Une ASBL peut-elle réaliser une cartographie des risques RH ?
Réponse courte
Une ASBL luxembourgeoise peut réaliser une cartographie des risques RH, démarche qui, bien que non obligatoire, s'inscrit dans l'obligation générale de sécurité de l'employeur prévue à l'art. L.312-1 du Code du travail. Elle nécessite la consultation préalable de la délégation du personnel pour les structures de 15 salariés et plus (art. L.414-1) et le respect strict du RGPD pour la collecte et le traitement des données.
La cartographie doit couvrir les aspects juridiques, organisationnels, psychosociaux et sanitaires affectant les salariés et bénévoles. La collecte de données doit être limitée au strict nécessaire selon le principe de minimisation du RGPD, avec des critères d'évaluation objectifs et mesurables. Tout manquement en matière de protection des données peut entraîner des sanctions de la CNPD pouvant atteindre 4 % du chiffre d'affaires annuel ou 20 millions d'euros. Une révision annuelle du document est recommandée.
Définition
La cartographie des risques RH est un outil méthodologique permettant d'identifier, d'évaluer et de hiérarchiser les risques liés à la gestion des ressources humaines. Elle englobe les aspects juridiques, organisationnels, psychosociaux et sanitaires pouvant affecter les salariés et bénévoles d'une ASBL, en complément d'un audit RH externe.
Conditions d’exercice
La réalisation d'une cartographie des risques RH est soumise à plusieurs conditions légales.
| Condition | Détail |
|---|---|
| Information préalable et consultation | Information préalable et consultation obligatoire de la délégation du personnel (Art. L.414-1) |
| Respect du RGPD et | Respect du RGPD et de la loi modifiée du 1er août 2018 sur la protection des données |
| Conformité avec les obligations | Conformité avec les obligations de non-discrimination (Art. L.241-1 à L.254-1) |
| Respect du principe de | Respect du principe de proportionnalité dans la collecte des données |
| Documentation complète du processus | Documentation complète du processus et des mesures de protection mises en place |
Modalités pratiques
La mise en œuvre doit suivre un processus structuré.
| Élément | Détail |
|---|---|
| Désignation d'un responsable de | Désignation d'un responsable de projet et consultation du DPO |
| Définition précise du périmètre | Définition précise du périmètre et des objectifs |
| Établissement d'une méthodologie d'identification | Établissement d'une méthodologie d'identification des risques |
| Création d'un registre des | Création d'un registre des traitements conforme au RGPD |
| Information individuelle des salariés | Information individuelle des salariés sur leurs droits |
| Mise en place de | Mise en place de mesures de sécurité appropriées |
| Documentation des procédures et | Documentation des procédures et création d'un plan d'action |
Pratiques et recommandations
Pour une mise en œuvre optimale :
- Privilégier une approche participative incluant les représentants du personnel
- Limiter la collecte aux données strictement nécessaires
- Établir des critères d'évaluation objectifs et mesurables
- Prévoir une révision annuelle de la cartographie
- Former les personnes impliquées dans le processus
- Assurer la traçabilité des actions entreprises
- Mettre en place des indicateurs de suivi
Cadre juridique
La démarche s'inscrit dans le cadre :
- Art. L.312-1 du Code du travail (obligation générale de sécurité)
- Art. L.414-1 à L.414-7 (consultation de la délégation du personnel)
- Art. L.241-1 à L.254-1 (non-discrimination)
- Loi modifiée du 1er août 2018 relative à la protection des données
- Règlement (UE) 2016/679 (RGPD)
- Art. L.261-1 (surveillance des salariés)
- Art. L.251-1 (protection des données dans l'emploi)
Note
La cartographie des risques RH, bien que facultative, engage la responsabilité de l'ASBL en matière de protection des données. Tout manquement peut entraîner des sanctions administratives et pénales de la CNPD pouvant atteindre 4% du chiffre d'affaires annuel ou 20 millions d'euros.