RGPD – Quels traitements nécessitent une analyse d’impact ? La CNIL répond

Jeudi 15 novembre 2018

Le RGPD, en vigueur depuis le 25 mai 2018, impose à l’employeur de réaliser une analyse d’impact lorsqu'un traitement de données est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques concernées".
 
Par deux délibérations, publiées au Journal officiel le 6 novembre 2018, la CNIL énumère les traitements pour lesquelles une analyse d’impact est nécessaire.  
 
Trois traitements concernent les services RH ou de Direction :
 
1. Les traitements "établissant des profils de personnes physiques à des fins de gestion des ressources humaines".
Il s’agit des traitements de détection et de gestion de "hauts potentiels", des traitements visant à faciliter le recrutement (notamment grâce à un algorithme de sélection), des traitements visant à proposer des actions de formation personnalisées grâce à un algorithme, des traitements visant à détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs.
 
2. La deuxième catégorie concerne les traitements "ayant pour finalité de surveiller de manière constante l'activité des employés concernés".  
Ces traitements regroupent les dispositifs de cyber surveillance (analyse des flux de courriels sortant afin de détecter d’éventuelles fuites d’information), les dispositifs de vidéosurveillance (par exemple pour les salariés manipulant de l’argent ou travaillant pour un entrepôt stockant des biens de valeur), les dispositifs de chrono tachygraphie des véhicules de transport routier.
 
3. Les traitements "ayant pour finalité la gestion des alertes et des signalements en matière professionnelle".
Ces traitements comprennent les procédures internes de recueil des signalements des lanceurs d'alerte (trafic d'influence, corruption, devoir de vigilance), les dispositifs de recueil d’alertes professionnelles pour les organismes privés ou publics concernés.

CLA-MDO-CGA
/ N°
18054

En bref

L’employeur doit, à minima, réaliser une analyse d’impact en cas de traitement de données : 

  • Etablissant des profils de personnes physiques à des fins de gestion RH, 
  • Ayant pour finalité de surveiller de manière constante l’activité des employés concernés,
  • Ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Partager sur vos réseaux

Expertise et stratégie en droit social

Un avocat chez vous, partout en France !

Bayonne

2 chemin de la Marouette Bâtiment Haristeguy
Bayonne 64100

Bordeaux

64 Cours Georges Clémenceau
Bordeaux 33000

Grenoble

2 square Roger Genin
Grenoble 38000

Montpellier

120 Rue de Thor Le Blue d'Oc
Montpellier 34000

Paris

2, rue Villaret de Joyeuse
Paris 75017

Toulouse

11 chemin de l'Armée
L'Union 31240