation de l’employé, à l’établissement de la fiche de paie et aux obligations légales connexes, à la gestion des déclarations d'accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé etc.
Néanmoins, il est rappelé que l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit effectuer cette collecte « qu’à partir du moment où ce besoin se concrétise ».
Enfin, les données dites « sensibles » dont font parties les données de santé, bénéficient d’une protection particulière, et ne peuvent être collectées et traitées que sous certaines conditions spécifiques.
Plusieurs indications sont également données concernant les durées de conservation applicables. A ce titre, le référentiel rappelle que les données ne peuvent être conservées que le temps strictement nécessaire à la réalisation des finalités poursuivies. L’employeur doit donc définir les durées ou leurs critères de détermination au regard de chaque finalité, et distinguer selon que les données sont conservées en base active ou en archive intermédiaire.
Le référentiel aborde également les questions des destinataires de ces données, de l’information des personnes concernées par les traitements, des droits qui leurs sont offerts, des analyses d’impact à réaliser pour certains traitements, et des mesures de sécurité à mettre en place par les employeurs. Le référentiel est consultable ICI.
La publication de ce référentiel, très attendue par les employeurs, va permettre aux départements RH de revoir et auditer la conformité de leurs traitements de gestion du personnel.
FOCUS COVID-19
Pas un mot sur les traitements des données de santé des salariés par les employeurs ce qui n’est pas étonnant dans la mesure où le référentiel a été établi avant la crise sanitaire du covid-19 mais une mise à jour aurait été la bienvenue. En effet, à la lecture du récent protocole national de déconfinement du Ministère du travail pour les entreprises qui prévoit une procédure de signalement et une contribution au tracing via des matrices établies par l’employeur, un encadrement par la CNIL semble plus que jamais nécessaire.
Pour mémoire, dans une communication du 6 mars dernier (Cf. notre Flash du 27 mars : « Le traitement des données de santé dans un contexte de crise sanitaire »), la CNIL a rappelé que les données de santé sont protégées tant par le RGPD que par le Code de la Santé Publique. Elle a rappelé qu’il n’était pas possible de mettre en œuvre des relevés obligatoires de la température corporelle de chaque employé puis de les adresser à leur hiérarchie chaque jour.
La CNIL autorise en revanche que des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.
Dans ce cadre, une ordonnance n°2020-386 du 1er avril est venue préciser que le Médecin du travail pouvait procéder à des tests de dépistage du covid-19 selon un protocole défini par arrêté. En effet, le 23 avril 2020, Véolia a annoncé soumettre ses 50 000 salariés à des tests de dépistage du covid-19. De nombreuses entreprises, notamment PSA, ont prévu la prise de température avant d’accéder aux locaux de l’entreprise.
Compte tenu de l’enjeu national de la lutte de la pandémie, la fin ne justifierait-elle pas les moyens si la mesure est justifiée et proportionnée au but à atteindre ?
Le Ministère apporte enfin des précisions aux employeurs jusqu’alors dans la confusion la plus totale dans son protocole national de déconfinement du 4 mai 2020.
En ce qui concerne les campagnes de dépistage de type virologique ou sérologique organisées par les employeurs, elles sont prohibées du fait notamment du manque de visibilité et de fiabilité qui pourrait s’avérer contre-productif dans la lutte nationale de la pandémie. Le Ministère précise à juste titre que la responsabilité de protection de la santé des salariés par les entreprises reste pleine et entière et passe par une évaluation des risques et des mesures nécessaires et justifiées (Cf. Chapitre V du protocole).
En ce qui concerne la prise de température, le Ministère déconseille aux entreprises la mise en place d’un dispositif à l’entrée en privilégiant l’auto-surveillance par le salarié lui-même en cas d’apparition de signe symptomatique.
Toutefois, si l’entreprise devait mettre en place un tel dispositif, cette mesure devrait être strictement encadrée dans le respect du Code du travail, en particulier en ce qui concerne les règles en matière de règlement intérieur, être proportionnées à l’objectif recherché et offrir toutes les garanties requises aux salariés concernés tant en matière d’information préalable, d’absence de conservation des données que des conséquences à tirer pour l’accès au site (Cf. Chapitre VII).
Si le Ministère semble plus que frileux au sujet des campagnes de dépistage, il encourage en revanche la collaboration active de ce dernier avec les autorités sanitaires afin de tracer la contamination du virus aux personnes en contact avec une personne contaminée en lui demandant d’établir notamment des matrices des contacts et leur qualification (« à risque » ou « à risque négligeable ») pour faciliter l’identification des personnes en contact en cas de survenance d’un cas avéré de covid-19 sur le lieu du travail.
On ne peut que regretter de n’avoir aucune instruction claire sur la collecte et le traitement de ces données personnelles au titre de cette procédure de tracing alors même que bon nombre d’employeurs se préparent au déconfinement le 11 mai prochain. Quelles, seraient alors les procédures de données personnelles applicables ? La CNIL interdit donc la transmission de ces données à la hiérarchie, mais l’employeur doit, selon le gouvernement, transmettre ces informations aux autorités de la médecine du travail, sans mentionner les recommandations de la CNIL, ni même un quelconque impact au regard du RGPD.
Une réponse de la CNIL sur les enjeux des données personnelles de ces nouvelles procédures RH, issues du plan de déconfinement du gouvernement serait la bienvenue afin de répondre à toutes les incertitudes et insécurité juridique qu’elles soulèvent encore.
Auteurs : Caroline Luche-Rocchia, Avocate, Associée en droit du travail, Nicolas Rémy-Néris, Avocat, DPO, Directeur en droit commercial et Elise Millet, Avocat, en droit commercial.
