Le RGPD impose-t-il des précautions sur les données liées à l'évolution professionnelle ?
Réponse courte
Le RGPD (règlement (UE) 2016/679) et la loi du 1er août 2018 imposent des précautions strictes sur les données liées à l'évolution professionnelle : évaluations, promotions, formations, augmentations, mesures disciplinaires. Ces données ne peuvent être traitées que sur une base légale (exécution du contrat, intérêt légitime, obligation légale) et dans la limite du strictement nécessaire.
L'employeur doit informer les salariés (article 13 RGPD), tenir un registre des activités (article 30), limiter les accès aux personnes habilitées et appliquer les règles de conservation des documents RH ainsi que des mesures de sécurité techniques et organisationnelles (article 32). Une analyse d'impact (AIPD, article 35) est requise en cas de risque élevé, notamment pour le profilage. Toute décision exclusivement automatisée par un système d'IA ayant des effets significatifs est interdite (article 22). Les sanctions CNPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Définition
Les données d'évolution professionnelle regroupent toutes les informations permettant de suivre la carrière du salarié : évaluations, promotions, formations, mobilités, augmentations, mesures disciplinaires.
Elles constituent des données à caractère personnel au sens de l'article 4.1 du RGPD dès lors qu'elles permettent d'identifier directement ou indirectement un salarié. Certaines (santé, opinions, syndicat) sont des données sensibles au sens de l'article 9.
Questions fréquentes
Conditions d’exercice
Le traitement de ces données obéit aux principes cumulatifs énoncés à l'article 5 du RGPD : licéité, loyauté, transparence, finalité, minimisation, exactitude, conservation limitée et sécurité.
| Condition | Exigence |
|---|---|
| Base légale | Exécution du contrat (art. 6.1.b), obligation légale (art. 6.1.c) ou intérêt légitime (art. 6.1.f) |
| Minimisation | Collecte limitée au strict nécessaire à la finalité RH déclarée |
| Information préalable | Salariés informés conformément aux articles 13 et 14 du RGPD |
| Habilitations | Accès restreint aux personnes ayant un besoin opérationnel justifié |
| Sécurité | Mesures techniques (chiffrement, journalisation) et organisationnelles |
| Durée de conservation | Justifiée par la finalité, documentée dans une politique interne |
Modalités pratiques
Le respect du RGPD se traduit par une chaîne documentaire complète, de la collecte à la suppression des données.
| Démarche | Précision |
|---|---|
| Registre des traitements | Tenu conformément à l'article 30 du RGPD |
| AIPD | Analyse d'impact obligatoire en cas de profilage ou de risque élevé (art. 35) |
| Notice d'information | Communiquée aux salariés (finalités, durées, droits, destinataires) |
| Droits des salariés | Accès, rectification, opposition, effacement, limitation, portabilité (art. 15-22) |
| Encadrement des sous-traitants | Contrat conforme à l'article 28 (prestataires SIRH, formation, audit) |
| Codécision délégation | Système automatisé de gestion du personnel soumis à L.414-9, point 1 |
| Notification des violations | À la CNPD sous 72 heures (art. 33) |
Pratiques et recommandations
Réaliser une AIPD avant tout déploiement d'outil RH impliquant un profilage ou une évaluation automatisée.
Documenter les bases légales retenues pour chaque finalité de traitement (évaluation, promotion, formation, sanction).
Former les responsables RH et managers ayant accès aux données aux principes du RGPD et à la sécurité des données.
Garantir l'encadrement humain pour toute décision affectant l'évolution professionnelle (article 22 RGPD).
Auditer annuellement la conformité (registre, durées de conservation, habilitations, sécurité).
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 6, 9, 13-22, 30, 32, 35 |
| Loi du 1er août 2018 | Organisation de la CNPD et régime général de protection des données |
| Art. L.261-1 du Code du travail | Traitement de données à des fins de surveillance des salariés |
| Art. L.241-1 | Interdiction de la discrimination fondée sur le sexe |
| Art. L.251-1 | Interdiction des discriminations fondées sur la religion, le handicap, l'âge, l'orientation sexuelle, la nationalité, la race |
| Art. L.414-9, point 1 | Codécision de la délégation sur les systèmes automatisés de gestion du personnel |
Note
L'absence d'encadrement humain pour une décision RH fondée sur un traitement automatisé constitue une violation directe de l'article 22 du RGPD. La documentation rigoureuse des traitements et la traçabilité des accès demeurent les premières lignes de défense en cas de contrôle CNPD.