Contexte
De nombreuses organisations privées ou publiques, et tout particulièrement les groupes internationaux, adoptent une démarche visant à l’égalité des chances, la diversité et l’inclusion. Dans ce contexte les organisations ont recours à des outils pour mesurer la diversité au sein de leurs effectifs. Il peut s’agir d’informations sur le sexe, les préférences sexuelles, la race, l’origine ethnique, la religion, le milieu socio-économique, la santé ou le handicap, qui peuvent les aider à comprendre le profil actuel de leur personnel, à évaluer l’impact de leurs politiques d’égalité des chances, à déterminer les mesures à prendre pour lever les obstacles au changement et à mesurer les progrès accomplis par rapport aux objectifs fixés.
Toutefois, dans certains pays du monde, la collecte et le suivi de ces données sont régis par diverses lois et il est socialement et culturellement inapproprié de poser certaines questions dans ce domaine.
En France, différentes réglementations et jurisprudences limitent la collecte de ces données, y compris le Règlement Général sur la Protection des Données de l’UE (« RGPD »). Les données relatives à l’origine/la race/l’ethnie sont particulièrement sensibles (comme le reflète notamment une décision du Conseil constitutionnel français du 15 novembre 2007 interdisant la collecte de ces données dans ce contexte).
Projet de recommandation
Afin de guider les organismes souhaitant mettre en place des enquêtes de mesure de la diversité, la CNIL soumet à consultation publique, jusqu’au 13 septembre 2024, un projet de recommandation.
Le projet inclut notamment des recommandations spécifiques au RGPD qui ne figuraient pas dans le guide « Mesurer pour progresser vers l’égalité des chances » que la CNIL avait publié avec le Défenseur des droits il y a douze ans (le « Guide »).
La recommandation aborde les questions ci-dessous en ce qui concerne les enquêtes sur la diversité.
Type d’enquête et de finalité
Les enquêtes doivent rester facultatives.
La base juridique la plus adaptée pour de telles enquêtes est l’intérêt légitime de l’organisation.
Toutefois, pour les « catégories particulières de données » (telles que définies à l’article 9 du RGPD, par exemple l’état de santé, l’orientation sexuelle ou l’origine raciale ou ethnique, etc) il est nécessaire d’obtenir le consentement, qui doit être donné librement et pouvoir être retiré à tout moment.
L’enquête doit s’inscrire dans une démarche d’amélioration de l’égalité des chances au travail et peut uniquement servir à déterminer des actions collectives (et ne saurait fonder des décisions individuelles).
Nos conseils pratiques
Expliquez clairement pourquoi vous souhaitez collecter des données sur la diversité au travail et comment elles s’intègrent dans votre stratégie globale d’égalité des chances.
Droits des participants
Les participants doivent être correctement informés, conformément aux exigences du RGPD et leurs droits doivent être respectés.
Les représentants du personnel devraient et, dans certains cas, doivent être impliqués (selon les exigences du droit du travail).
Nos conseils pratiques
Rédiger l’information avec soin. Tenir compte du type de relations que l’organisation entretient avec le personnel et ses représentants.
Confidentialité et anonymat
Les enquêtes doivent favoriser autant que possible l’anonymat et, en tout état de cause, garantir la confidentialité.
Les enquêtes ne doivent pas collecter des données permettant d’identifier les participants, ni poser des questions qui, mises bout à bout, permettent d’identifier indirectement un participant (dans ce contexte, la taille de l’organisation concernée joue un rôle important).
Les résultats de l’enquête doivent être anonymes et agrégés.
Des mesures de sécurité solides doivent être mises en place. Des mesures techniques spécifiques peuvent également devoir être mises en place dans le cas d’enquêtes en ligne.
Le recours à un tiers de confiance peut constituer une garantie valable, en assurant que l’employeur n’a pas accès aux données brutes collectées.
Nos conseils pratiques
Assurez-vous que vous disposez des logiciels/systèmes appropriés pour vous permettre de collecter et de stocker les données nécessaires et que la confidentialité et la sécurité de ces données peuvent être garanties.
Tous les fournisseurs d’applications ou de services d’enquête ne peuvent pas être considérés comme des tiers de confiance. Il est recommandé de lire attentivement les conditions générales et la politique de confidentialité de tout fournisseur.
Attention aux transferts internationaux de données dans le cadre du RGPD.
Les données collectées doivent être limitées
En ce qui concerne plus particulièrement les données relatives à la prétendue race et à l’origine ethnique, ces données ne peuvent pas être collectées, mais il est possible d’aborder la question en collectant (i) certains types de données objectives telles que le nom, le lieu de naissance des employés ou celui de leurs parents, et (ii) si nécessaire, des données subjectives relatives par exemple au sentiment d’appartenance ou à la manière dont la personne se considère perçue par les autres.
Malheureusement, le projet de recommandation ne couvre pas d’autres types de données sensibles visées par l’article 9 RGPD.
Nos conseils pratiques
En particulier dans les enquêtes couvrant plusieurs pays, vous devez explorer les sensibilités culturelles et les contraintes juridiques liées à d’autres catégories particulières de données de l’article 9 RGPD, telles que le sexe, les préférences sexuelles ou la santé/le handicap. Il se peut que les questions doivent être adaptées aux différents pays, par exemple lorsqu’il est inapproprié ou dangereux de demander à une personne de divulguer certaines informations. N’oubliez pas que des questions formulées de manière inappropriée peuvent offenser, dissuader les gens de répondre et/ou conduire à des résultats trompeurs. Dans la mesure du possible, offrez l’option « Préfère ne pas répondre » dans les questionnaires/enquêtes.
Conservation
Les données doivent être rendues anonymes et agrégées, et les données brutes doivent être supprimées dans un délai raisonnable.
Nos conseils pratiques : En France, il n’est pas possible de créer une base de données sur la diversité des employés (les données ne peuvent pas être conservées).
Rôle des parties
L’employeur est le responsable du traitement des données et, lorsqu’il fait appel à un tiers de confiance, ce dernier peut être un sous-traitant ou un responsable conjoint du traitement.
Nos conseils pratiques
Dans un groupe et en fonction du contexte et du contenu de l’enquête, le responsable du traitement peut être une autre société du groupe auquel appartient l’employeur.
Une évaluation de l’impact sur la protection des données est fortement recommandée
Nos conseils pratiques
Une DPIA (Digital Privacy Impact Assessment) vous aide à identifier et à minimiser les risques liés à la protection des données d’un projet et implique l’examen de questions telles que la nature, la portée, le contexte et les finalités du traitement, les mesures de conformité et de proportionnalité ainsi que l’évaluation des risques pour les personnes. En vertu du RGPD, les entreprises doivent généralement effectuer une DPIA lorsqu’elles traitent des « catégories spéciales de données ».
Prochaines étapes
La consultation publique est ouverte jusqu’au 13 septembre 2024.
A l’issue de cette consultation, la CNIL publiera sa recommandation finale.
***
Une version en anglais de cet article est publiée sur notre blog www.privacyworld.blog