RGPD : les traitements RH des PME exonérés d’analyse d’impact

La gestion de la paye, la gestion des formations, le contrôle du temps de travail…  Pas besoin pour les PME de passer par la case AIPD pour mettre en œuvre les opérations de traitements RH. Après la parution il y a un an de la liste des traitements pour lesquels l’analyse d’impact est toujours obligatoire, une délibération de la CNIL, publiée au JO le 22 octobre 2019, présente celle des traitements pour lesquels l’AIPD n’est jamais requise.

Pour rappel, seuls les traitements de données personnelles « susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques » requièrent une analyse d’impact (RGPD, art. 35, § 1 ; LIL 4, art. 62). Il s’agit des traitements qui remplissent au moins deux des neuf critères issus des lignes directrices du G29 (groupe des CNIL européennes) :

• évaluation / scoring (y compris le profilage) ;
• décision automatique avec effet légal ou similaire ;
• surveillance systématique ;
• collecte de données sensibles ou données à caractère hautement personnel ;
• collecte de données personnelles à large échelle ;
• croisement de données ;personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
• usage innovant (utilisation d’une nouvelle technologie) ;
• exclusion du bénéfice d’un droit/contrat.

À noter, la CNIL a mis à la disposition des responsables de traitement un logiciel open source gratuit (en français) pour mener à bien leurs analyses d’impact. De même, un nouveau modèle de registre simplifié open source conçu pour tableur a été mis en ligne par l’autorité de contrôle le 25 juillet dernier.

RGPD : les traitements RH dispensés d’AIPD dans les PME

À l’exception du recours au profilage, tous les traitements mis en œuvre à des fins de ressources humaines sont exemptés d’analyse d’impact au sein des PME (moins de 250 salariés). En clair, pas d’AIPD dans les TPE/PME pour les traitements permettant :

• la gestion de la paye, l’émission des bulletins de salaire ;
• la gestion des formations ;
• la gestion du restaurant d’entreprise, la délivrance des chèques repas ;
• le remboursement des frais professionnels ;
• le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel) ;
• le suivi des entretiens annuels d’évaluation ;
• la tenue des registres obligatoires ;
• l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie.

Bon à savoir : les traitements de profilage – utiliser les données personnelles d’un individu en vue d’analyser et prédire son comportement – doivent faire l’objet d’une attention particulière. Les traitements de profilage faisant appel à des sources externes ou susceptibles d’exclure les personnes concernées du bénéfice de leurs contrats (suspension ou rupture) font d’ailleurs partie des 14 traitements nécessitant toujours une analyse d’impact (cf. ci-dessous).

• Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)

RGPD : les 12 types de traitement sans AIPD

À l’instar des traitements RH dans les PME, 11 types d’opérations de traitement ne requièrent pas d’analyse d’impact. Parmi elles, les traitements de gestion de la relations fournisseurs (factures, règlements, comptabilité) ou de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail (dispositif par badge sans biométrie par exemple).

Attention, les opérations de traitement pour lesquelles une AIPD n’est pas requise doivent tout de même « faire l’objet d’une évaluation de leur conformité au RGPD tant sur le plan juridique qu’en matière de sécurité », alerte la CNIL. Cette liste n’est pas exhaustive. Dans le doute, il est recommandé d’effectuer une analyse d’impact.

RGPD : les 14 types de traitement avec AIPD

À l’inverse, plusieurs opérations de traitement sont risquées par nature et requièrent toujours une analyse d’impact. La liste adoptée par l’autorité de contrôle en novembre 2018 comprend 14 types de traitement.

À noter, l’autorité accompagne chaque type de traitement inventorié ci-dessus par plusieurs exemples d’opérations. Une infographie « Dois-je faire une AIPD ? » est en outre disponible sur le site de la CNIL.

Matthieu Barry