Les traitements RH de données personnelles qui ne nécessitent pas d’analyse d’impact sont listés

La Cnil liste les opérations de traitement des données personnelles pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise. Certaines d’entre elles concernent les entreprises dans le cadre du traitement des données personnelles des salariés. 

Par une délibération du 12 septembre 2019, la CNIL dresse une liste des opérations de traitements de données personnelles pour lesquelles une analyse d’impact n’est pas nécessaire en application du Règlement général relatif à la protection des données.Les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d’impact sont les suivants :

– les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;

– les traitements destinés à la gestion des comités d’entreprise et d’établissement (y compris ceux destinés à la gestion des comités sociaux et économiques) ;

– les traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;

– les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

Si la présence d’une opération de traitement sur cette liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978, notamment celles énoncées à l’article 32 du RGPD en matière de sécurité du traitement.

A noter : Pour rappel, la Cnil avait précédemment adopté une liste, non exhaustive, des traitements à risques nécessitant une analyse d’impact (Délib. Cnil 2018-327 du 11-10-2018 modifié par délib. 2019-011 du 31-1-2019). Dans le domaine des ressources humaines, sont visés en particulier les traitements suivants :

– les traitements établissant ds profils de personnes physiques à des fins de gestion des ressources humaines ;

– les traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;

– les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Pour en savoir plus : Délib. Cnil 2019-118 du 12-9-2019 : JO 22-10

https://www.efl.fr/actualites/social/controle-conflits-du-travail/details.html?ref=f3382b7db-6fc1-49c6-a2d6-5042d1b64583&eflNetwaveEmail

Alertes professionnelles : modification de la délibération de la CNIL

---

La CNIL a modifié l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles pour prendre en compte les dispositions  de la loi Sapin II relative à la transparence et à la lutte contre la corruption : délibération, publiée au Journal Officiel le 26 août 2017 .

Face au développement des dispositifs d’alertes professionnelles et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004).

La loi « Sapin II » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a institué un régime commun de l’alerte en formalisant  la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

En conséquence, la CNIL a procédé à une actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles dans l’objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre..

1. FONDEMENT LÉGAL DE L’AUTORISATION UNIQUE: LA COMMISSION A PRÉCISÉ QUE DANS LA MESURE OÙ CERTAINES DONNÉES RELATIVES NOTAMMENT À DES INFRACTIONS PEUVENT ÊTRE COLLECTÉES VIA CE DISPOSITIF, CELUI-CI EST SOUMIS À UNE DEMANDE D’AUTORISATION SUR LE FONDEMENT DE L’ARTICLE 25-I-3° DE LA LOI « INFORMATIQUE ET LIBERTÉS ».

2. CHAMP D’APPLICATION : DÉSORMAIS, LE PÉRIMÈTRE DE L’AU-004 A ÉTÉ ÉTENDU CAR IL COUVRE LES DISPOSITIFS D’ALERTES PROFESSIONNELLES PERMETTANT LE RECUEIL DE TOUT SIGNALEMENT OU RÉVÉLATION RÉALISÉS DE MANIÈRE DÉSINTÉRESSÉE ET DE BONNE FOI :

• d’un crime ou délit ;
• d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste de la loi ou du règlement ;
• d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
• relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
• relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale,  le secret médical et le secret des relations entre un avocat et son client.       Pour le traitement de ces alertes, une demande d’autorisation spécifique doit être adressée à la CNIL.

3. QUALITÉ DU LANCEUR D’ALERTE : DÉSORMAIS, UNE ALERTE PROFESSIONNELLE PEUT ÊTRE ÉMISE PAR UN MEMBRE DU PERSONNEL DE L’ORGANISME OU UN COLLABORATEUR EXTÉRIEUR ET OCCASIONNEL.

4. TRAITEMENT DE L’IDENTITÉ DU LANCEUR D’ALERTE: LES ÉLÉMENTS DE NATURE À IDENTIFIER L’ÉMETTEUR DE L’ALERTE NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’AVEC LE CONSENTEMENT DE LA PERSONNE.DE MÊME, LES ÉLÉMENTS DE NATURE À IDENTIFIER LA PERSONNE MISE EN CAUSE PAR UN SIGNALEMENT NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’UNE FOIS ÉTABLI LE CARACTÈRE FONDÉ DE L’ALERTE.

5. TRANSFERTS DE DONNÉES HORS DE L’UNION EUROPÉENNE: LA RÉFÉRENCE AU PRIVACY SHIELD SUBSTITUE DÉSORMAIS CELLE AU SAFE HARBOR.

6. DURÉES DE CONSERVATION DES DONNÉES : LORSQU’ UNE ALERTE EST CONSIDÉRÉE COMME N’ENTRANT PAS DANS LE CHAMP DU DISPOSITIF DÈS SON RECUEIL PAR LE RESPONSABLE DE TRAITEMENT, LES DONNÉES LA CONCERNANT DOIVENT IMMÉDIATEMENT ÊTRE SUPPRIMÉES OU ARCHIVÉES APRÈS ANONYMISATION.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.

7. INFORMATION DES PERSONNES:  L’INFORMATION DOIT ÊTRE DÉLIVRÉE À L’ENSEMBLE DES UTILISATEURS POTENTIELS DU DISPOSITIF, C’EST-À-DIRE AUX MEMBRES DU PERSONNEL MAIS ÉGALEMENT AUX COLLABORATEURS EXTÉRIEURS ET OCCASIONNELS.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

FORMALITÉ ACCOMPLIR : LES ORGANISMES QUI AURAIENT DÉJÀ ACCOMPLI DES FORMALITÉS N’ONT AUCUNE DÉMARCHE À EFFECTUER SUR CE POINT; ILS DEVRONT S’ASSURER DE RESPECTER LES NOUVELLES CONDITIONS POSÉES PAR LE TEXTE.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Pour en savoir plus :

> Autorisation unique AU-004 

> [rectificatif] Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositif 

---

La CNIL a modifié l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles pour prendre en compte les dispositions  de la loi Sapin II relative à la transparence et à la lutte contre la corruption : délibération, publiée au Journal Officiel le 26 août 2017 .

Face au développement des dispositifs d’alertes professionnelles et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004).

La loi « Sapin II » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a institué un régime commun de l’alerte en formalisant  la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

En conséquence, la CNIL a procédé à une actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles dans l’objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre..

1. FONDEMENT LÉGAL DE L’AUTORISATION UNIQUE: LA COMMISSION A PRÉCISÉ QUE DANS LA MESURE OÙ CERTAINES DONNÉES RELATIVES NOTAMMENT À DES INFRACTIONS PEUVENT ÊTRE COLLECTÉES VIA CE DISPOSITIF, CELUI-CI EST SOUMIS À UNE DEMANDE D’AUTORISATION SUR LE FONDEMENT DE L’ARTICLE 25-I-3° DE LA LOI « INFORMATIQUE ET LIBERTÉS ».

2. CHAMP D’APPLICATION : DÉSORMAIS, LE PÉRIMÈTRE DE L’AU-004 A ÉTÉ ÉTENDU CAR IL COUVRE LES DISPOSITIFS D’ALERTES PROFESSIONNELLES PERMETTANT LE RECUEIL DE TOUT SIGNALEMENT OU RÉVÉLATION RÉALISÉS DE MANIÈRE DÉSINTÉRESSÉE ET DE BONNE FOI :

• d’un crime ou délit ;
• d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste de la loi ou du règlement ;
• d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
• relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
• relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale,  le secret médical et le secret des relations entre un avocat et son client.       Pour le traitement de ces alertes, une demande d’autorisation spécifique doit être adressée à la CNIL.

3. QUALITÉ DU LANCEUR D’ALERTE : DÉSORMAIS, UNE ALERTE PROFESSIONNELLE PEUT ÊTRE ÉMISE PAR UN MEMBRE DU PERSONNEL DE L’ORGANISME OU UN COLLABORATEUR EXTÉRIEUR ET OCCASIONNEL.

4. TRAITEMENT DE L’IDENTITÉ DU LANCEUR D’ALERTE: LES ÉLÉMENTS DE NATURE À IDENTIFIER L’ÉMETTEUR DE L’ALERTE NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’AVEC LE CONSENTEMENT DE LA PERSONNE.DE MÊME, LES ÉLÉMENTS DE NATURE À IDENTIFIER LA PERSONNE MISE EN CAUSE PAR UN SIGNALEMENT NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’UNE FOIS ÉTABLI LE CARACTÈRE FONDÉ DE L’ALERTE.

5. TRANSFERTS DE DONNÉES HORS DE L’UNION EUROPÉENNE: LA RÉFÉRENCE AU PRIVACY SHIELD SUBSTITUE DÉSORMAIS CELLE AU SAFE HARBOR.

6. DURÉES DE CONSERVATION DES DONNÉES : LORSQU’ UNE ALERTE EST CONSIDÉRÉE COMME N’ENTRANT PAS DANS LE CHAMP DU DISPOSITIF DÈS SON RECUEIL PAR LE RESPONSABLE DE TRAITEMENT, LES DONNÉES LA CONCERNANT DOIVENT IMMÉDIATEMENT ÊTRE SUPPRIMÉES OU ARCHIVÉES APRÈS ANONYMISATION.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.

7. INFORMATION DES PERSONNES:  L’INFORMATION DOIT ÊTRE DÉLIVRÉE À L’ENSEMBLE DES UTILISATEURS POTENTIELS DU DISPOSITIF, C’EST-À-DIRE AUX MEMBRES DU PERSONNEL MAIS ÉGALEMENT AUX COLLABORATEURS EXTÉRIEURS ET OCCASIONNELS.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

FORMALITÉ ACCOMPLIR : LES ORGANISMES QUI AURAIENT DÉJÀ ACCOMPLI DES FORMALITÉS N’ONT AUCUNE DÉMARCHE À EFFECTUER SUR CE POINT; ILS DEVRONT S’ASSURER DE RESPECTER LES NOUVELLES CONDITIONS POSÉES PAR LE TEXTE.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Pour en savoir plus :

> Autorisation unique AU-004 

> [rectificatif] Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositif