CNIL : guide pour les recruteurs

En 2002, la CNIL avait publié une recommandation « relative à la collecte et au traitement d’informations nominatives lors d’opérations de recrutement » (délibération n° 02-017 du 21 mars 2002).

Aujourd’hui se fait jour un fort besoin des professionnels de disposer d’un accompagnement plus important et d’une actualisation de la position de la CNIL, dans un contexte où les nouvelles technologies sont exploitées au quotidien par les recruteurs dans leurs activités.

L’essor des nouvelles technologies a multiplié les canaux de recrutement (réseaux sociaux, publicité personnalisée, moteurs de recherche spécialisés, etc.) et les outils de communication utilisés (visioconférence, agents conversationnels ou chatbots, applications mobiles, etc.). Il a également entrainé la constitution de bases de données d’un volume important permettant l’utilisation de l’intelligence artificielle ou encore le recours à des outils pour évaluer le « savoir être » et prendre en compte les « soft skills » des candidats.

Au regard des risques considérables d’atteinte à la vie privée des candidats, il est essentiel que les recruteurs veillent à préserver leurs droits et libertés.

Dans ce contexte, la CNIL a élaboré un guide afin d’accompagner les recruteurs à se mettre en conformité autour :

• d’un rappel des fondamentaux en matière de réglementation sur la protection des données personnelles dans le domaine du recrutement (fiches n° 1 à 10) ;
• des questions-réponses sur l’utilisation des nouvelles technologies par les recruteurs et à des questions spécifiques telles que celles relatives à la discrimination (fiche n° 11 à 19).

Outil d’accompagnement, ce guide comprend un rappel de la réglementation et des éclairages sur les bonnes pratiques à déployer pour garantir une conformité au RGPD. Il est complété par des outils de synthèse, sous la forme de fiches pratiques :

• les cinq questions incontournables à se poser ;
• un questionnaire d’auto-évaluation au RGPD.

La CNIL accompagne également les candidats en proposant une fiche pratique dédiée : « Candidats à un processus de recrutement : adoptez les 4 bons réflexes pour protéger vos informations personnelles ».

Ces nouveaux contenus viennent enrichir les nombreuses ressources de la CNIL sur le travail et la gestion des ressources humaines.

Pour en savoir plus: Télécharger le guide

Guide référentiel – recrutement

[ PDF-1.35 Mo]

Suspension du contrat de travail et obligation vaccinale : Ordonnance de référé, CPH Colmar, 16 02 2022

Contexte : Une salariée, comptable au sein d’un EPHAD depuis 2006, soumise à l’obligation vaccinale, a saisi le Conseil de Prud’hommes  en référé,  pour faire annuler la suspension de son contrat de travail, d’ordonner la reprise de ses salaires et condamner l’employeur à des rappels de salaires durant la suspension de son contrat de travail.

La salariée, ne souhaitant pas se faire vacciner, avait sollicité une rupture conventionnelle qui lui a été refusée. Après un arrêt de travail pour maladie, le contrat de travail de la salariée a été suspendu .

Motivation de l’ordonnance de référé : Le Conseil de Prud’hommes de Colmar fonde sa décision sur

-l’article L1121-1 sur l’atteinte disproportionnée aux droits et libertés,

-l’article  L1132-1 du code du travail relatif à la discrimination,

-le règlement européen sur le RGPD  interdisant à l’employeur de collecter les données sur la santé de ses salariés,

-le secret médical

Le conseil se déclare compétent afin de mettre fin à un trouble manifestement illicite en justifiant sa décision au regard de la situation de l’espèce et notamment :

– une salariée  occupant un bureau avec un accès propre, l’employeur ayant la possibilité de prendre des mesures afin d’éviter que la salariée croise des résidents dans les couloirs et de mettre en place du télétravail.

-la salariée, représentante du personnel, se trouve dans une situation  incongrue dans car, en tant que représentante du personnel, elle pouvait assister à des réunions sans justifier de passe vaccinal alors qu’elle ne pouvait pas travailler seule dans son bureau.

En conséquence, le Conseil de Prud’hommes de Colmar ordonne l’annulation de la suspension de son contrat de travail, la reprise du paiement de ses salaires, la condamnation au paiement de rappels de salaires.

Pour en savoir plus : ordonnance de référé CPH Colmar 16 02 2022

http://www.michelebaueravocatbordeaux.fr/content/uploads/2022/03/COLMAR-ORDONNANCE-DE-REFERE-1.pdf

CNIL : condamnation de la RATP à propos des fichiers d’évaluation des agents

La CNIL a sanctionné la RATP d’une amende de 400 000 euros après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion. Elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.

En mai 2020, la CNIL a été saisie par une organisation syndicale d’une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. La CNIL a opéré  des contrôles  qui ont permis de confirmer cette pratique dans trois centres de bus.

Au cours de la procédure, la RATP a reconnu le caractère illicite de ces fichiers et a fait valoir qu’une telle pratique était contraire à sa politique générale.

La CNIL a considéré que la RATP avait manqué à ses obligations car seules des données strictement nécessaires à l’évaluation des agents auraient dû figurer dans ces fichiers : l’indication du nombre de jours d’absence suffisait ici, sans qu’il soit nécessaire de préciser le motif d’absence lié à l’exercice du droit de grève. Elle a  prononcé une amende de 400 000 euros et a décidé de rendre publique sa décision.

3 Manquements constatés :

*une collecte des données non nécessaires : art  5.1.c  et 5.2 RGPD

*un manquement à l’obligation de limiter la durée de conservation des données (plus de 3 ans en l’espèce) : Art 5.1.e RGPD

*un manquement à la sécurité des données du fait de l’insuffisance des niveaux d’habilitation des agents : art 32 RGPD

Pour en savoir plus :  

> Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la Régie autonome des transports parisiens

https://www.cnil.fr/fr/fichiers-devaluation-des-agents-sanction-de-400-000-euros-lencontre-de-la-ratp

CNIL : Mode d’emploi de la Collecte des données des salariés en matière d’infractions routières

La CNIL a publié en avril 2021 un référentiel relatif à la collecte des données des salariés en matières d’infractions routières : préconisations et mode d’emploi…

Ce référentiel s’adresse aux employeurs de droit public ou privé mettant à disposition de leurs salariés
des véhicules, aux entreprises utilisatrices, aux professionnels fournissant à leurs clients, à titre onéreux
ou gratuit, des véhicules dits « de remplacement » ainsi qu’aux loueurs de véhicules courte et longue
durée.

Les organismes identifiant et désignant le conducteur en cas d’infraction au code de la route doivent
s’assurer de leur conformité :
• aux dispositions du règlement général sur la protection des données (RGPD) ainsi qu’à celles de
la loi « informatique et libertés » du 6 janvier 1978 modifiée (LIL) ;
• aux autres règles éventuellement applicables, conformément à la réglementation en vigueur,
notamment le code de la route.

Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre
couramment par les organismes relatifs à l’identification des conducteurs dans le cadre
de la gestion du contentieux lié au recouvrement des contraventions au code de la route.
Il a pour objectif de fournir un outil d’aide à la mise en conformité des personnes et organismes
identifiant et désignant le conducteur en cas d’infraction routière via le système de contrôle automatisé
des infractions.

A souligner que ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la
conformité des traitements de données mis en œuvre par les organismes aux principes
relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du
numérique.

Il appartient aux acteurs concernés de s’assurer qu’ils respectent les
autres réglementations qui peuvent par ailleurs trouver à s’appliquer et notamment le code de la route.

Pour en savoir plus : https://www.cnil.fr/sites/default/files/atoms/files/referentiel_relatif_aux_traitements_de_donnees_personnelles_mis_en_oeuvre_dans_le_cadre_de_la_designation_des_conducteurs_ayant_commis_une_infraction_au_code_de_la_route.p

Cnil :Badgeuse photo et contrôle des horaires

Selon la CNIL, une badgeuse photographiant le salarié à chaque pointage conduit à une collecte excessive de données personnelles au regard de l’objectif de contrôle de la durée du travail.

Après plusieurs plaintes de salariés et d’agents publics, la Cnil a effectué des contrôles chez leurs employeurs et constaté l’utilisation de dispositifs de contrôle d’accès par badge intégrant une prise de photographie systématique à chaque pointage.

La Cnil considère que l’utilisation de badgeuses photo pour contrôler la durée du travail méconnaît le principe de minimisation prévu par l’article 5-1-c du RGPD, en application duquel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du dispositif cf article L 1121-1 du Code du travail.

Pour la Cnil, la collecte obligatoire et systématique, 2 à 4 fois par jour, de la photographie de l’employé à chacun de ses pointages apparaît excessive au regard de l’objectif de contrôle de la durée du travail, même si elle note qu’en pratique, l’accès aux photographies pour contrôler les horaires des salariés était quasi inexistant.

Selon le communiqué diffusé sur son site internet le 27 août 2020, ces éléments ont conduit à mettre les organismes concernés en demeure de rendre leurs dispositifs de contrôle des horaires conformes au RGPD dans un délai de trois mois. Si passé ce délai, les organismes ne s’y conforment pas,  la Cnil  pourrait prononcer une sanction pécuniaire et rendre celle-ci publique.

Pour la Cnil, les outils de gestion des horaires sans prise de photographie, tels que les pointeuses à badge classiques, apparaissent suffisants, sauf circonstances particulières dûment étayées : les pointeuses par badge enregistrant le jour et l’heure de pointage de la personne utilisant le badge permettent d’assurer un contrôle satisfaisant des horaires de travail.

La Cnil indique par ailleurs que le renforcement du rôle du personnel d’encadrement pour prévenir et empêcher la fraude devrait, par principe, être privilégié au recours à des dispositifs de contrôle reposant sur des technologies intrusives.

Pour en savoir plus  Communiqué Cnil du 27-8-2020

https://www.efl.fr/actualites/social/contrat-de-travail/details.html?ref=f3dec584b-5978-49aa-8bc4-a2c7e10a39c8&eflNetwaveEmail

 

 

What do you want to do ?

New mailCopy

 

What do you want to do ?

New mailCopy

 

What do you want to do ?

New mailCopy

Quiz de l’été via Actuel rh : géolocalisation des salariés

L’employeur peut-il utiliser la géolocalisation afin de contrôler la durée du travail des salariés ?

(Une seule bonne réponse)

Non, c’est désormais interdit par le RGPD.

Oui, le pouvoir de direction de l’employeur lui donne le droit de tracer les déplacements de ses salariés durant leur temps de travail.

Oui, mais seulement lorsque ce contrôle ne peut pas être réalisé par un autre moyen (même moins efficace).

Pour vérifier la bonne réponse : https://www.actuel-rh.fr/content/quiz-de-lete-10-questions-sur-la-protection-des-donnees-des-salaries

Quiz de l’été via Actuelrh : RGPD…

Complétez cette phrase (plusieurs réponses possibles). En matière de données personnelles, le RGPD…

(Plusieurs bonnes réponses)

Met fin aux formalités de déclaration préalable auprès de la Cnil

Impose aux grandes entreprises la mise en place d’un registre de traitement de données

Uniformise les droits européens

Autorise l’employeur à collecter toutes les données qu’il souhaite sur ses salariés

Pour vérifier la bonne réponse : https://www.actuel-rh.fr/content/quiz-de-lete-10-questions-sur-la-protection-des-donnees-des-salaries

Protection des données personnelles: obligation d’information des salariés dans le cadre du RGPD

 Selon les articles 13 et 14 du RGPD, quel que soit le support de collecte utilisé (formulaire, questionnaire, etc.) celui-ci doit comporter les informations relatives à :

-l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

– le cas échéant, les coordonnées du délégué à la protection des données ;

– les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

– les catégories de données à caractère personnel concernées ;

– le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel (service interne à l’entreprise, prestataire…) ;

– la durée de conservation des données ;

– les modalités selon lesquelles les intéressés peuvent exercer leurs droits (via leur espace personnel sur le site internet de l’entreprise, par un message sur une adresse email dédiée, par un courrier postal à un service identifié…) ;

– en cas de transfert de données hors de l’Union européenne, l’indication du pays concerné, l’existence ou l’absence d’une décision d’adéquation rendue par la Commission européenne ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Ces informations doivent être données :

– dès la collecte des données dans le cas où celle-ci sont recueillies directement auprès du salarié (lors de l’embauche, par exemple) ;

– au maximum un mois après cette collecte si les données sont recueillies de façon indirecte, auprès d’une autre source.

Cependant, elles n’ont pas à être fournies si le salarié en dispose déjà.

La CNIL préconise d’informer ces derniers à chaque fois qu’il leur est demandé des informations (ex: mises à jour de données administratives, demande de formation, formulaire d’entretien d’évaluation…) ou lors de la mise en place d’un dispositif de surveillance, selon des modalités à déterminer selon l’organisation de l’entreprise (note de service, avenant au contrat de travail, Intranet, annexe au bulletin de paie …

Pour en savoir plus: https://www.efl.fr/actualites/social/contrat-de-travail/details.html?ref=UI-f5a39cbb-c7e3-4583-a218-9114d6280a4d&eflNetwaveEmail