Date de signature : | 23/05/2022 | Statut du texte : | En vigueur |
Date de publication : | 08/02/2023 | Emetteur : | Commission nationale de l'informatique et des libertés |
Consolidée le : | Source : | JO du 8 février 2023 | |
Date d'entrée en vigueur : | 09/02/2023 |
Délibération n° 2022-126 du 23 mai 2022 portant modification de la délibération n° 2019-160 du 21 novembre 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel
NOR : CNIL2303441X
La Commission nationale de l’informatique et des libertés,
Après avoir entendu le rapport de M. Alexandre LINDEN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement ;
Adopte le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, qui sera publié au Journal officiel de la République française.
La présidente,
M.-L. DENIS
RÉFÉRENTIEL RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE AUX FINS DE GESTION DU PERSONNEL
Adopté le 21 novembre 2019
Modifié le 23 mai 2022
1. A qui s’adresse ce référentiel ?
Ce référentiel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique, et encadre la mise en œuvre de leurs traitements courants de « gestion du personnel ».Il couvre les traitements mis en place couramment par les organismes-employeurs dans le cadre de la gestion de leur personnel.
Il n’a dès lors pas vocation à s’appliquer aux traitements mis en œuvre notamment par les organisations syndicales, les instances représentatives du personnel, ou encore les services de médecine de travail.En raison de leur sensibilité, ce référentiel n’a pas vocation à encadrer :
Le respect de ce référentiel permet aux organismes de s’assurer de la conformité des traitements de données mis en œuvre dans ce cadre aux principes relatifs à la protection des données.
Les organismes qui s’écarteraient du référentiel au regard des conditions particulières tenant à leur situation doivent être en mesure de justifier l’existence d’un tel besoin, puis prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire.
Pour réaliser une étude d’impact, le responsable de traitement pourra également se reporter aux outils méthodologiques proposés par la CNIL sur son site web. Les organismes seront ainsi à même de définir les mesures permettant d’assurer la proportionnalité et la nécessité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). A cette fin, l’organisme s’appuiera sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.3. Objectif(s) poursuivi(s) par le traitement (Finalités)
Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l’organisme.le consentement libre, spécifique, éclairé et univoque de la personne concernée.
A noter : Les employés ne sont que très rarement en mesure de donner, de refuser ou de révoquer librement leur consentement, étant donné la dépendance qui découle de la relation employeur/employé. Ils ne peuvent donner leur libre consentement que dans le cas où l’acceptation ou le rejet d’une proposition n’entraine aucune conséquence sur leur situation. |
Pour une étude d’ensemble des différentes bases légales, voir l’avis de l’ex-G29, devenu Comité Européen de la Protection de Données (CEPD) n° 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE. |
Activités de traitement | Finalités | Bases légales envisageables (sous réserve de choix différents justifiés par un contexte spécifique) |
---|---|---|
Gestion administres connaissan- ces et des formations. de gestion administrative.ssés.tions législati- ves et réglementaires, ainsi qu’a- tive du personnel |
Gestion du dossier professionnel des employés, tenu confor- mément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés. |
|
Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative. |
|
|
Gestion des annuaires internes et des organigrammes. |
|
|
Gestion des dotations individuelles en fournitures, équipe- ments, véhicules et cartes de paiement. | Intérêt légitime | |
Gestion des élections professionnelles. |
|
|
Organisation des réunions des instances représentatives du personnel. |
|
|
Gestion des rémunérations et accomplissement des formalités administratives | Etablissement des rémunérations, mise à disposition des bulletins de salaire |
|
Déclaration sociale nominative. |
|
|
Mise à disposition des personnels d’outils informatiques | Suivi et maintenance du parc informatique. |
|
Gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux. |
|
|
Mise e œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux. |
|
|
Gestion de la messagerie électronique professionnelle. |
|
Réseaux privés virtuels internes à l’organisme permettant la diffusion ou la collecte de données de gestion adminis- trative des personnels (intranet). |
|
|
Organisation du travail | Gestion des agendas et projets professionnels. |
|
Suivi des carrières et de la mobi- lité | Evaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnel- les qui la régissent. |
|
Gestion des compétences professionnelles internes. |
|
|
Gestion prévisionnelle de l’emploi et des compétences (GPEC) |
|
|
Gestion de la mobilité professionnelle. |
|
|
Formation | Gestion des demandes de formation et des périodes de formation effectuées. |
|
Organisation des sessions de formation et évaluation des connaissances et des formations. |
|
|
Gestion des aides sociales | Gestion de l’action sociale et culturelle directement mise en œuvre par l’employeur, à l’exclusion des activités de médecine du travail, de service social ou de soutien psychologique. |
|
5. Données personnelles concernées
Dans un souci de minimisation des données personnelles traitées, l’organisme doit veiller à ne collecter et n’utiliser que les données pertinentes et strictement nécessaires au regard de ses propres besoins de gestion du personnel. Il peut s’agir de données relatives :De manière générale, l’employeur ne doit collecter que les données dont il a réellement besoin, et ne doit le faire qu’à partir du moment où ce besoin se concrétise.
Exemple 1 : lors de la conclusion d’un contrat de travail, l’employeur a l’obligation d’accomplir certaines formalités déclaratives qui requièrent le traitement du numéro de sécurité sociale (NIR) des salariés. Si cette utilisation est alors justifiée, elle ne saurait être demandée à un candidat avant la validation définitive de sa candidature. Exemple 2 : les informations pouvant être demandées à un candidat à l’embauche, doivent présenter un lien direct avec l’appréciation de ses qualités et compétences professionnelles, et ne doivent donc pas porter sur la composition de sa famille, sur des informations relatives à ses proches, etc. En revanche, lorsqu’un salarié en poste demande à bénéficier d’un congé spécifique pour le décès ou l’accompagnement de grave maladie d’un proche, l’employeur peut exiger la production de documents établissant la réalité des situations invoquées. |
Exemple : à la suite d’un accident du travail concernant l’un de ses salariés, l’employeur remplit une déclaration d’accident du travail dans laquelle il doit indiquer la nature et le siège des lésions de la victime. Or, ces données sont relatives à l’état de santé de l’employé et constituent de ce fait des données sensibles. Leur traitement est donc en principe interdit en vertu de l’article 9.1 du RGPD. Toutefois, l’employeur bénéficie d’une exception pour les traiter sur le fondement de l’article 9-2-b du RGPD («le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale […]). |
Catégories de données | Exemples de données |
---|---|
Identification de l’employé | Données relatives à l’identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), références du passeport (uniquement pour les personnels amenés à se déplacer à l’étranger), situation familiale, situation matrimoniale, enfants à charge, type de permis de conduire détenu par l’employé. |
Données relatives à la situation professionnelle : lieu de travail, numéro d’identification interne, date d’entrée dans l’entreprise, ancienneté, emploi occupé et coefficient hiérarchique, section comptable, nature du contrat de travail, taux d’invalidité, reconnaissance de la qualité de travailleur handicapé (RQTH), autres catégories de bénéficiaires de la loi no 87-517 du 10 juillet 1987 (invalide pensionné, mutilé de guerre, assimilé mutilé de guerre). | |
Données relatives au titre valant autorisation de travail : type, numéro d’ordre et copie du titre pour les employés étrangers en application de l’article R. 620-3 du code du travail. | |
Coordonnées des personnes à prévenir en cas d’urgence. | |
Distinctions honorifiques. | |
Suivi de la carrière et de la forma- tion de l’employé | Gestion de la carrière de l’employé : date et conditions de recrutement, date, objet et motif des modifications apportées à la situation professionnelle de l’employé, simulation de carrière, desiderata de l’employé en termes d’emploi, sanctions disciplinaires à l’exclusion de celles consécutives à des faits amnistiés. |
Evaluation professionnelle de l’employé : dates des entretiens d’évaluation, identité de l’évaluateur, compétences professionnelles de l’employé, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par l’employé, prévisions d’évolution de carrière. | |
Formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations. | |
Suivi administratif des visites médicales des employés : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail). | |
Etablissement des fiches de paie et obligations légales connexes | Numéro de sécurité sociale dans les conditions fixées par le décret no 2019-341 du 19 avril 2019 ou par l’article L. 444-5 du code du travail, numéros attribués par les organismes d’assurances sociales, de retraite et de prévoyance, situation familiale, situation matrimoniale, enfants à charge, régime et base de calcul de la rémunération, éléments déterminant l’attribution d’un complément de rémunération, congés et absences donnant lieu à retenues déductibles ou indemnisables, ainsi que toute retenue légalement opérée par l’employeur, frais professionnels, taux de prélèvement à la source, données transmises via la Déclaration sociale nominative. |
Validation des acquis de l’expé- rience | Date de la demande de validation, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision. |
Gestion des déclarations d’accident du travail et de maladie, autres absences | Coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie, date du dernier jour de travail, date de reprise, motif de l’arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour et autres éléments nécessaires auxdites déclarations. |
Sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation | Données relatives à l’exercice d’un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire. |
Outils et matériel mis à la disposi- tion de l’employé dans le cadre de ses missions professionnelles | Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, le cas échéant, formation et réalisations professionnelles. |
Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes. | |
Tâches des personnels : identification des personnels concernés, répartition des tâches. |
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires. | |
Annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux. | |
Données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés. | |
Messagerie électronique : carnet d’adresses, comptes individuels, à l’exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés. | |
Réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d’information. | |
Activités sociales et mises en œuvre par l’employeur | Identité de l’employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis. |
Relations avec les instances repré- sentatives de personnel | Convocations, documents préparatoires, comptes rendus, procès-verbaux divers. |
6. Destinataires des données
Les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.7. Durées de conservation
Conformément à l’article 5-1-e du RGPD, les données à caractère personnel ne doivent être conservées sous une forme permettant l’identification des personnes que le temps strictement nécessaire à la réalisation des finalités poursuivies. C’est donc au regard de la finalité que la durée de conservation sera déterminée.Les données utilisées à des fins statistiques ne sont plus qualifiées de données à caractère personnel dès lors qu’elles auront ont été dûment anonymisées (Voir les lignes directrices du CEPD sur l’anonymisation). |
Activités de traitement | Détails du traitement |
Base active | Archivage intermédiaire | Textes de référence |
---|---|---|---|---|
Gestion de la paie | Bulletin de salaire | 1 mois | 5 ans | L. 3243-4 du code du travail |
50 ans en version dématé- rialisée | D. 3243-8 du code du travail | |||
Eléments nécessaires au calcul de l’assiette | 1 mois | 6 ans | L. 243-16 du code sécurité sociale | |
Saisie des données calculées (DSN) | Le temps nécessaire à l’ac- complissement de la déclaration | 6 ans | L. 243-16 du code sécurité sociale | |
Ordre de virement pour paiement | Le temps nécessaire à l’émission du bulletin de paie | 10 ans à compter de la clôture de l’exercice comptable | L. 123-22 du code du com- merce | |
Registre unique du personnel | La durée pendant laquelle le salarié fait partie des effectifs | 5 ans à compter du départ du salarié de l’orga- nisme | R. 1221-26 du code du travail | |
Gestion des mandats des représentants du person- nel | Nature du mandat et syndicat d’appartenance | 6 mois après la fin du mandat | 6 ans (prescription pénale pour délit) | L. 2411-5 du code du travail |
Gestion des mandats des représentants du person- nel | Les données relatives aux sujé- tions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation (ex : exercice d’un mandat électif ou représentatif syndical) | Le temps de la période de sujétion de l’employé concerné | 6 ans (prescription pénale pour délit) | L. 2142-1-3 du code du travail |
9. Droits des personnes
Les personnes concernées disposent des droits suivants, qu’ils exercent dans les conditions prévues par le RGPD (voir la rubrique qui s’intitule « Comprendre mes droits » sur le site de la CNIL) :10. Sécurité
L’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.Catégories | Mesures |
---|---|
Sensibiliser les utilisateurs | Informer et sensibiliser les personnes manipulant les données |
Rédiger une charte informatique et lui donner une force contraignante | |
Authentifier les utilisateurs | Définir un identifiant (login) unique à chaque utilisateur |
Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL | |
Obliger l’utilisateur à changer son mot de passe après réinitialisation | |
Limiter le nombre de tentatives d’accès à un compte | |
Gérer les habilitations | Définir des profils d’habilitation |
Supprimer les permissions d’accès obsolètes |
Réaliser une revue annuelle des habilitations | |
Tracer les accès et gérer les incidents | Prévoir un système de journalisation |
Informer les utilisateurs de la mise en place du système de journalisation | |
Protéger les équipements de journalisation et les informations journalisées | |
Prévoir les procédures pour les notifications de violation de données à caractère personnel | |
Sécuriser les postes de travail | Prévoir une procédure de verrouillage automatique de session |
Utiliser des antivirus régulièrement mis à jour | |
Installer un « pare-feu » (firewall) logiciel | |
Recueillir l’accord de l’utilisateur avant toute intervention sur son poste | |
Sécuriser l’informatique mobile | Prévoir des moyens de chiffrement des équipements mobiles |
Faire des sauvegardes ou des synchronisations régulières des données | |
Exiger un secret pour le déverrouillage des smartphones | |
Protéger le réseau informatique interne | Limiter les flux réseau au strict nécessaire |
Sécuriser les accès distants des appareils informatiques nomades par VPN | |
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi | |
Sécuriser les serveurs | Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées |
Installer sans délai les mises à jour critiques | |
Assurer une disponibilité des données | |
Sécuriser les sites web | Utiliser le protocole TLS et vérifier sa mise en œuvre |
Vérifier qu’aucun mot de passe ou identifiant ne passe dans les url | |
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu | |
Mettre un bandeau de consentement pour les cookies non nécessaires au service | |
Sauvegarder et prévoir la continuité d’activité | Effectuer des sauvegardes régulières |
Stocker les supports de sauvegarde dans un endroit sûr | |
Prévoir des moyens de sécurité pour le convoyage des sauvegardes | |
Prévoir et tester régulièrement la continuité d’activité | |
Archiver de manière sécurisée |
Mettre en œuvre des modalités d’accès spécifiques aux données archivées |
Détruire les archives obsolètes de manière sécurisée | |
Encadrer la maintenance et la des- truction des données | Enregistrer les interventions de maintenance dans une main courante |
Encadrer par un responsable de l’organisme les interventions par des tiers | |
Effacer les données de tout matériel avant sa mise au rebut | |
Gérer la sous-traitance | Les relations avec les prestataires qui traitent des données au nom et pour le compte du responsable de traitement (l’organisme employeur) doivent faire l’objet d’un accord écrit. Cet accord doit contenir une ou des clauses spécifiques relatives aux obligations respectives des parties résultant du traitement des données à caractère personnel. L’accord doit notamment prévoir les conditions de restitution et de destruction des données. Il incombe au responsable de traitement de s’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.). Pour plus de précisions, vous pouvez vous reporter au guide de la sous-traitance et aux exemples des clauses de sous- traitance. |
Sécuriser les échanges avec d’autres organismes | Chiffrer les données avant leur envoi |
S’assurer qu’il s’agit du bon destinataire | |
Transmettre le secret lors d’un envoi distinct et via un canal différent | |
Protéger les locaux | Restreindre les accès aux locaux au moyen de portes verrouillées |
Installer des alarmes anti-intrusion et les vérifier périodiquement | |
Encadrer les développements infor- matiques | Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux |
Encadrer de manière stricte les zones de commentaires libres | |
Tester sur des données fictives ou anonymisées | |
Utiliser des fonctions cryptographi- ques | Utiliser des algorithmes, des logiciels et des bibliothèques reconnus |
Conserver les secrets et les clés cryptographiques de manière sécurisée |
11.Analyse d’impact relative à la protection des données (AIPD)
En application des dispositions de l’article 35 du RGPD, le responsable de traitement pourrait avoir à réaliser une analyse d’impact dès lors que le traitement qu’il met en œuvre est susceptible de présenter un risque élevé pour les droits et les libertés des personnes concernées.Types d’opérations de traitement | Exemples |
---|---|
Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. | Les traitements permettant :
|
Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques, en dehors de tout dispositif biométrique. A l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel. |
Les traitements ayant pour finalité :
|
Types d’opérations de traitement | Exemples |
---|---|
Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines | Les traitements ayant pour finalité :
|
Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés | Les traitements ayant pour finalité :
|
Pour réaliser une étude d’impact, le responsable de traitement pourra se reporter:
|
Conformément à l’article 36 du RGPD, le responsable de traitement doit consulter la CNIL préalablement à la mise en œuvre du traitement si l’analyse d’impact indique qu’il ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau accept.
Source Légifrance