Depuis mai 2018, la collecte de données personnelles relatives aux salariés est encadrée et une analyse d’impact relative à la protection des données doit être menée lorsqu’un traitement de données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Afin d’identifier ces traitements, le RGPD impose que chaque Etat publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise. La CNIL a rendu deux délibérations en ce sens. L’une d’entre elle liste les 14 types d’opérations de traitement pour lesquelles l’analyse d’impact est requise : il s’agit d’opérations considérées à risque car elles cumulent au moins deux critères définis comme risqué par le Comité européen à la protection des données. Dans cette liste, au moins trois types de traitement concernent les services des ressources humaines :

– les traitements « établissant des profils de personnes physiques à des fins de gestion des ressources humaines » tels que le traitement visant à proposer des actions de formation personnalisées grâce à un algorithme ou le traitement de détection et gestion de hauts potentiels visant à faciliter le recrutement.

– les traitements « ayant pour finalité de surveiller de manière constante l’activité des employés concernés », tels que la vidéosurveillance constante.

– et, les traitements « ayant pour finalité la gestion des alertes et des signalements en matière professionnelle » tels que les procédures internes de recueil des signalements des lanceurs d’alerte (trafic d’influence, corruption, devoir de vigilance).

Cette liste présente un caractère non exhaustif. Une liste des traitements ne présentant pas de risque élevé et non soumis à une analyse d’impact devrait être publiée ultérieurement (Délib. CNIL n°2018-326 du 11 octobre 2018 et Délib. CNIL n°2018-327 du 11 octobre 2018).