Il est accompagné d’un document questions/réponses diffusé sur le site de la CNIL.

L’employeur doit respecter les règles relatives à la protection des données personnelles pour tous les traitements qu’il met en œuvre et qui l’amènent à gérer des données personnelles notamment des salariés.

​La conformité au RGPD des traitements courants de gestion des RH

​Traitements courants visés

Le respect du référentiel permet à l’employeur d’assurer la conformité aux règles RGPD des traitements courants de données personnelles qu’il met en œuvre pour gérer :

• Le recrutement ;
• Le personnel (salariés en CDI, en CDD, stagiaires, apprentis, etc.) ;
• Et la paye.

Le référentiel n’a pas de caractère contraignant. L’employeur peut donc s’en écarter, par exemple en appliquant des durées de conservation des données personnelles différentes de celles préconisées par le référentiel, mais il devra alors être en mesure de justifier ses choix compte tenu des spécificités de l’entreprise.

​Traitements et organismes non visés

Le référentiel ne s’applique pas :

• Aux syndicats ;
• Au comité social et économique (CSE) ;
• Au service de la médecine du travail ;
• Aux traitements de gestion RH impliquant le recours à des outils innovants (ex. : traitements algorithmiques à des fins de profilage) ;
• Aux traitements ayant pour objet ou pour effet le contrôle individuel de l’activité des salariés ;
• Aux entreprises temporaires de travail.