La délibération n° 2019-160 de la Commission nationale de l’informatique et des libertés (Cnil) du 21 novembre 2019, publiée au Journal officiel du 15 avril 2020, porte adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en uvre aux fins de gestion du personnel.
Ce référentiel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique.
Il encadre la mise en uvre de leurs traitements courants de « gestion du personnel ». Il na donc pas vocation à s’appliquer aux traitements mis en uvre notamment par les organisations syndicales, les instances représentatives du personnel, ou encore les services de médecine de travail.
Ce référentiel précise quun traitement de gestion du personnel peut être mis en uvre pour les finalités suivantes :
– recrutement ;
– gestion administrative des personnels ;
– gestion des rémunérations et accomplissement des formalités administratives afférentes ;
– mise à disposition du personnel d’outils professionnels ;
– organisation du travail ;
– suivi des carrières et de la mobilité ;
– formation ;
– tenue des registres obligatoires, rapports avec les instances représentatives du personnel ;
– communication interne ;
– gestion des aides sociales ;
– réalisation des audits, gestion du contentieux et du précontentieux.
Le référentiel indique les bases légales envisageables pour chaque finalité du traitement.
Il détaille également les données personnelles concernées pour les besoins de gestion du personnel.
Il peut s’agir de données relatives :
– à l’identification de l’employé ;
– à l’évaluation des compétences du candidat au moment du recrutement ;
– au suivi de carrière et de la formation de l’employé ;
– à l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition) ;
– à la validation des acquis de l’expérience ;
– à la gestion des déclarations d’accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé ;
– aux sujétions ou situations particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation ;
– aux outils et matériels professionnels mis à la disposition de l’employé dans le cadre de ses missions (i.e. cartes de paiement, dotation en matériel informatique, etc.) ;
– à la gestion des activités sociales et culturelles mises en uvre par l’employeur ;
– aux élections professionnelles et réunions des instances représentatives du personnel ;
– à la lutte contre la discrimination, à l’obligation d’emploi de travailleurs handicapés, etc.
Le référentiel revient également sur les personnes pouvant accédant aux données pour le compte de l’employeur, ainsique les destinataires des données, les durées de conservation, linformation des personnes dont les données peuvent être traitées et les droits dont ces personnes disposent concernant le traitement
Enfin, le référentiel indique les précautions utiles à prendre au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel.