Dès lors, le 11 avril 2019, la CNIL a pu commencer à mettre en place deux projets de référentiels qui feront l’objet d’une consultation publique : un référentiel portant sur la gestion des ressources humaines, et un autre référentiel concernant les alertes professionnelles.
Ces référentiels permettent de mettre à jour les anciens référentiels tels que les autorisations uniques et les normes simplifiées qui étaient devenues obsolètes depuis la mise en vigueur du RGPD. Elles ont pour but d’aider tout responsable de traitement, tout DPO,… à établir un registre des traitements ainsi qu’à établir une Analyse d’Impact sur la Protection des Données (AIPD) selon leur nécessité ou leur besoin au sein de l’organisme.
Dès lors, la CNIL a prévu un premier référentiel portant sur les traitements de données “mis en oeuvre par des organismes privés ou publics aux fins de gestion du personnel”. Cela concerne entre autres l’ensemble des données personnelles qui sont collectées et traitées dans le cadre du recrutement sans recours à des outils innovants, à la gestion administrative des personnels, à l’organisation du travail, aux formations, à la gestion des aides sociales,…
Ce texte va d’abord permettre aux responsables de traitements de pouvoir identifier de façon simple et précise tous les traitements de données dans le cadre de la gestion des ressources humaines, en y clarifiant non seulement les types de données pouvant être traitées (identification d’un employé, le suivi de sa carrière, l’évaluation des compétences d’un candidat lors d’un recrutement,…) mais également de pouvoir identifier les potentiels destinataires de ces données (les personnes habilitées chargées de la gestion du personnel, les supérieurs hiérarchiques des employés, toutes instances représentatives du personnel,…), voir leur durée de conservation ou les mesures de sécurités qui doivent être adoptées par l’organisme concerné (sécuriser son poste de travail, sensibiliser les utilisateurs,…).
Autre nouveauté, la CNIL a élaboré une section concernant les Analyses d’Impact sur la Protection des Données (ou AIPD) afin de sensibiliser tout organisme sur la nécessité de vérifier si une telle analyse est obligatoire ou non suivant leurs activités et traitements de données.
Enfin la CNIL, toujours dans une optique d’aider les responsables de traitement à identifier les traitements de données, a élaboré un tableau mettant à disposition des organismes des exemples de traitements et de données que ces derniers peuvent rencontrer dans le cadre de leurs activités.
Il faut cependant rappeler que ce référentiel fera l’objet d’une consultation publique afin que toute personne intéressée puisse se prononcer dessus. À l’issue de cette consultation, la CNIL soumettra à l’examen de la séance plénière ce projet de référentiel avant de l’adopter de façon définitive.
Bien que ce référentiel concerne les ressources humaines, ce n’est pas le seul sujet auquel la CNIL s’est prononcée, puisqu’elle s’est également prononcée sur le cas des alertes, comme expliqué ci-contre : https://www.datanaos.com/blog/La-CNIL-lance-un-projet-de-referentiel-sur-les-alertes
Source : Site officiel de la CNIL