Les bases légales et les données collectées dans les traitements Ressources Humaines
Depuis l’entrée en vigueur du RGPD, les entreprises sont soumises à une réglementation stricte en matière de gestion des données personnelles. Pour assurer une conformité optimale dans le cadre de la gestion des ressources humaines (RH), il est essentiel pour les organisations de choisir la base légale appropriée pour chaque finalité de traitement. Cela garantit non seulement le respect des droits des collaborateurs, mais aussi une structuration rigoureuse des processus internes.
Identifier la base légale
Le référentiel de la CNIL en matière de gestion des ressources humaines fournit un cadre structuré pour déterminer les bases légales les plus adaptées aux traitements courants dans les RH. La base légale appropriée pour chaque traitement doit être établie au préalable, afin d’assurer la transparence et de minimiser les risques juridiques pour l’organisation. En effet, une bonne gestion des bases légales renforce la conformité en établissant un cadre qui respecte les principes de nécessité et de proportionnalité du RGPD.
Dans ce contexte, voici un tableau récapitulatif des bases légales les plus couramment utilisées pour les traitements RH. Celui-ci peut être un support utile pour les employeurs souhaitant structurer leurs pratiques de gestion des données en conformité avec la réglementation.
Activités de traitement |
Finalités | Bases légales envisageables (sous réserve de choix différents justifiés par un contexte spécifique) |
Gestion administrative du personnel | Gestion du dossier professionnel des employés, tenu conformément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés. | Exécution du contrat |
Réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative. | Intérêt légitime | |
Gestion des annuaires internes et des organigrammes. | Intérêt légitime | |
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement. | Intérêt légitime | |
Gestion des élections professionnelles. | Obligation légale | |
Organisation des réunions des instances représentatives du personnel. | Obligation légale | |
Gestion des rémunérations et accomplissement des formalités administratives | Etablissement des rémunérations, mise à disposition des bulletins de salaire | Exécution du contrat |
Déclaration sociale nominative. | Obligation légale | |
Mise à disposition des personnels d'outils informatiques | Suivi et maintenance du parc informatique. | Intérêt légitime |
Gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux. | Intérêt légitime | |
Mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux. | Intérêt légitime | |
Gestion de la messagerie électronique professionnelle. | Intérêt légitime | |
Réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet). |
Intérêt légitime | |
Organisation du travail | Gestion des agendas et projets professionnels. | Intérêt légitime |
Suivi des carrières et de la mobilité | Evaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent. | Intérêt légitime |
Gestion des compétences professionnelles internes. | Intérêt légitime | |
Gestion prévisionnelle de l’emploi et des compétences (GPEC) | Intérêt légitime | |
Gestion de la mobilité professionnelle. | Exécution du contrat | |
Formation | Gestion des demandes de formation et des périodes de formation effectuées. | Exécution du contrat |
Organisation des sessions de formation et évaluation des connaissances et des formations. |
Intérêt légitime | |
Gestion des aides sociales | Gestion de l'action sociale et culturelle directement mise en œuvre par l'employeur, à l'exclusion des activités de médecine du travail, de service social ou de soutien psychologique. | Intérêt légitime |
Données personnelles concernées
Le RGPD impose également aux responsables de traitement de limiter les données collectées à celles strictement nécessaires aux finalités des traitements. Dans le cadre de la gestion du personnel, les données à collecter doivent être évaluées avec précision afin de répondre aux besoins opérationnels sans excéder ce qui est requis par les finalités de traitement. Une telle approche garantit non seulement la conformité avec le principe de minimisation des données, mais aussi une protection accrue pour les personnes concernées.
Le tableau ci-dessous recense les principales catégories de données personnelles concernées dans le contexte RH, en fonction des finalités du traitement. Cet aperçu permet de mieux cerner les informations pertinentes pour chaque finalité tout en respectant les exigences de protection de la vie privée.
Catégories de données | Exemples de données |
Identification de l’’employé | Données relatives à l’identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), références du passeport (uniquement pour les personnels amenés à se déplacer à l'étranger), situation familiale, situation matrimoniale, enfants à charge, type de permis de conduire détenu par l’employé. |
Données relatives à la situation professionnelle : lieu de travail, numéro d'identification interne, date d'entrée dans l'entreprise, ancienneté, emploi occupé et coefficient hiérarchique, section comptable, nature du contrat de travail, taux d'invalidité, reconnaissance de la qualité de travailleur handicapé (RQTH), autres catégories de bénéficiaires de la loi n° 87-517 du 10 juillet 1987 (invalide pensionné, mutilé de guerre, assimilé mutilé de guerre). | |
Données relatives au titre valant autorisation de travail : type, numéro d'ordre et copie du titre pour les employés étrangers en application de l'article R. 620-3 du code du travail. | |
Coordonnées des personnes à prévenir en cas d'urgence. | |
Distinctions honorifiques. | |
Suivi de la carrière et de la formation de l’employé | Gestion de la carrière de l'employé : date et conditions de recrutement, date, objet et motif des modifications apportées à la situation professionnelle de l'employé, simulation de carrière, desiderata de l'employé en termes d'emploi, sanctions disciplinaires à l'exclusion de celles consécutives à des faits amnistiés. |
Evaluation professionnelle de l'employé : dates des entretiens d'évaluation, identité de l'évaluateur, compétences professionnelles de l'employé, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l'emploi occupé, observations et souhaits formulés par l'employé, prévisions d'évolution de carrière. | |
Formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations. | |
Suivi administratif des visites médicales des employés : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d'adaptation du poste de travail ou d'affectation à un autre poste de travail formulées par le médecin du travail). | |
Etablissement des fiches de paie et obligations légales connexes | Numéro de sécurité sociale dans les conditions fixées par le décret n° 2019-341 du 19 avril 2019 ou par l'article L. 444-5 du code du travail, numéros attribués par les organismes d'assurances sociales, de retraite et de prévoyance, situation familiale, situation matrimoniale, enfants à charge, régime et base de calcul de la rémunération, éléments déterminant l'attribution d'un complément de rémunération, congés et absences donnant lieu à retenues déductibles ou indemnisables, ainsi que toute retenue légalement opérée par l'employeur, frais professionnels, taux de prélèvement à la source, données transmises via la Déclaration sociale nominative. |
Validation des acquis de l’expérience | Date de la demande de validation, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision. |
Gestion des déclarations d'accident du travail et de maladie, autres absences | Coordonnées du médecin du travail, date de l'accident ou de la première constatation médicale de la maladie, date du dernier jour de travail, date de reprise, motif de l'arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour et autres éléments nécessaires auxdites déclarations. |
Sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d'heures de délégation | Données relatives à l’exercice d'un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire. |
Outils et matériel mis à la disposition de l’employé dans le cadre de ses missions professionnelles | Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, le cas échéant, formation et réalisations professionnelles. |
Agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes. | |
Tâches des personnels : identification des personnels concernés, répartition des tâches. | |
Gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires. | |
Annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux. | |
Données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés. | |
Messagerie électronique : carnet d'adresses, comptes individuels, à l'exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés. | |
Réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d'information. | |
Activités sociales et mises en œuvre par l’employeur | Identité de l'employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis. |
Relations avec les instances représentatives de personnel |
Convocations, documents préparatoires, comptes rendus, procès-verbaux divers. |
Conclusion
L’identification des bases légales et la détermination des données nécessaires permettent de structurer les traitements RH dans le respect du RGPD. En adoptant une approche systématique et rigoureuse, les employeurs peuvent non seulement répondre aux exigences réglementaires, mais aussi instaurer une confiance durable auprès de leurs collaborateurs.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
