RGPD : Quand faut-il réaliser une analyse d'impact ?
07.11.2018
Gestion du personnel
Le RGPD impose que certains traitements de données dits "à risque" fassent l'objet d'une analyse d'impact préalable. Deux délibérations de la Cnil publiées hier au Journal officiel listent les traitements qui requièrent une telle procédure. Trois des 14 traitements listés concernent potentiellement les services RH.
Depuis mai 2018, la collecte des données personnelles relatives aux salariés est encadrée par le Règlement général de protection des données (RGPD), adopté au sein de l'Union européenne. Ce texte prévoit notamment qu'une analyse d'impact relative à la protection des données (AIPD) doit être menée lorsqu'un traitement de données est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées".
Afin d'identifier ces traitements, le règlement impose que chaque Etat publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact est requise. En France, c'est chose faite depuis hier, puisque deux délibérations de la Commission nationale informatique et libertés (Cnil) ont été rendues en ce sens.
Les traitement RH "à risque"
L'une de ces délibérations Cnil liste les 14 types d'opérations de traitement pour lesquelles une analyse d'impact est requise. Ces opérations sont considérées comme "à risque" car elle cumulent au moins deux critères définis comme risqués par le Comité européen à la protection des données (CEPD) (voir encadré). La liste sera révisée régulièrement par la Cnil.
Au sein de cette liste, on trouve trois types de traitement de données "à risque" qui concernent les services de ressources humaines. Tout d'abord, les traitements "établissant des profils de personnes physiques à des fins de gestion des ressources humaines". La Cnil donne plusieurs exemples : traitements de détection et de gestion de "hauts potentiels", traitements visant à faciliter le recrutement notamment grâce à un algorithme de sélection, traitements visant à proposer des actions de formation personnalisées grâce à un algorithme, traitements visant à détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.
La deuxième catégorie concerne les traitements "ayant pour finalité de surveiller de manière constante l'activité des employés concernés". Ceci concerne, selon la Cnil, les dispositifs de vidéosurveillance constante (par exemple pour les salariés manipulant de l'argent ou ceux travaillant dans des entrepôts filmés), mais aussi d'autres dispositifs de surveillance comme l'analyse des courriels sortants (notamment afin de détecter des fuites d'informations) ou les chronotachygraphes des véhicules de transport routier
Enfin, sont considérés comme "à risque" les traitements "ayant pour finalité la gestion des alertes et des signalements en matière professionnelle". La Cnil cite en exemple les procédures internes de recueil des signalements des lanceurs d'alerte (trafic d'influence, corruption, devoir de vigilance).
Et si le traitement ne concerne aucune de ces trois catégories ?
La liste a un caractère non-exhaustif, précise la Cnil. L'employeur peut décider de lui-même de procéder à une analyse d'impact, comme l'explique la seconde délibération Cnil, qui donne les lignes directrices concernant les AIPD.
Lorsque le responsable de traitement - ici l'employeur - considère que son traitement peut présenter un risque élevé pour les droits et libertés des personnes physiques, il devra réaliser une étude d'impact. C'est notamment le cas s'il considère que son traitement remplit au moins deux des critères de risque identifiés par le CEPD (voir encadré). En cas de doute, la Cnil recommande tout de même la réalisation d'une AIPD.
La Commission annonce qu'elle publiera une liste des traitements "qui, en tout état de cause, ne présentent pas de risque élevé et ne sont donc pas soumis à la réalisation d'une AIPD".
| Neuf critères pour identifier un traitement à risque |
|---|
Le Comité européen à la protection des données (CEPD) a identifié neuf critères permettant de caractériser un traitement susceptible d'engendrer un risque élevé :
|
Gestion du personnel
La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :
- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.
La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :
- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.
Vous aimerez aussi
Nos engagements
La meilleure actualisation du marché.
Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plusUn accompagnement gratuit de qualité.
Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plusUn éditeur de référence depuis 1947.
Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plusDes moyens de paiement adaptés et sécurisés.
Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus