Le 15 Avril 2020, la CNIL (Commission nationale de l’informatique et des libertés) a publié un référentiel relatif à la gestion des ressources humaines, en particulier aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel.
Ce référentiel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique, et encadre la mise en œuvre de leurs traitements courants de « gestion du personnel ».
Il correspond à un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel (RGPD).
Ce règlement s’inscrit dans une logique de responsabilisation des acteurs, responsables de la conformité des données traitées et conservées auprès de l’autorité de régulation.
Ce traitement peut être mis en oeuvre pour des finalités telles que le recrutement, la gestion administrative des personnels, la gestion des rémunérations, l’organisation du travail, la mise à disposition du personnel d’outils professionnels, la formation…
La CNIL a ainsi publié ce référentiel dans une volonté d’aide aux employeurs, constituant ainsi un cadre de référence permettant aux organismes d’être en conformité avec leurs obligations relatives à la gestion des données personnelles en matière de gestion des ressources humaines.
Quelles sont les données concernées ?
Depuis l’entrée en vigueur du RGPD, le principe de minimisation des données personnelles traitées doit être appliqué. Cela signifie qu’il ne faut collecter que les données pertinentes et strictement nécessaires au regard des besoins propres de l’organisme.
Il peut s’agir dès lors d’informations relatives à l’identification de l’employé, à l’évaluation de ses compétences au moment du recrutement, au suivi de sa carrière, à l’établissement de sa fiche de paie, aux situations particulières ouvrant le droit aux congés spéciaux…
Combien de temps ces données peuvent-elles être conservées ?
Ces données ne doivent être conservées que le temps strictement nécessaire à la réalisation des finalités poursuivies. C’est donc au regard de la finalité que la durée de conservation sera déterminée (art 5-1-e du RGPD).
Cependant, ce référentiel n’est pas contraignant. Les organismes peuvent s’en écarter à condition de justifier de leurs choix.
Par Eva Roxane Khabié-Zeitouné pour ATurquoise
Sources : Lamyline ; Légifrance
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000041798580&categorieLien=id
Comments are closed.