La date butoir pour réaliser l’analyse d’impact des traitements de données RH approche

Actualité
RH RGPD

S’agissant de certains traitements de données personnelles, une délibération de la CNIL du 11 octobre 2018 avait accordé un délai de 3 ans pour réaliser une analyse d’impact. Ce délai de 3 ans arrive à échéance le 24 mai 2021.

La date butoir pour réaliser l’analyse d’impact des traitements de données RH approche
Publié le
Télécharger en PDF

Cet article a été publié il y a 3 ans, il est donc possible qu'il ne soit plus à jour.

L’AIPD

L’analyse d’impact relative à la protection des données (AIPD) est un des éléments centraux du RGPD. C’est une analyse aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD.

Le RGPD (règlement général sur la protection des données personnelles) prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être menée quand un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Il énonce 3 types de traitements susceptibles de présenter un risque élevé :

  • L’évaluation systématique et approfondie d’aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Le traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Le Comité européen de la protection des données (CEPD) a identifié 9 critères permettant de caractériser un traitement susceptible d’engendrer un risque élevé :

  • Les données traitées à grande échelle ;
  • Les données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
  • Les données concernant des personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • Le croisement ou la combinaison de données ;
  • L’évaluation/scoring (y compris le profilage) ;
  • La prise de décision automatisée avec un effet juridique ou similaire ;
  • La surveillance systématique de personnes ;
  • Le traitement pouvant exclure du bénéfice d’un droit, d’un service ou d’un contrat ;
  • L’utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

La CNIL considère, de manière générale, qu’un traitement qui rencontre au moins 2 de ces critères doit faire l’objet d’une AIPD.

Les traitements de données soumis à AIPD en RH

La CNIL a listé les traitements pour lesquels une AIPD est requise dans le domaine des ressources humaines, sachant que cette liste n'est pas exhaustive :

  • Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • Traitements ayant pour finalité de surveiller de manière constante l’activité des salariés concernés ;
  • Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
  • Traitements de données biométriques aux fins de reconnaissance des salariés (dispositif biométrique de contrôle individuel de l’accès aux locaux de l’entreprise).

Les traitements de données non soumis à AIPD en RH

D’une manière générale, ne sont pas soumis à AIPD les traitements qui ne sont pas susceptibles d’engendrer un « risque élevé pour les droits et libertés des personnes physiques ».

Les traitements des données personnelles des salariés ne nécessitant pas de procéder à une analyse d'impact sont les :

  • Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l'exception du recours au profilage ;
  • Traitements destinés à la gestion des comités sociaux et économiques ;
  • Traitements mis en œuvre aux seules fins de gestion des contrôles d'accès physique et des horairespour le calcul du temps de travail, en dehors de tout dispositif biométrique, à l'exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
  • Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d'activités de transport aux seules fins d'empêcher les conducteurs de conduire un véhicule sous l'influence de l'alcool ou de stupéfiants.

Les contrôles et sanctions

La réalisation d’une AIPD est obligatoire pour les traitements mis en œuvre postérieurement à l’application du RGPD, soit après le 25 mai 2018 et qui sont "susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques".

Elle est également obligatoire pour tous les traitements de données mis en œuvre avant cette date sur le fondement du droit antérieur et qui présentent de tels risques.

Tous les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, devront donc avoir fait l’objet d’une analyse d’impact au plus tard le 24 mai 2021.

A compter de cette date, il est fort probable que la CNIL intensifie ses contrôles dans les entreprises.

Les sanctions encourues en cas de non-conformité peuvent être particulièrement lourdes notamment lorsqu’il s’agit de traitements présentant un certain risque pour les droits et libertés des personnes concernées. Les amendes administratives susceptibles d’être prononcées par l’autorité de contrôle concernant ces manquements peuvent s’élever à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant alors retenu.

Référence

Délibération CNIL n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise.