CNIL et déclaration RH : recrutement, gestion de la paie...

Les RH gèrent beaucoup de données personnelles. Mais il n'est obligatoire de faire une déclaration du registre du personnel à la CNIL.

Le guide employeur de la CNIL

Suite à la mise en place du Règlement général sur la protection des données (RGPD), beaucoup d’employeurs sont dans l’incertitude quant à l’utilisation des données personnelles des salariés, et à leur modalité de collecte et conservation. À ce titre, la CNIL propose un guide employeur spécifique aux questions concernant les recrutements et la gestion du personnel au jour le jour.

Dans ce guide sont citées les données personnelles pouvant être collectées, les mesures à mettre en place pour protéger l’accès aux fichiers, les droits des salariés et la durée de conservation à respecter, les formalités à remplir et les possibilités de recours à la CNIL.

Les recommandations de la CNIL pour le recrutement

Nombreuses sont les données personnelles récoltées dans le cadre d’un recrutement. Toutefois, la CNIL recommande aux entreprises de se limiter aux informations qui permettent d’évaluer les capacités des candidats, en termes de qualification et d’expérience professionnelle, pour éviter toute violation de la vie privée. La durée de conservation des candidatures est limitée à deux ans.

Par ailleurs, il est notoirement interdit de collecter une quelconque information indiquant les opinions politiques, les liens familiaux ou une éventuelle adhésion syndicale. Si le numéro de sécurité sociale est essentiel à l’embauche, il est en revanche proscrit de le demander à des personnes qui sont encore au stade de la candidature à un emploi.

Gestion de la paie : que dit la CNIL ?

Une fois le contrat de travail signé, l’employeur doit récolter certaines informations pour pouvoir remplir ses démarches légales obligatoires, comme les déclarations sociales. Toutes les activités de recensement de données doivent figurer dans le registre des traitements que l’entreprise est obligée de tenir pour se mettre en conformité avec le RGPD. Par exemple, dans le cadre de la paie, il est logique de faire mention des noms et prénoms, dates de naissance, salaires des effectifs, et coordonnées bancaires. Mais le fichier en question doit être sécurisé, et n’être accessible que par les personnes habilitées travaillant dans le service RH.

Au-delà de ces données spécifiques à la gestion de la paie, l’entreprise va parfois collecter d’autres informations utiles à la gestion RH : coordonnées des personnes à prévenir en cas d’urgence, photographie pour réaliser un organigramme, type de permis de conduire, etc.

Norme simplifiée de la CNIL

Jusqu’à récemment, les démarches des entreprises auprès de la CNIL faisaient l’objet de "normes simplifiées". En l’occurrence, il s’agissait de la norme simplifiée n°46 pour toutes les démarches à réaliser concernant la gestion du personnel et les activités de ressources humaines. Toutefois, depuis l’entrée en vigueur du RGPD, ces normes simplifiées de la CNIL n’ont plus de valeur juridique. Celles-ci sont toujours accessibles pour aider les entreprises à se mettre en conformité avec le règlement européen, mais uniquement pendant une durée transitoire en attendant la prochaine publication de "référentiels RGPD". Le référentiel RGPD "gestion des ressources humaines" est actuellement soumis à une consultation publique. Dans les prochains mois, il fera l’objet d’un examen par la CNIL en vue de son adoption finale.

Droits numériques du salarié