RGPD : Quand faut-il réaliser une analyse d'impact ?

Depuis mai 2018, la collecte des données personnelles relatives aux salariés est encadrée par le Règlement général de protection des données (RGPD), adopté au sein de l'Union européenne. Ce texte prévoit notamment qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée lorsqu'un traitement de données est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées".

Afin d'identifier ces traitements, le règlement impose que chaque Etat publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact est requise. En France, c'est chose faite depuis hier, puisque deux délibérations de la Commission nationale informatique et libertés (Cnil) ont été rendues en ce sens.

L'une de ces délibérations Cnil liste les 14 types d'opérations de traitement pour lesquelles une analyse d'impact est requise. Ces opérations sont considérées comme "à risque" car elle cumulent au moins deux critères définis comme risqués par le Comité européen à la protection des données (CEPD) (voir encadré). La liste sera révisée régulièrement par la Cnil.

Au sein de cette liste, on trouve trois types de traitement de données "à risque" qui concernent les services de ressources humaines. Tout d'abord, les traitements "établissant des profils de personnes physiques à des fins de gestion des ressources humaines". La Cnil donne plusieurs exemples : traitements de détection et de gestion de "hauts potentiels", traitements visant à faciliter le recrutement notamment grâce à un algorithme de sélection, traitements visant à proposer des actions de formation personnalisées grâce à un algorithme, traitements visant à détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.

La deuxième catégorie concerne les traitements "ayant pour finalité de surveiller de manière constante l'activité des employés concernés". Ceci concerne, selon la Cnil, les dispositifs de vidéosurveillance constante (par exemple pour les salariés manipulant de l'argent ou ceux travaillant dans des entrepôts filmés), mais aussi d'autres dispositifs de surveillance comme l'analyse des courriels sortants (notamment afin de détecter des fuites d'informations) ou les chronotachygraphes des véhicules de transport routier

Enfin, sont considérés comme "à risque" les traitements "ayant pour finalité la gestion des alertes et des signalements en matière professionnelle". La Cnil cite en exemple les procédures internes de recueil des signalements des lanceurs d'alerte (trafic d'influence, corruption, devoir de vigilance).

La liste a un caractère non-exhaustif, précise la Cnil. L'employeur peut décider de lui-même de procéder à une analyse d'impact, comme l'explique la seconde délibération Cnil, qui donne les lignes directrices concernant les AIPD.

Lorsque le responsable de traitement - ici l'employeur  - considère que son traitement peut présenter un risque élevé pour les droits et libertés des personnes physiques, il devra réaliser une étude d'impact. C'est notamment le cas s'il considère que son traitement remplit au moins deux des critères de risque identifiés par le CEPD (voir encadré). En cas de doute, la Cnil recommande tout de même la réalisation d'une AIPD.

La Commission annonce qu'elle publiera une liste des traitements "qui, en tout état de cause, ne présentent pas de risque élevé et ne sont donc pas soumis à la réalisation d'une AIPD".

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

L’appel expert répond aux questions juridiques des professionnels RH

Je télécharge gratuitement