Une délibération de la Cnil (commission informatique et libertés) liste les traitements de données personnelles qui ne nécessitent pas de réaliser au préalable une analyse d’impact. Elle vise notamment les activités du CSE. Côté entreprise, sont visés les traitements de données RH dans les PME, ceux qui gèrent les contrôles d’accès, le temps de travail ainsi que ceux qui mettent en place des éthylotests.

On connaît déjà les situations dans lesquelles les entreprises doivent obligatoirement réaliser une analyse d’impact relative à la protection des données (AIPD). Il y a presque un an, le 6 novembre 2018, deux délibérations de la Commission nationale informatique et libertés (Cnil) listaient 14 traitements de données « à risques » nécessitant une analyse préalable. Trois d’entre eux peuvent potentiellement concerner les services de ressources humaines : les traitements « établissant des profils de personnes physiques à des fins de gestion des ressources humaines », ceux « ayant pour finalité de surveiller de manière constante l’activité des employés concernés » ainsi que ceux « ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ».

Désormais, on sait également quelles situations ne nécessitent pas d’analyse d’impact (*). Le 22 octobre 2019, la Cnil a de nouveau adopté une délibération. Cette fois, elle dresse la liste des traitements de données qui ne sont pas « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées » conformément au Règlement général relatif à la protection des données (RGPD).

Les activités des représentants du personnel

En premier lieu, parmi les traitements non-concernés par l’obligation d’analyse d’impact, la Cnil vise la gestion des activités des comités d’entreprise et d’établissement (et partant du CSE). Cette catégorie couvre par exemple les traitements qui gèrent les programmes socio-culturels de l’entreprise ou la communication interne, ceux qui encadrent la formation des élus, qui gèrent les agendas et réunions ou bien simplement le fichier de gestion des membres. De même, l’exercice du droit d’alerte réservé aux membres de la délégation du personnel au comité social et économique (article L. 2312-59 du code du travail) ne nécessite pas d’analyse d’impact, précise la Cnil.

Une souplesse réservée aux PME

S’agissant des entreprises, lorsque le traitement envisagé est réservé uniquement à des fins de ressources humaines, l’analyse d’impact n’est pas nécessaire. La Cnil cite en exemple, dans un document proposé sur son site internet, la gestion de la paie, des formations, le suivi des entretiens annuels d’évaluation ou encore l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences…).

Mais attention, le texte vise uniquement la gestion du personnel des organismes qui emploient moins de 250 personnes. Dès lors que le traitement implique la gestion des données de plus de 250 salariés, l’analyse d’impact est donc requise.

La Cnil rappelle que le recours au profilage (détection et de gestion de « hauts potentiels », algorithme de recrutement, proposition d’actions de formation personnalisées basées sur un algorithme…) est exclu de cette liste, et nécessite bien une analyse préalable.

Exemption pour le contrôle du temps de travail

Les traitements ayant pour seule finalité la gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail ne requièrent pas non plus d’analyse d’impact. Cela concerne en particulier les dispositifs d’accès aux locaux de travail par badge, ainsi que ceux qui permettent de contrôler le temps de travail effectué par les salariés. 

Toutefois, les employeurs devront tout de même prévoir une analyse d’impact lorsque le traitement de données envisagé révèle « des données sensibles ou à caractère hautement personnel ».

Elle écarte également de cette catégorie les dispositifs intégrant la biométrie : accès aux locaux sur présentation des empreintes digitales, de l’iris, du gabarit de la main, etc. De manière générale, la Cnil considère que tout traitement de données impliquant le traitement des données biométriques des personnes requerra une analyse d’impact. La Commission a d’ailleurs adopté en janvier 2019 une délibération qui encadre spécifiquement ce type de traitement considéré comme particulièrement risqué pour les droits et libertés individuelles.

Ethylotests

Une autre catégorie peut concerner certains services RH du secteur du transport notamment. Il s’agit de celle des traitements ayant pour finalité la mise en place d’éthylotests « antidémarrage » dans les véhicules de transport dans le cadre de la prévention de l’usage d’alcool ou de stupéfiants au volant. Ces traitements ne nécessiteront pas non plus que l’entreprise réalise une analyse d’impact, sous réserve que l’usage de ce dispositif soit strictement encadré par un texte (en pratique, le règlement intérieur de l’entreprise). 

Cette liste ne prive pas les employeurs du droit de réaliser quand même une analyse d’impact pour les traitements de données concernés. Elle n’est pas exhaustive, précise la Cnil, car certains traitements non-listés peuvent ne pas nécessiter une analyse d’impact s’ils ne présentent pas de risque élevé pour les droits et libertés des personnes physiques. Une infographie disponible en ligne sur le site de la Cnil récapitule les bonnes questions à se poser afin de déterminer si la situation requiert une analyse d’impact. Les employeurs devront également garder en tête qu’ils restent soumis, quoi qu’il arrive, à l’ensemble des autres obligations qui leur incombent en application du RGPD et de la loi Informatique et libertés concernant la sécurité des données traitées.

(*) L’article 35.1 du Règlement général relatif à la protection des données (RGPD) prévoit qu’une analyse d’impact relative à la protection des données (AIPD, voir ici sur le site de la Cnil) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Source – Actuel CE