logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
Comment mener une étude d’impact des données personnelles dans la sphère des ressources humaines ?

xx Actualité sociale xx


RGPD

Comment mener une étude d’impact des données personnelles dans la sphère des ressources humaines ?

Entré en vigueur le 25 mai 2018, le RGPD prévoit qu’une analyse d’impact doit être conduite par l’employeur dès lors qu’un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». La déclaration à la CNIL est, quant à elle, supprimée.

06/12/2018 Semaine Sociale Lamy, n°1840

Deux délibérations rendues par la CNIL, le 11 octobre 2018, concernant les analyses d’impact relatives à la protection des données (AIPD), ont récemment été publiées au Journal officiel (Délib. nos 2018-326 et 2018-327, JO 6 nov. 2018).

Le Règlement général sur la protection des données (RGPD1), entré en vigueur le 25 mai 2018, prévoit la suppression de la majorité des formalités préalables pour les employeurs, ce qui signifie que ces derniers n’ont plus besoin de déclarer leurs fichiers de données personnelles auprès de la CNIL avant de procéder à leur mise en place.

Cependant, en contrepartie de cet allégement des formalités administratives, les employeurs sont responsables de leur conformité au RGPD. Or, ce dernier prévoit dans son article 35 qu’une AIPD doit être conduite dès lors qu’un traitement de données personnelles est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». La CNIL précise qu’il existe un risque sur la vie privée dès lors qu’un scénario décrit :
• « Un évènement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
• Toutes les menaces qui permettraient qu’il survienne. »
L’AIPD constitue ainsi le préliminaire indispensable à la mise en place de certains traitements de données personnelles amenant les responsables de traitement à définir les garanties à mettre en œuvre pour assurer, d’une part, la construction de traitements respectueux de la vie privée et, d’autre part, leur conformité au RGPD.

1 Quelles sont les catégories de traitement visées par les AIPD ?
L’article 35 du RGPD prévoit que sont « en particulier » visées les trois catégories de traitement suivantes :
• « L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
• Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 12 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ou ;
• La surveillance systématique à grande échelle d’une zone accessible au public. »
La rédaction de l’article laisse entendre que cette liste n’est volontairement pas exhaustive, de sorte que d’autres catégories de traitements pourraient présenter un risque élevé pour les droits et libertés des personnes physiques et ainsi devraient donner lieu à une AIPD.

Dans ce contexte, le G293, actant de ce que la liste fixée par l’article 35 du RGPD n’était pas exhaustive, a, le 4 octobre 2017, dressé une liste de neuf critères permettant de déterminer les opérations de traitement qui nécessitent une AIPD :
– données traitées à grande échelle ;
– données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
– données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
– croisement ou combinaison de données ;
– évaluation/scoring (y compris le profilage) ;
– prise de décision automatisée avec un effet juridique ou similaire ;
– surveillance systématique de personnes ;
– traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat ;
– utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

Dans le cadre de sa première délibération du 11 octobre 2018 (n° 2018-326), la CNIL a confirmé que le cumul de deux de ces critères rendait obligatoire la mise en œuvre d’une AIPD.

La CNIL a toutefois précisé que si le responsable de traitement estimait que :
– bien que deux critères sur les neuf soient remplis, le traitement ne présentait pas de risque élevé, il pouvait se dispenser d’effectuer une AIPD, à condition d’« expliquer et [de] documenter sa décision, en incluant s’il a été désigné l’avis du Délégué à la protection des données » ;
– ou, le traitement présentait à l’inverse un risque élevé, il devait réaliser une AIPD bien que le traitement ne remplisse qu’un seul des critères précités.

La CNIL a ajouté qu’en cas de doute sur l’existence d’un risque élevé présenté par le traitement des données, une AIPD devait être réalisée.

Par ailleurs, conformément à l’article 35 du RGPD qui précise que chaque autorité de contrôle (la CNIL en France) peut établir et publier une liste des opérations de traitement pour lesquelles une AIPD est requise, la CNIL a établi, dans le cadre de sa seconde délibération du 11 octobre 2018 (n° 2018-327), une liste des différentes opérations de traitement pour lesquelles une AIPD est requise.

Cette liste comporte 14 types d’opérations de traitement. La CNIL précise toutefois que cette liste pourra faire l’objet de révisions « selon son appréciation des risques élevés que peuvent présenter certains traitements ».

S’agissant plus spécifiquement des ressources humaines, la CNIL identifie trois types de traitements :
– les traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
– les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
– les traitements ayant pour objet la gestion des alertes et des signalements en matière professionnelle.

À titre d’exemple, la vidéosurveillance d’employés, l’installation de chronotachygraphes sur des véhicules de transport routier, les dispositifs de recueil d’alertes professionnelles ou encore les traitements visant à faciliter le recrutement, notamment grâce à un algorithme de sélection, devront obligatoirement faire l’objet d’une AIPD.
D’autres traitements visés par la délibération du 11 octobre 2018, en raison de la généralité de leur description, pourraient également concerner le domaine de la gestion du personnel :
– traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.). Bien que les salariés soient expressément visés par la CNIL dans un tel cas, le recueil de données génétiques dans la sphère des ressources humaines est quelque peu surprenant et est de nature à se heurter au principe de proportionnalité visé par l’article L. 1121-1 du Code du travail ;
– traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
– traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.).

Enfin, la CNIL a précisé qu’elle établirait une liste des traitements qui ne doivent pas être précédés d’une AIPD, ainsi qu’elle y est autorisée par l’article 35 du RGPD, et qui concernera les traitements ne présentant pas de risque élevé.

De même, la CNIL a indiqué que ne nécessitaient pas d’AIPD :
– tous les traitements répondant au respect d’une obligation légale ;
– ou nécessaires à l’exercice d’une mission de service public (sous réserve que certaines conditions tenant à l’existence de dispositions légales réglementant le traitement concerné soient respectées) ;
– ou encore les traitements dont la nature, la portée, le contexte et les finalités sont très similaires à un traitement pour lequel une AIPD a déjà été menée ;
– ou, enfin, ne présentant pas un risque élevé.

La publication de ces délibérations peut enfin poser la question du sort des traitements régulièrement4 mis en œuvre avant l’entrée en vigueur du RGPD.

Cette difficulté est réglée par l’existence pour ces traitements d’une dispense d’AIPD pour une période de trois ans (sous réserve que les traitements concernés n’aient pas été modifiés de manière substantielle depuis leur mise en œuvre). Ainsi, dès lors qu’un employeur a, par exemple, déclaré à la CNIL un traitement conforme à l’AU-004 relative à l’autorisation unique en matière d’alertes professionnelles le 24 mai 2018, il est en principe dispensé de toute AIPD jusqu’au 24 mai 2021... Pour lire l'intégralité du FORUM, souscrivez à une formule abonnement


Notes
1. Règl. UE 2016/679, 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2. Données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, données concernant la santé ou données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
3. Organisation réunissant l’ensemble des autorités de contrôles européennes remplacée en 2018 par le Comité européen de la protection des données (CEPD).
4. C’est-à-dire ayant fait l’objet d’une formalité auprès de la CNIL ou ayant été dispensé d’une telle formalité, ou ayant été autorisé par un acte réglementaire, ou encore ayant été enregistrés dans le registre d’un Correspondant Informatique et Libertés (CIL).

Cécile Martin, Avocat à la Cour, associée, Managing Partner, avec le concours de Karin Dulac, Counsel et Pierre-Alexis Quéré, Juriste, Cabinet Ogletree Deakins

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »