Par une délibération adoptée le 12 septembre 2019 et publiée le 22 octobre (voir La Quotidienne du 24 octobre 2019), la CNIL dresse une liste des opérations de traitements de données personnelles pour lesquelles une analyse d'impact n'est pas nécessaire en application du Règlement général relatif à la protection des données (RGPD).
A la lecture de cette liste, les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d'impact sont les suivants :
- les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
- les traitements destinés à la gestion des comités d'entreprise et d'établissement (y compris, à notre sens, ceux destinés à la gestion des comités sociaux et économiques) ;
- les traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physique et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
- les traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteurs de conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.
Si la présence d'une opération de traitement sur cette liste dispense de réaliser une analyse d'impact, le responsable de traitement reste soumis à l'ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978, notamment celles énoncées à l'article 32 du RGPD en matière de sécurité du traitement.
A noter : Pour rappel, la Cnil avait précédemment adopté une liste, non exhaustive, des traitements à risques nécessitant une analyse d'impact (Délib. Cnil 2018-327 du 11-10-2018 modifié par délib. 2019-011 du 31-1-2019). Dans le domaine des ressources humaines, sont visés en particulier les traitements suivants :
- les traitements établissant ds profils de personnes physiques à des fins de gestion des ressources humaines ;
- les traitements ayant pour finalité de surveiller de manière constante l'activité des employés concernés ;
- les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.
Aliya BEN KHALIFA
Pour en savoir plus sur la protection des données personnelles des salariés : Voir Mémento Social n° 70742.