Le 15 avril dernier, la CNIL a publié un nouveau référentiel relatif aux ressources humaines.
Celui-ci était attendu depuis que la norme simplifié 46 était caduque depuis l'entrée en application du RGPD.
De mon expérience de consultante en entreprises qui doivent se mettre en conformité les traitements RH plusieurs questions restaient en suspend.
la première avoir une liste de finalités appropriée : même si les grands traitements RH se retrouvent partout dans les entreprises ( recrutement, gestion de la paie, gestion des congés par exemple) , il est important que les finalités soient adaptées à la situation et aux pratiques de l'entreprise.
La deuxième est la base légale des traitements RH.
la base légale se détermine en théorie avant l’opération de traitement, elle doit être documentée et sera adaptée au contexte et situation spécifique.
La CNIL fait un usage très parcimonieux du consentement comme base légale, car elle considère qu'il est généralement peu libre en matière RH.
Par exemple elle le refuse en matière de recrutement, si le refus peut affecter le candidat.
Elle recourt à l'intérêt légitime pour beaucoup de traitement, ce qui contraint à faire une analyses des équilibres en présence,et augmente ainsi le travail de documentation.
Pour certains traitements elle ne recourt pas à l'obligation légale comme la mise à disposition des bulletins de paie, ce qui est surprenant.
La troisième est la durée de conservation, ou la doctrine de l'autorité semble avoir le plus changé.
En effet, alors que la norme simplifiée 46 indiquait qu'il ne devait pas y avoir de conservation au-delà de la période d'emploi de la personne concernée, sauf dispositions légales contraire, le référentiel réduit les durées de manière drastique.
Par ailleurs, la CNIL développe une doctrine sur le passage en archivage intermédiaire.
On notera par exemple une durée de conservation du bulletin de salaire en base active d'un mois puis une conservation en archive intermédiaire de 5 ans.
Cela semble particulièrement décalé avec les pratiques actuelles et les besoins des équipes.
Le référentiel indique également les mesures de sécurité recommandées, qui constitueront une bonne base d'évaluation, et se prononce sur les traitements soumis ou non à une analyse d'impact.
Ce référentiel a fait l'objet d'une réunion d'échanges entre professionnels, DPO et juristes experts que j'anime, le 7 mai dernier. un support de présentation est disponible sur demande .
Comentarios