A l’issue d’une consultation publique, la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL ») a adopté le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel.

Ce référentiel était très attendu car depuis le 25 mai 2018, date d’application du Règlement Général sur la Protection des Données (ci-après le « RGPD »)¹, les entreprises disposaient de peu d’informations sur cette question essentielle.

En effet, depuis l’entrée en application du RGPD, la norme simplifiée NS-046 « Gestion du personnel »² n’avait plus de valeur juridique mais la CNIL n’avait pas encore eu l’occasion d’adopter un instrument de régulation de substitution. C’est chose faite depuis le 15 avril.

Dorénavant, les employeurs publics et privés, responsables du traitement, disposent de lignes directrices claires et actualisées afin d’assurer leur mise en conformité au RGPD et à la Loi Informatique et Libertés³ (ci-après la « Loi ») dans le cadre de la gestion de leur personnel.

Le RGPD a mis fin au régime déclaratif, de sorte que les employeurs n’ont plus l’obligation d’accomplir une quelconque formalité préalable auprès de la CNIL avant de traiter les données à caractère personnel de leurs salariés. En revanche, ils doivent être en mesure de démontrer à tout moment que le traitement effectué est conforme aux nouvelles obligations consacrées par le RGPD et par la Loi, sous peine de lourdes sanctions économiques.

Ce nouveau référentiel de dix-sept pages traite de nombreuses questions telles que le processus de recrutement, la gestion administrative du personnel, la rémunération, ou encore la mise à disposition des salariés d’outils de travail. Le référentiel a un large charge champ d’application : il couvre les contrats à durée indéterminée, les contrats à durée déterminée, l’alternance, les contrats d’apprentissage etc.

D’un point de vue pratique, ce texte apporte de nombreuses précisions sur les moyens permettant de garantir la conformité au RGPD :

–  Les finalités du traitement ;

–  Les bases légales du traitement ;

–  Les données personnelles concernées ;

–  Les destinataires des données ;

–  Les durées de conservation ;

–  L’information des personnes ;

–  Les droits des personnes ;

–  La sécurité ;

–  L’analyse d’impact relative à la protection des données.

Enfin, il convient de souligner que ce référentiel n’est pas juridiquement contraignant, il s’agit d’un simple cadre de référence. Les employeurs peuvent donc faire d’autres choix que ceux recommandés dans le référentiel (par exemple, sur la durée de conservation des données), sous réserve de pouvoir fournir les justifications opportunes en cas de contrôle réalisé par la CNIL.

M&B Avocats

¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
² Norme simplifiée n°46 : Délibération n°2005-002 du 13 janvier 2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels – Modifiée par délibération n°2005-277 du 17 novembre 2005
³ Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés