PROTECTION DES SALARIÉS - DONNÉES PERSONNELLES - 12.05.2020

Quels fichiers de données RH nécessitent une analyse d’impact ?

RH et données des salariés

Traitement de données personnelles. Au sein des entreprises, de nombreuses données à caractère personnel des salariés sont traitées, p.ex. la gestion des recrutements, la paie, les horaires de travail, le suivi du temps de travail, les évolutions des carrières, la géolocalisation des véhicules de l’entreprise, les accès et la surveillance des locaux, etc.

Des données sensibles. Nombre de ces traitements permettent à l’employeur de disposer de données personnelles sensibles sur ses salariés, comme le numéro de Sécurité sociale, la situation maritale, les taux d’imposition fiscale, les coordonnées bancaires, etc. Il est impératif qu’il s’assure du respect de la réglementation RGPD afin de protéger les données personnelles recueillies auprès de ses salariés mais également afin de se préserver contre le risque d’une amende administrative très lourde.

En pratique, au sein d’une entreprise, la plupart des traitements mis en place concernant les données des salariés s’inscrivent dans la durée, et les données sensibles recueillies peuvent engendrer un risque pour les droits et libertés des salariés en cas de divulgation ou de perte, d’où l’obligation de mettre en place une analyse d’impact relative à la protection de ces données, l’AIPD. Cette analyse permet de déterminer les risques et les actions à mettre en place pour les éviter.

L’analyse d’impact ou AIPD

Nécessité d’une AIPD. L’AIPD s’impose dès lors qu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés. L’employeur doit se référer aux critères définis par le Comité européen de la protection des données. L’AIPD est obligatoire si au moins deux des neuf critères suivants sont remplis : évaluation ou notation ; décision automatique avec effet juridique (ou similaire) ; surveillance systématique ; données sensibles ou données à caractère hautement personnel ; données personnelles traitées à grande échelle ; croisement de données ; données sur des personnes vulnérables ; usage innovant ou utilisation d’une nouvelle technologie ; exclusion du bénéfice d’un droit ou d’un contrat.

Traitements de données RH exonérés d’AIPD. La CNIL a listé les traitements RH pour lesquels la mise en œuvre d’une AIPD n’est pas requise (CNIL délib. 2019-118 du 12.09.2019, JO du 22.10) . Il s’agit :

• des traitements, mis en œuvre uniquement pour les besoins de RH et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des entreprises employant moins de 250 salariés, à l’exception du recours au profilage ;
• les traitements de gestion des activités des comités sociaux et économiques (CSE) ;
• les traitements mis en œuvre uniquement pour la gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail (hors dispositif biométrique), à l’exclusion des traitements de données sensibles ou à caractère hautement personnel ;
• les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport uniquement pour empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Consultez la liste complète de la CNIL des traitements pour lesquels une AIPD n’est pas obligatoire sur http://alertesetconseils-personnel.fr/annexes – code PE 19.15.06.