← Actualités

RGPD et RH : le référentiel de la Cnil

La Cnil a publié son référentiel RGPD à destination des professionnels RH du secteur privé et du secteur public. Adopté à l'issue d'une consultation publique, ce référentiel de 17 pages reprend les principes du RGPD et recense des applications pratiques en matière de gestion des ressources humaines, mais également de la paye et de recrutement. À noter que ces dernières n'ont toutefois pas de portée contraignante et ont plus vocation à remplacer les recommandations antérieures de la Cnil.
Sommaire

Rappel sur le RGPD

Applicable à toutes les entreprises présentes au sein de l’Union Européenne depuis le 25 mai 2018 et transposé en droit français par l'ordonnance n°2018-1125 du 12 décembre 2018, le RGPD est un règlement européen qui encadre la mise en œuvre des traitements de données à caractère personnel. Dossiers du personnel, bulletins de paie, CV, déclarations sociales... Le RGPD concerne également les services RH dans la gestion du recrutement, de la paie, des carrières et de manière générale des salariés de leurs entreprises.
 

Le référentiel RH de la Cnil, en bref

Un outil d'aide à la mise en conformité au RGPD pour les RH

Le référentiel de la Cnil est présenté comme un outil d'aide à la mise en conformité au RGPD pour les professionnels RH. Il recense les traitements RH concernés par le règlement, les finalités possibles, leurs bases légales et peut ainsi être utilisé dans le cadre de la réalisation d’une analyse d’impact relative à la protection des données (AIPD), obligatoire pour certains traitements de données personnelles effectués par les RH.  

> Pour faire le point sur les traitements RH nécessitant une AIPD 

Les évolutions par rapport au précédent référentiel

  • Élargissement du champ d'application du référentiel : ce dernier aborde la gestion des ressources humaines, mais également la gestion de la paye et les traitements les plus répandus en matière de recrutement.
  • Recensement des pratiques RH conformes au RGPD issues de la consultation publique menée par la Cnil.
  • Présentation d'un tableau récapitulatif reprenant des exemples pratiques de durée de conservation conformes au RGPD.
  • Remplacement de la norme simplifiée 46 (NS 46) qui n'avait plus vocation à s'appliquer suite à l'entrée en vigueur du RGPD

> Consulter la FAQ de la Cnil au sujet du référentiel

Les traitements exclus

Certains traitements ne sont pas abordés dans le cadre de ce référentiel en raison de leur caractère "sensible" : contrôle d’accès aux locaux de travail à l’aide des dispositifs biométriques, dispositif d’alertes professionnelles, vidéosurveillance, d’écoute et enregistrement des conversations téléphoniques, des analyses algorithmiques visant à prédire le comportement ou la productivité des salariés, etc.

Pour aller plus loin