Depuis l’entrée en vigueur du RGPD, les entreprises doivent prouver que leurs services RH et Paie incluent bien cette mise en conformité de leurs méthodes de fonctionnement. Ainsi, RGPD et Paie sont à étudier en corrélation.
Le RGPD et la Gestion de Paie, étroitement liés
Les services de Ressources Humaines et Paie doivent porter une attention particulière au traitement des données notamment financières. Ainsi, la sécurité des informations doit être garantie et seules les personnes habilitées sont en droit d’en prendre connaissance.
Cependant, certaines données ne nécessitent pas d’analyse d’impact des données.
RGPD et Paie : La CNIL a diffusé fin 2019 la liste des traitements des données qui ne nécessitent pas d’analyse d’impact des données
Un an après avoir listé les traitements pour lesquels une analyse d’impact relative à la protection des données (AIPD) est requise avant toute mise en œuvre, la CNIL a diffusé la liste de ceux qui n’en nécessitent pas, dans une délibération publiée au JO du 22 octobre 2019. Ci-dessous les traitements RH et Paie exemptés.
Rappel sur l’AIPD
Pour appel, le règlement européen 2016/679 du 27 avril 2016, dit le « RGPD », a changé les règles applicables à la protection des données personnelles depuis le 25 mai 2018.
Dans ce cadre, l’employeur qui met en place des traitements automatisés doit notamment effectuer une analyse d’impact des données pour ceux qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des salariés en particulier du fait du recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement (règlt UE 2016/679 du 27 avril 2016, art. 35).
Traitements exonérés d’AIPD
La CNIL complète cette information par une liste des traitements où l’AIDP n’est pas nécessaire. Seuls ceux qui concernent plus particulièrement les employeurs, leur DRH ou gestionnaire du personnel et les représentants du personnel, retiendront ici notre attention.
Source : CNIL liste-traitements-aipd-non-requise
| Types d’opérations de traitement | Exemples (*) |
| Gestion RH dans les entreprises de moins de 250 salariés Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage (Ndlr : algorithmes appliqués à des données personnelles en vue de prendre des décisions tels que le recrutement, soumis à des règles restrictives par le RGPD). | Les traitements permettant : – la gestion de la paie, l’émission des bulletins de salaire ; – la gestion des formations ; – la gestion du restaurant d’entreprise, la délivrance des chèques repas ; – le remboursement des frais professionnels ; – le contrôle du temps de travail ; – le suivi des entretiens annuels d’évaluation ; – la tenue des registres obligatoires ; – l’utilisation d’outils de communication (messagerie électronique, téléphonie, vidéoconférences, outils collaboratifs en ligne) sans recours au profilage ni à la biométrie ; – le contrôle du temps de travail (sans dispositif biométrique, sans données sensibles ni à caractère hautement personnel). |
| CSE et CE Traitements destinés à la gestion des activités des CSE (comité social et économique d’entreprise et CSE d’établissement), CE (comités d’entreprise et d’établissement) | Les traitements permettant : – de gérer les programmes socio-culturels de l’entreprise, communication interne ; – la formation des élus ; – l’exercice du droit d’alerte en cas d’atteinte aux droits des personnes (c. trav. art. L. 2312-59) ; – la gestion des agendas et réunions ; – la gestion de leurs membres. |
| Organisme sans but lucratif Traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif (Ndlr : dont potentiellement les CE et les CSE) pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles. | Les traitements permettant : – la gestion administrative des membres et donateurs, en particulier la gestion des cotisations ; – d’établir pour répondre à des besoins de gestion, des états statistiques ou des listes de membres ou de contacts, notamment en vue d’adresser bulletins, convocations, journaux (les critères retenus devant être objectifs et de fonder uniquement sur des caractéristiques qui correspondent à l’objet statutaire de l’organisme) ; – d’établir des annuaires de membres, y compris lorsque ces annuaires sont mis à la disposition du public ou sur le réseau internet ; – d’effectuer par tout moyen de communication des opérations relatives à des actions de prospection auprès des membres, donateurs et prospects. |
| Gestion des contrôles d’accès physiques et des horaires Traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique (Ndlr : ADN, empreintes digitales, etc. dont la mise en place est soumise à des règles restrictives). À l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel. | Les traitements ayant pour finalité : – la mise en place d’un dispositif par badge sans biométrie pour entrer dans les locaux d’un organisme à des fins de sécurité ; – la mise en place d’un dispositif de contrôle du temps de travail effectué par les salariés, à l’exclusion de toute autre finalité. |
| Éthylotests pour les activités de transport Traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants. | Les traitements ayant pour finalité la mise en place d’éthylotests « anti-démarrage » dans des camions de transport. |