Après la réforme RGPD de la loi de France « informatique et libertés », l’adoption de référentiels est l’une des nouvelles autorités dont dispose la prospection commerciale cnil. Ces référentiels ont valeur de recommandations. Ils sont conçus pour faciliter la cohérence du traitement des données avec le texte sur la protection de celles-ci. Ils doivent également aider à l’analyse des conséquences. En l’occurrence, la CNIL vient de publier deux projets de normes qu’elle soumet également à la consultation publique : l’une dédiée à la « gestion commerciale » et l’autre dédiée à la « gestion des impayés ».
Qu’est-ce qu’un référentiel ?
Le référentiel est un document élaboré par la CNIL. Il a pour but de concevoir un référentiel. C’est celui-ci que les organisations s’appuient pour établir certaines activités de traitement de données à caractère personnel en accord avec la réglementation en vigueur. Avant son élaboration, la CNIL doit examiner les services ou organismes responsables. Elle doit prendre en compte les enjeux et les obligations auxquels ils sont confrontés dans l’exercice de ces actions de traitements spécifiques. De cette manière, un référentiel peut être développé pour répondre à autant de questions que les professionnels leur demandent. Comme cela, ils se conforment à la rgpd prospection b2b et à la loi Informatique et Libertés (« LIL »). Le référentiel est une sorte de cadre de référence établi par la CNIL ou le CEPD (par exemple, il comprend les lignes directrices du CEPD, les lignes directrices de la CNIL, les normes, les règlements, les recommandations, etc.). Ce sont des outils de similitude qui vous sont profitables à condition que vos activités de traitement s’introduisent dans leur champ d’application. Par conséquent, ce référentiel est pertinent si votre organisation traite les données personnelles des employés. Au cas où vous souhaitez également vérifier la conformité des activités de traitement ou comprendre les étapes à suivre pour atteindre cette conformité.
Ce référentiel s’adresse à qui ?
Cette norme s’applique à tout employeur public ou privé dans le cadre de ses activités de gestion des ressources humaines. Tout employeur implique le traitement des données personnelles de ses employés. Le champ d’application de ce document est très large, et il s’applique à l’ensemble du personnel de l’employeur, qu’il soit temporaire ou permanent. Par contre, la CNIL a spécifié que ce référentiel n’est pas applicable aux « relations sociales patronales présentant des caractéristiques importantes, telles que les activités des sociétés de travail temporaire ou les fonctions des instances représentatives du personnel ».
Qu’est-ce que le projet de référentiel gestion commerciale ?
Le projet référentiel supervise la mise en œuvre des dossiers « client » et « prospect ». Il ne s’applique pas aux procédures établies par des institutions médicales ou éducatives, des banques ou des institutions similaires, des compagnies d’assurance et des opérateurs agréés par les régulateurs des jeux en ligne au cours d’une prospection commerciale par sms ou d’autres types.
Qu’est-ce que le projet de référentiel « impayés » ?
Le projet de référence offre un cadre aux entités de droit privé ou de droit public. Il met en œuvre des procédures éprouvées de gestion des créances douteuses. Il ne s’applique pas aux traitements destinés à détecter le risque de non-paiement ou à identifier des irrégularités autres que monétaires. Le respect de ces deux normes garantira que la gestion des impayés et les activités commerciales respectent les principes relatifs à la protection des données. Afin de consulter les organismes publics et privés qui désirent appliquer les traitements de cette nature, la CNIL a mis en place le lancement de telles consultations publiques sur ces projets de référence. Dans le cadre de vos observations, vous êtes invité à utiliser des informations précises pour éclairer vos réponses. Cela vous permettra de mieux entreprendre vos besoins. La consultation a pris fin le 11 Janvier 2019. Le nouveau projet de norme sera adopté lors de la réunion plénière du comité.
Globalement, que contient ce référentiel ?
Le référentiel couvre le traitement des données à caractère personnel dans le cadre de la gestion des ressources humaines. Notamment, vous y dénichez :
Liste des objectifs possibles pour votre processus de gestion du personnel
Cela vous permettra d’agencer les enregistrements de traitement. Si nécessaire, de mieux répartir ces enregistrements en fonction de la finalité poursuivie et de la base juridique éventuelle.
Liste des bases juridiques applicables à vos activités de traitement de données RH
La CNIL distingue ici la base légale du consentement « le plus fréquemment mobilisé ». C’est une base légale qui ne peut être utilisée que dans « certaines circonstances particulières ».
La CNIL fournit des informations détaillées très utiles sur le formulaire, à titre indicatif uniquement (applicable à différentes options dans certaines circonstances), et vous pouvez choisir la base juridique en fonction de l’objectif que vous poursuivez.
Liste des données pertinentes prises en compte par la CNIL dans la gestion des ressources humaines
Cette section est captivante, car la CNIL illustre des cas complexes de traitement de données à caractère sensible (santé des salariés) ou tout aussi sensible (comme les numéros de sécurité sociale).
La CNIL répertorie de manière très détaillée les informations susceptibles d’être traitées en fonction de la finalité poursuivie. Ce tableau est particulièrement utile pour comprendre les restrictions qui doivent être fixées dans les données traitées ou non définies.
Les types de destinataires qui peuvent être autorisés à recevoir les données de vos employés
En fonction de la structure de l’organisation, la période de conservation « typique » qui peut être appliquée
La CNIL a réalisé un tableau très populaire, qui fournit des exemples spécifiques pour chaque activité de traitement. Elle explique la durée de conservation à appliquer dans la base de données d’activités puis dans l’archive intermédiaire, et renvoie à la réglementation applicable.
Un tableau décrivant les mesures de sécurité à mettre en œuvre pour maintenir la sécurité des données des employés
Par conséquent, la CNIL stipule que si votre organisation ne prend pas ces mesures, vous devez prouver l’équivalence des mesures de sécurité mises en œuvre ou considérer les raisons pour lesquelles ces mesures ne sont pas nécessaires.