NOTA BENE #15 \ RGPD ET TRAITEMENT DE DONNÉES RH : POUVEZ-VOUS ÉCHAPPER A L’ANALYSE D’IMPACT ?

PUBLICATION PAR LA CNIL DE LA LISTE DES TYPES D’OPÉRATIONS DE TRAITEMENT NE NÉCESSITANT PAS D’ANALYSE D’IMPACT RELATIVE A LA PROTECTION DES DONNÉES (AIPD)

L’analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Usant de la possibilité laissée par le Règlement Général sur la Protection des Données (RGPD), la CNIL vient de publier la liste des types d’opérations de traitement pour lesquelles l’AIDP n’est pas requise. Certains concernent directement les ressources humaines.

Ainsi, l’analyse d’impact n’est pas requise pour les traitements :

\ mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. Sont ainsi concernés, pour les seules entreprises de moins de 250 salariés, les traitements permettant, par exemple, la gestion de la paie, des formations, des remboursements des frais professionnels, du suivi des entretiens annuels d’évaluation, la tenue des registres obligatoires, l’utilisation des outils de communication sans recours au profilage ou à la biométrie.

\ destinés à la gestion des activités des Comités d’entreprise et d’établissement, à savoir, par exemple, les traitements permettant de gérer la formation des élus, les agendas et réunions, les programmes socio-culturels.

\ mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique (à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel) tels que les dispositifs d’entrée par badge dans les locaux à des fins de sécurité ou de contrôle du temps de travail.

\ relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants (dispositif « anti-démarrage » dans des camions de transport).

Si ces traitements sont dispensés de l’AIDP, leur responsable reste tenu aux autres obligations prévues par le RGPD.

Ces traitements doivent donc, en tout état de cause, répondre aux principes fondamentaux du RGPD (licéité, loyauté, transparence, finalité déterminée, explicite et légitime, minimisation des données, limitation de conservation, intégrité, confidentialité et exactitude des données) et être intégrés dans le registre des activités de traitement.