Recommandations sur les enquêtes de mesure de la diversité en milieu professionnel - compte-rendu de la journée RGPD de la CNIL du 12/06/24 à Nancy

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 12 juin dernier, la CNIL a animé une journée RGPD à Nancy, en collaboration avec l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 6 publications :

• Recommandations sur les enquêtes de mesure de la diversité en milieu professionnel
• Ouverture et réutilisation des données publiées sur internet
• Enjeux lA et évolution du rôle du DPO
• IA et éthique : connaître les biais pour fixer les règles
• Cybermalveillance et remédiation
• Écosystème des programmes malveillants et présentation des travaux au Loria dans le cadre du PEPR cybersécurité

Dans ce premier article relatif à la journée RGPD de la CNIL à Nancy, concentrons-nous sur les recommandations de la CNIL portant sur les enquêtes de mesure de la diversité en milieu professionnel.

Suite à un sondage réalisé lors de cette journée RGPD, la majorité des participants a révélé n’avoir pas encore mené d'enquête de mesure de la diversité dans leurs activités. Toutefois, la thématique de la diversité et de l'inclusion en milieu professionnel gagne en importance en raison des obligations légales liées à la responsabilité sociétale des entreprises (RSE), notamment dans les grands groupes.

Ces enquêtes ont pour objectifs l'évaluation des progrès accomplis en matière de diversité et d'inclusion sur le lieu de travail, ainsi que la compréhension de la perception des employés sur la culture d'entreprise actuelle.

Dès lors, il est apparu essentiel de disposer d'un cadre en adéquation avec les principes du Règlement général sur la protection des données (RGPD), d’où les recommandations de la CNIL.

Dans le domaine des ressources humaines, plusieurs règles spécifiques s'appliquent, notamment :

• La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite “loi informatique et libertés” ;
• Le code du travail ;
• Les conventions collectives, qui apportent des précisions supplémentaires.

De plus, d’autres précisions peuvent être apportées par la jurisprudence, notamment la décision n° 2007-557 DC du Conseil Constitutionnel en date du 15 novembre 2007, interdisant le recours à des référentiels ethno-raciaux.

Par conséquent, les entreprises devront être en mesure de conduire ces enquêtes dans le respect du cadre légal en vigueur, tout en veillant à créer un environnement de travail inclusif et bienveillant pour tous les collaborateurs.

Compte-tenu de l'importance croissante du sujet, il est donc crucial de se pencher sur les recommandations de la CNIL en la matière. Elles portent sur deux points essentiels : un rappel des obligations à mettre en place et les bonnes pratiques.

1/ Rappel des obligations

La CNIL rappelle plusieurs obligations. En cas de non-respect, les responsables de traitements courent divers risques (mises en demeure, injonctions, risque réputationnel, sanctions pécuniaires et/ou pénales…).

A) Définir une finalité légitime

La finalité doit s’inscrire dans une démarche de promotion de l’égalité et de lutte contre les discriminations. Elle doit être au service des salariés et les décisions doivent être prises collectivement. Elle ne doit pas être utilisée pour un usage différent : il s’agirait alors d’un détournement de finalité.

Déterminer clairement la finalité est essentiel pour ensuite cadrer et limiter le champ du traitement de données.

B) Limiter les informations collectées

Conformément au principe de minimisation des données du RGPD, les données personnelles collectées doivent être limitées à ce qui est strictement nécessaire pour la finalité du traitement.

Pour les enquêtes de mesure de la diversité en milieu professionnel, il convient donc d'éviter de poser un trop grand nombre de questions qui, outre l’apparition d’un flux de réponses conséquent, serait contraire au principe de minimisation précité.

Bien que le Conseil Constitutionnel ait, l’on a vu, interdit la création de référentiels ethno-raciaux (n° 2007-557 DC, 15/11/2007), il est toutefois possible de collecter des données objectives (nationalité, langue des parents…) ou subjectives (sentiment d'appartenance…).

La CNIL recommande l’utilisation de questions fermées — réponse par oui ou par non — afin d’éviter les débordements. Cependant, pour les questions subjectives, il est possible de ne pas recourir à des questions fermées.

C) Assurer le volontariat

Il est important que l’employeur n’impose pas aux personnes de répondre à l’enquête. Elles ne doivent pas se sentir obligées d’y répondre.

En outre, il faut donner la possibilité aux personnes de ne pas répondre à certaines questions (c’est-à-dire de ne pas imposer des questions obligatoires).

Pour les relances, il faut que le message ne soit pas uniquement envoyé aux personnes qui n’ont pas répondu, ni viser un groupe particulier.

D) Assurer le consentement

Le consentement doit être exprimé de façon libre, spécifique, éclairé et univoque. Cette obligation est cruciale du fait du traitement de données sensibles — questions en lien avec l’état de santé et les origines.

Il est donc important de jouer sur l’architecture du questionnaire : elle doit permettre d’obtenir le consentement (ex : case à cocher pour exprimer librement le consentement de la personne remplissant l’enquête de diversité).

Pour garantir l'anonymat tout en obtenant le consentement, il est recommandé de recourir à un tiers de confiance ou de stocker les réponses dans des bases de données différentes permettant le non-croisement des données. En effet, en cas de contrôle, l’employeur réalisant l’enquête — responsable de traitement — devra prouver non seulement qu’il a bien demandé le consentement, mais devra également prouver la source du consentement. Dès lors, ces deux possibilités permettent d’obtenir les réponses du questionnaire sans que l’entreprise ait la main dessus.

E) Informer et garantir les droits

Les personnes doivent être informées des droits suivants concernant leurs données personnelles collectées dans le cadre d'une enquête de mesure de la diversité au travail :

• Le droit d’accéder à leurs données (droit d’accès)
• Le droit de rectifier leurs données (droit à la rectification)
• Le droit de limiter le traitement de leurs données (droit à la limitation)
• Le droit de retirer leur consentement (retrait du consentement)
• Le droit de supprimer leurs données (droit à l’oubli)
• Le droit de porter de leurs données (droit à la portabilité)
• Le droit de définir le sort de leurs données après leur mort (conformément aux dispositions de l’article 85-I de la loi n°78-17 du 6 janvier 1978 modifiée par la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles)

Pour assurer l’exercice de leurs droits sur leurs données personnelles collectées, les personnes concernées doivent être informées via un document (mail, notice d’information…) rédigé de façon claire, accessible et complète. Il est d’ailleurs fortement recommandé de présenter le projet en amont aux représentants du personnel afin de s’assurer du respect des droits des personnes.

Enfin, pour que les individus puissent exercer leurs droits, leur exercice doit leur être facilité, notamment par un accès simple — toutefois, en cas de réponses anonymes, il n’est pas nécessaire de recourir à un tel accès. L’information des personnes reste quant à elle obligatoire, quel que soit le traitement de données personnelles effectué.

2/ Les bonnes pratiques

Les bonnes pratiques s'organisent en trois piliers clés.

A) Anonymiser les données

La première bonne pratique s’illustre par l’anonymisation des données. Pour atteindre cet objectif dans le cadre des enquêtes de mesure de la diversité dans le milieu professionnel, il ne faut pas utiliser d'identifiants ni communiquer de noms lors de ces enquêtes. L’attention doit être portée sur le niveau de granularité des questions, afin d’éviter l’identification d’une personne ayant répondu à l’enquête et donc respecter l’anonymat (ex : demander une tranche d’âge plutôt qu’une date de naissance complète).

Une fois les statistiques consolidées suite aux réponses de l’enquête, il faut anonymiser les résultats et supprimer les données le plus rapidement possible au regard de leur sensibilité. En effet, limiter la durée de conservation des données permet de ne pas conserver les données plus longtemps que nécessaire. La durée de conservation des données doit être limitée à celle nécessaire pour atteindre la finalité de l'enquête. Le réflexe à avoir en tête face à ce type de traitement de données est de recourir autant que possible à l’anonymisation des données, puisqu’elle va permettre de garantir la confidentialité des réponses mais aussi de rassurer les personnes sur l'utilisation de leurs données et d’éventuelles violations.

B) Recourir à un tiers de confiance

En plus de l’anonymisation, la CNIL préconise le recours à un tiers de confiance : un prestataire externe et indépendant, dont le rôle consiste à piloter et administrer les enquêtes de diversité. Il restitue les résultats à l’employeur mais ne lui donne pas accès aux réponses. Le tiers de confiance permet donc de créer une distance entre les résultats de l’enquête et l’employeur, afin de respecter l’anonymat et d’empêcher l’identification des personnes ayant répondu au questionnaire. Recourir à un tiers de confiance permet ainsi de garantir une meilleure confidentialité et sécurité des données collectées.

La CNIL encourage d’ailleurs les organismes à interroger les tiers de confiance sur leurs méthodes de travail afin de choisir celui qui serait le plus en adéquation avec les valeurs des organismes en question.

C) Réaliser une analyse d’impact sur la protection des données (AIPD)

Enfin, la CNIL porte un point d’attention sur la réalisation d’une analyse d’impact sur la protection des données (AIPD) qui :

• est obligatoire pour les traitements de données figurant parmis la liste réalisée par la CNIL où une AIPD est requise ;
• est obligatoire pour les traitements de données cochant au moins 2 des 9 critères du G29 — groupe de travail ayant instauré 9 critères permettant de savoir si une AIPD doit être réalisée ;
• est une bonne pratique à mettre en place pour les traitements de données comportant des données sensibles — à condition qu’ils ne figurent pas parmi la liste réalisée par la CNIL où une AIPD n’est pas requise.

Pour les enquêtes de mesure de la diversité en milieu professionnel, il est donc recommandé de réaliser une AIPD, du fait de la sensibilité du sujet.

À la fin de sa réalisation, l’AIPD permettra de sanctionner ou de valoriser les travaux effectués en amont pour que le traitement des données soit en harmonie avec les principes du RGPD.

Speakers :

• Josépha BAUDIN, juriste au service de l'emploi, des solidarités, du sport et de l'habitat de la CNIL
• Emmanuel MEYER, délégué à la protection des données et RSSI de Sogetrel

Remerciements :

Merci à Christelle BERGÉ, Laurent IGOUT, Estelle HUBÉ-LAURENT, Arielle MIMOUNI et Natalie SCHMITZ pour leur relecture attentive.