Les donnees RH, un enjeu majeur de conformite RGPD
Le service des ressources humaines est l’un des plus grands collecteurs de donnees personnelles au sein de l’entreprise. Du recrutement a la fin du contrat de travail, en passant par la gestion de la paie, des conges, de la formation et de la sante au travail, les traitements de donnees RH sont nombreux et concernent des donnees parfois sensibles.
La CNIL a publie un referentiel relatif aux traitements de donnees personnelles mis en oeuvre dans le cadre de la gestion du personnel. Ce referentiel constitue le guide de reference pour assurer la conformite des traitements RH au RGPD.
Les bases legales des traitements RH
La plupart des traitements RH reposent sur l’execution du contrat de travail (article 6.1.b du RGPD) ou sur le respect d’une obligation legale (article 6.1.c). La gestion de la paie, la declaration sociale nominative, la tenue du registre unique du personnel sont autant de traitements fondes sur des obligations legales de l’employeur.
Le consentement du salarie est rarement une base legale appropriee en matiere de RH, en raison du lien de subordination qui existe entre l’employeur et le salarie. La CNIL considere que ce lien cree un desequilibre qui affecte le caractere libre du consentement. L’interet legitime de l’employeur peut constituer une base legale pour certains traitements, comme la gestion de l’annuaire interne ou l’organisation d’evenements d’entreprise.
Les durees de conservation des donnees RH
Les durees de conservation varient selon la nature des donnees et les obligations legales applicables. Les bulletins de paie doivent etre conserves pendant 5 ans a compter de leur emission. Les documents relatifs aux charges sociales sont conserves au minimum 3 ans. Le registre unique du personnel est conserve pendant 5 ans apres le depart du salarie.
Les donnees relatives au recrutement des candidats non retenus doivent etre supprimees au plus tard 2 ans apres le dernier contact avec le candidat, sauf consentement de celui-ci pour une duree plus longue. Les donnees relatives a la gestion des acces (badges, logs de connexion) sont generalement conservees entre 3 et 6 mois.
La surveillance des salaries
L’employeur peut mettre en place des dispositifs de surveillance (videosurveillance, controle des acces internet, geolocalisation des vehicules) sous reserve de respecter le principe de proportionnalite et d’informer prealablement les salaries et le comite social et economique.
La videosurveillance ne peut pas filmer les salaries en permanence a leur poste de travail, sauf circonstances particulieres liees a la securite. Le controle de la messagerie professionnelle est possible dans certaines limites : l’employeur ne peut pas acceder aux messages identifies comme personnels par le salarie.
La geolocalisation des vehicules de fonction ne doit pas servir a controler le respect des limitations de vitesse ni a surveiller les deplacements des representants du personnel dans l’exercice de leur mandat. Le salarie doit pouvoir desactiver la geolocalisation en dehors de son temps de travail.
