RGPD : les analyses d’impact concernant les traitements de données RH régulièrement mis en œuvre avant l’application du RGPD doivent être réalisées avant le 25 mai 2021
9 avril 2021
Le Règlement général sur la protection des données (RGPD) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, visant à créer un cadre renforcé et harmonisé de la protection des données est applicable depuis le 25 mai 2018.
Depuis cette date, les employeurs, en qualité de responsables de traitements, n’ont plus à déclarer la plupart des traitements de données personnelles qu’ils réalisent auprès de la Commission nationale de l’informatique et des libertés (CNIL) avant de procéder à leur mise en œuvre.
En revanche et en application de l’article 35 du RGPD, les responsables de traitements doivent notamment conduire une analyse d’impact relative à la protection des données (AIPD) préalablement à la mise en œuvre de tout traitement de données personnelles « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
S’agissant plus particulièrement des traitements régulièrement mis en œuvre avant l’application du RGPD – c’est à dire les traitements en conformité avec le droit antérieur ayant fait l’objet d’une déclaration préalable à la CNIL, d’une autorisation préalable ou qui ont été consignés au registre d’un correspondant informatique et libertés, une délibération de la CNIL du 11 octobre 2018 (n° 2018-326) a accordé aux responsables de traitements un délai de trois ans pour réaliser l’analyse d’impact de ces traitements.
A compter du 25 mai 2021, tout traitement de données pouvant présenter un risque élevé pour les droits et libertés des personnes concernées régulièrement mis en œuvre avant l’application du RGPD devra donc être régularisé et avoir fait l’objet d’une analyse d’impact sous peine de sanctions.
Focus sur les obligations de l’employeur, responsable de traitements, concernant la mise en œuvre d’un traitement de données.
Information des salariés et consultation préalable du CSE sur la mise en œuvre de tout traitement de données
Tout salarié dont les données font l’objet d’un traitement doit être informé selon les modalités des articles 13 et 14 du RGPD. Conformément à l’article 12 du RGPD, cette information doit être effectuée de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » par tout moyen permettant au responsable de traitements de se ménager la preuve de cette information.
Le traitement envisagé doit également donner lieu à une consultation préalable du comité social et économique (CSE) lorsqu’il s’inscrit dans le cadre du recrutement, de la gestion du personnel ou aux fins de contrôle de l’activité des salariés, afin qu’il évalue la pertinence ainsi que la proportionnalité du dispositif envisagé (C. trav., art. L.2312-38).
Traitement « à risque » devant faire l’objet d’une analyse d’impact
Si tous les traitements de données personnelles doivent depuis le 25 mai 2018 être réalisés conformément au RGPD et au droit national applicable (accès aux données, tenue d’un registre de traitement des données, transfert des données, etc.), seuls certains d’entre eux doivent faire l’objet d’AIPD.
L’article 35.1 du RGPD impose en effet la réalisation d’une AIPD pour tout traitement de données « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » et identifie, sans que cette liste soit limitative, trois catégories de traitements susceptibles d’être concernées :
-
- les traitements ayant pour finalité l’évaluation systématique et approfondie d’aspects personnels concernant les personnes physiques ;
-
- les traitements impliquant la surveillance systématique à grande échelle d’une zone accessible au public ;
-
- le traitement de certaines données à caractère personnel sensibles ou relatives à des condamnations pénales et à des infractions.
Au-delà de ces traitements, le comité européen à la protection des données (CEPD) a établi une liste de neuf critères permettant de déterminer les traitements devant faire l’objet d’une AIPD. Enfin, la CNIL a précisé les situations devant donner lieu à une AIPD et établit une liste des traitements concernés.
Opérations de traitement remplissant deux des critères fixés par le CEPD et nécessitant une AIPD
Doivent faire l’objet d’une AIPD, les opérations de traitements de données de salariés remplissant deux des neuf critères fixés par le CEPD pour identifier les traitements « susceptibles d’engendrer un risque élevé » :
-
-
- évaluation ou notation (pratique dite de « scoring »), incluant le profilage ;
-
-
-
- prise de décision automatisée avec un effet juridique ou similaire significatif ;
-
-
-
- surveillance systématisée ;
-
-
-
- données « sensibles » ou à caractère hautement personnel ;
-
-
-
- données traitées à grande échelle ;
-
-
-
- croisement ou combinaison d’ensembles de données ;
-
-
-
- données concernant des personnes vulnérables ;
-
-
-
- utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
-
-
-
- traitement pouvant exclure du bénéfice d’un droit ou d’un contrat.
-
Si la CNIL a confirmé que le cumul de deux de ces critères rendait obligatoire la mise en œuvre d’une AIPD, elle a également précisé que :
-
-
- lorsque le traitement ne présente pas de risque élevé, bien que deux critères soient remplis, le responsable du traitement peut se dispenser d’effectuer une AIPD à condition d’expliquer et de documenter sa décision ;
-
-
-
- lorsque le traitement présente un risque élevé bien qu’un seul critère soit rempli, le responsable du traitement doit effectuer une AIPD (Délibération n° 2018-326 du 11 octobre 2018).
-
Opérations de traitement nécessitant une AIPD identifiées par la CNIL
La CNIL, faisant usage de la marge de manœuvre laissée par le RGPD (RGPD, art. 35.4 et 35.5 ) aux autorités de contrôle, a fixé une liste de 14 opérations de traitements devant faire l’objet d’une AIPD.
S’agissant spécifiquement des ressources humaines, la CNIL identifie trois types de traitements soumis ainsi à une analyse d’impact :
-
-
- les traitements servant à établir des profils de personnes physiques aux fins de gestion des ressources humaines (traitements de détection et gestion de hauts potentiels ; liés au recrutement ou visant à proposer des actions de formation personnalisées grâce à un algorithme ; ou encore visant à détecter et prévenir les départs de salariés) ;
-
-
-
- les données récoltées dans le cadre de la surveillance des salariés (analyse de courriels, vidéosurveillance, ou chronotachygraphe des véhicules de transport routier) ;
-
-
-
- les traitements ayant pour finalité la gestion des alertes et signalements en matière professionnelle.
-
La CNIL a par ailleurs précisé que, dans le domaine des ressources humaines, ne nécessitent pas d’AIPD, les traitements de données :
-
-
- servant uniquement à la mise en œuvre de la gestion des ressources humaines dans les entreprises de moins de 250 personnes et à l’exception du profilage ;
-
-
-
- pour la gestion des comités d’entreprise et de leurs établissements ;
-
-
-
- ayant pour seule finalité le contrôle d’accès et des horaires de calcul du temps de travail, à l’exception des accès garantis grâce à des relevés biométriques ;
-
-
-
- relatifs aux éthylotests encadrés par les dispositions légales et visant uniquement à empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants (délibération du 12 septembre 2019 n°2019-118).
-
Mise en œuvre de l’analyse d’impact relative à la protection des données
L’AIPD est, par principe, réalisée avant la mise en œuvre du traitement des données concernées et doit être mise à jour de manière régulière au gré des évolutions des modalités de traitement. Elle peut par ailleurs porter sur un ou plusieurs traitements similaires (RGPD, art. 35.1).
En pratique, la CNIL a décomposé en quatre parties le contenu de l’AIPD prévu par l’article 35.7 RGPD. Celle-ci doit, a minima, indiquer :
-
-
- une description technique détaillée du traitement mis en œuvre et de ses finalités ;
-
-
-
- une évaluation juridique portant sur le caractère nécessaire et proportionnel des opérations de traitement au regard de leurs finalités ;
-
-
-
- une étude pratique des risques de sécurité pour les droits et libertés des personnes concernées ;
-
-
-
- les mesures envisagées pour faire face à ces risques.
-
Les traitements de données qui, à l’issue de l’analyse d’impact, révèleraient des risques résiduels particuliers pour la vie privée des salariés doivent faire l’objet d’une déclaration à la CNIL avant leur mise en œuvre (RGPD, art. 36.1).
Contrôles et sanctions
La réalisation d’une AIPD est obligatoire pour les traitements mis en œuvre postérieurement à l’application du RGPD, soit après le 25 mai 2018 et qui sont « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques« . Elle est également obligatoire pour tous les traitements de données mis en œuvre avant cette date sur le fondement du droit antérieur et qui présentent de tels risques.
Dès lors, tous les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, quand bien même ils auraient été déclarés régulièrement par le passé à la CNIL, devront, au 25 mai 2021, avoir été soumis à une analyse d’impact.
A compter de cette date, il est vraisemblable qu’il soit procédé à une intensification des contrôles dans les entreprises.
Les entreprises doivent donc être vigilantes d’autant que les sanctions encourues en cas de non-conformité peuvent être particulièrement lourdes notamment lorsqu’il s’agit de traitements présentant un certain risque pour les droits et libertés des personnes concernées.
Les amendes administratives susceptibles d’être prononcées par l’autorité de contrôle concernant ces manquements peuvent s’élever à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant alors retenu (RGPD, art. 83.4).
A lire également
Les données personnelles sont-elles solubles dans la Blockchain?... 2 novembre 2018 | CMS FL
Les référents dans l’entreprise : de nouveaux interlocuteurs à ne pas négl... 23 mai 2019 | CMS FL
Où en est le projet de règlement ePrivacy ?... 6 novembre 2017 | CMS FL
Données économiques : l’obligation de diffuser... 19 mai 2020 | Pascaline Neymond
Défaut de sécurité de données clients : sanction de 50 000 € à l’en... 22 février 2016 | CMS FL
Recruteurs : la CNIL publie un guide afin de se mettre en conformité avec le RG... 31 janvier 2023 | Pascaline Neymond
Droit du travail et règlementation sur la protection des données : des relatio... 29 avril 2021 | Pascaline Neymond
Travailleurs des plateformes : Modalités de réception et de transfert des donn... 19 juillet 2021 | Pascaline Neymond
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente