Les traitements types en matière de ressources humaines

Le traitement des données RH est une étape très importante dans les relations employeur – employé. La protection des données doit être garantie à chaque étape de la vie d’un salarié (candidature, embauche, travail, paie, évaluation / formation, départ du salarié).

Ressources Humaines traitements de données types

L’article 88 du RGPD, intitulé « Traitement de données dans le cadre des relations de travail », prévoit que les Etats membres peuvent prendre en compte les relations particulières liant le salarié à son employeur afin d’élaborer des règles spécifiques pour assurer « la protection des droits et libertés en ce qui concerne le traitement des données des employés dans le cadre des relations de travail » et ce, à tous les stades de cette relation.

Le terme de salarié recouvre un large éventail de travailleurs et l’article s’applique tant aux agents privés que publics, il concerne ainsi :

  • Au sein du rectorat: les agents publics fonctionnaires, titulaires ou non titulaires ;
  • Au sein des EPLE: les agents non titulaires, les contrats aidés ainsi que les Contrats Uniques d’Insertion (CUI) et les Contrats d’Accompagnement dans l’Emploi (CAE).

Le traitement des données RH est une étape très importante dans les relations employeur – employé. La protection des données doit être garantie à chaque étape de la vie d’un salarié (candidature, embauche, travail, paie, évaluation / formation, départ du salarié).

            Le fondement du traitement RH

Selon l’article 6 du RGPD, il existe différents fondements permettant de mettre en œuvre un traitement de données licite :

  • Le consentement de la personne concernée pour une ou plusieurs finalités ;
  • L’exécution d’un contrat auquel la personne concernée est partie ;
  • Le respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  • La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • Les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Cependant, dans le cadre des traitements RH (relations de travail), il est plus délicat de mettre en œuvre un traitement sur le fondement du consentement donné par l’employé. Le lien de subordination encadrant les relations de travail crée un déséquilibre manifeste entre l’employeur et son salarié, or le consentement de ce dernier doit être un acte positif ; il doit être libre, spécifique et univoque (une seule interprétation possible).

Le salarié n’est donc pas véritablement en mesure d’exercer un choix librement et son consentement est rarement reconnu comme valable. Il vaut mieux éviter de fonder les traitements sur le consentement lorsqu’ils portent sur des données relatives à des salariés.

L’employeur doit présenter un intérêt légitime pour mettre en œuvre un traitement. Il a une obligation d’information renforcée vis-à-vis de son salarié, notamment sur la durée de conservation des données, les finalités du traitement et les recours devant la CNIL.

De même, afin de garantir une transparence dans les traitements, le G29 (groupe de travail réunissant les CNIL européennes) recommande d’associer un échantillon représentatif d’employés à la création et à l’évaluation des politiques internes au service des ressources humaines.

            Un traitement à risque pour le salarié

Si un traitement présente un risque élevé, le responsable du traitement doit procéder à une analyse d’impact (PIA) lorsque au moins deux des critères suivants sont réunis :

  • Evaluation: scoring, rendement de travail, profilage ;
  • Prise de décisions automatisée avec effet juridique ou similaire significatif : recrutement automatisé sans aucune intervention humaine ;
  • Collecte de données sensibles;
  • Croisement de données;
  • Exclusion du bénéfice d’un droit/contrat;
  • Collecte de données personnelles à large échelle;
  • Surveillance systématique: vidéosurveillance d’un centre commercial, d’un aéroport, d’un site Seveso ;
  • Données concernant des personnes vulnérables;
  • Usage innovant: reconnaissance faciale.

Le responsable du traitement procède ainsi à une analyse d’impact et met en œuvre le plan d’action défini par le délégué à la protection des données (DPO), lequel en vérifie la bonne exécution. Les sous-traitants fournissent les informations nécessaires à l’élaboration de l’analyse d’impact, et les métiers techniques (RSSI, etc.) aident à sa réalisation. Enfin, les personnes concernées donnent leur avis sur le traitement mis en œuvre.

Selon l’Avis 2/2017 – traitements de données personnelles au travail (WP249), les scénarios potentiellement « à risque » sont :

  • Réseaux sociaux: analyse des réseaux sociaux dans le cadre du recrutement, surveillance des profils sociaux des salariés ou ex-salariés ;
  • Cyber-surveillance: surveillance de l’utilisation des outils informatiques, BYOD, MDM, technologies embarquées ;
  • Gestion du temps de présence: badges, géolocalisation, systèmes biométriques, pointeuse, enregistreur de données routières type tachygraphe ;
  • Vidéosurveillance: caméras 360°, analyse vidéo, reconnaissance faciale ;
  • Transfert hors de l’UE: transfert de données des salariés vers des clients ou des filiales hors de l’UE.

            Les traitements-types ressources humaines

Voici une liste non exhaustive de traitements-types de données au sein des ressources humaines, devant figurer dans les registres :

  • Sécurisation des locaux : contrôles d’accès aux locaux et contrôle des horaires des salariés et des visiteurs ;
  • Gestion des horaires et de la restauration;
  • Plan de continuité d’activité;
  • Paie des personnels du secteur public;
  • Recrutement du personnel;
  • Gestion du personnel: gestion administrative, mise à disposition d’outils informatiques, gestion des carrières et mobilités, formation des personnels, action sociale prise en charge par l’employeur ;
  • Vidéosurveillance – vidéo-protection au travail ;
  • Contrôle de l’utilisation d’internet et de la messagerie au travail ;
  • Téléphonie sur le lieu de travail (annuaire téléphonique, messagerie interne, maintenance du parc téléphonique) ;
  • Géolocalisation des véhicules des employés : suivre, justifier et facturer une prestation de transport de personnes, assurer la sécurité de l’employé, mieux allouer des moyens pour des prestations à accomplir en des lieux dispersés ;
  • Ecoute et enregistrement des conversations sur le lieu de travail ;
  • Gestion des habilitations secret défense;
  • Gestion administrative et financière des ressources humaines des agents payés par l’Etat;
  • Accidents du travail et maladies professionnelles;
  • Alerte professionnelle;
  • Gestion des comptes personnels de formation;

Les traitements RH comprennent également les traitements mis en œuvre avant l’embauche définitive de l’employé (analyse des réseaux sociaux pour le recrutement, etc.).

Vous trouverez sur le lien suivant une fiche spécifique élaborée par la CNIL sur le recrutement et la gestion du personnel : https://www.cnil.fr/fr/le-recrutement-et-la-gestion-du-personnel.

            Les droits de l’employé

Avec le RGPD, l’employé a plusieurs droits sur ses données personnelles. L’un d’eux est particulièrement important : le droit à la limitation des données (article 18 du RGPD). Ce droit permet de demander le gel temporaire des données dans 4 cas énoncés par le RGPD : leur exactitude est contestée, le traitement est illicite, la personne concernée (l’employé) s’oppose au traitement ou encore le responsable du traitement n’a plus besoin des données.

Lorsque la personne concernée exerce son droit à la limitation des données, ces dernières sont rendues indisponibles.

Le droit à l’effacement de l’employé s’exerce également à différents degrés selon la base légale du traitement :

  • C’est un contrat: le droit à l’effacement est limité ;
  • Il s’agit d’un consentement: ce droit est automatique ;
  • L’employé a un intérêt légitime: ce droit est possible, sauf si l’employeur fait prévaloir son intérêt sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Le service des RH prend une part importante dans le processus de conformité au Règlement.

Au titre de la protection des données personnelles, le numéro de sécurité sociale (numéro d’identification nationale ou NIR) d’un candidat à un poste ne peut pas être collecté.

De plus, l’article 80 du RGPD prévoit également l’action de groupe qui permet aux organisations syndicales de salariés ou de fonctionnaires de déposer un recours contre le traitement de données personnelles des salariés (réclamation auprès de la CNIL, recours juridictionnel contre une autorité de contrôle ou le responsable du traitement).

Enfin, afin de préserver la protection des données personnelles de l’employé, plusieurs recommandations ont été élaborées, notamment par le G29 :

  • Renforcer la transparence: information claire, complète et directe du salarié par son employeur qui doit fournir plus d’informations à son salarié s’il souhaite mettre en œuvre un traitement, politique RH claire et facilement accessible ;
  • Répondre dans le délai d’un mois maximum à une demande de droit d’accès formulée par un salarié ;
  • Réfléchir voire anticiper les cas dans lesquels il peut y avoir opposition au traitement ;
  • Etudier la communication aux salariés en cas de violation de données.