Les traitements RH de données personnelles qui ne nécessitent pas d’analyse d’impact sont listés

Actualité sociale : Rupture conventionnelle

La Cnil liste les opérations de traitement des données personnelles pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Certaines d’entre elles concernent les entreprises dans le cadre du traitement des données personnelles des salariés. Par une délibération adoptée le 12 septembre 2019 et publiée le 22 octobre, la Cnil dresse une liste des opérations de traitements de données personnelles pour lesquelles une analyse d’impact n’est pas nécessaire en application du Règlement général relatif à la protection des données (RGPD).

 

A la lecture de cette liste, les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d’impact sont les suivants :

  • les traitements, mis en œuvre uniquement à des fins de ressources humaines  et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes , à l’exception du recours au profilage ;
  • les traitements destinés à la gestion des comités d’entreprise  et d’établissement (y compris, à notre sens, ceux destinés à la gestion des comités sociaux et économiques) ;
  • les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physique et des horaires pour le calcul du temps de travail , en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
  • les traitements relatifs aux éthylotests , strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Si la présence d’une opération de traitement sur cette liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978, notamment celles énoncées à l’article 32 du RGPD en matière de sécurité du traitement.

A noter : Pour rappel, la Cnil avait précédemment adopté une liste, non exhaustive, des traitements à risques nécessitant une analyse d’impact (Délib. Cnil 2018-327 du 11-10-2018 modifiée par délib. 2019-011 du 31-1-2019. Dans le domaine des ressources humaines, sont visés en particulier les traitements suivants :

  • les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
  • les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.