En juin 2025, la CNIL a publié une recommandations sur le traitement des données personnelles dans le cadre de la mesure de la diversité en milieu professionnel. Cette publication fait suite à un appel à participation de la CNIL, visant à recueillir les retours des professionnels, institutions et acteurs engagés sur les enjeux de discrimination et de représentativité dans l’emploi.
L’objectif de cette recommandation est double : faciliter la mise en place de dispositifs de mesure de la diversité, tout en garantissant la protection des droits des salariés.
Quels traitements sont concernés ?
La recommandation vise les enquêtes dites « autoadministrées », c’est-à-dire les questionnaires remplis directement et volontairement par les salariés, à la demande de l’organisme. Ces enquêtes permettent de collecter des informations sensibles ou personnelles (origine perçue, orientation sexuelle, handicap, etc.) à des fins statistiques. Il ne s’agit pas de constituer des fichiers nominatifs, mais de produire des données agrégées concernant la diversité au sein des équipes.
Quels organismes sont concernés ?
La recommandation s’adresse à tous les organismes (publics et privés) qui mettent en place un questionnaire interne sur les sujets de diversité au travail, qu’ils soient tenus par une obligation légale de procéder à ces vérifications ou non.
Comment procéder de manière licite à ce type de traitement ?
Pour rappel, une partie des données à caractère personnel traitées par les Ressources Humaines de manière habituelle, et potentiellement récoltées dans les formulaires auto-administrés, sont des données sensibles au sens du RGPD. Ce type de données ne pouvant, par principe, pas être traitées, les organismes doivent se positionner sur une des exceptions prévues à l’article 9 du RGPD, et sécuriser fortement le traitement.
Définir des finalités claires et légitimes
Tout traitement de données à caractère personnel doit disposer de finalités déterminées, explicites et légitimes (il s’agit d’un des principes fondamentaux du RGPD).
La mesure de la diversité au sein de l’organisme doit être fragmentée en plusieurs finalités, strictement statistiques, ou concernant l’égalité des chances et la prévention des discriminations. Aucune finalité relative à l’évaluation individuelle des collaborateurs ne saurait être permise.
Fonder le traitement sur l’intérêt légitime
Bien que la récolte d’indicateurs relatifs à la diversité au travail (parité homme-femme, recrutement des minorités, recrutement de personnes en situation de handicap, …) soit parfois rendu obligatoire par la loi, la CNIL recommande de fonder le traitement des données personnelles relatives à la diversité au travail sur l’intérêt légitime du responsable du traitement.
Cela s’explique par le périmètre restreint des recommandations (qui ne concerne que les questionnaires auto-administrés) et par la possibilité pour des organismes non-asujettis à ces obligations, de réaliser eux-aussi ce type d’analyse.
Fonder le traitement sur l’intérêt légitime du responsable du traitement implique la nécessité de rédiger une justification de l’existence de cet intérêt, ainsi que des gardes-fous mis en place, et de le fonder aussi, pour le traitement des données sensibles au sein des questionnaires, sur l’une des dérogations permettant de traiter des données sensibles.
Respecter le consentement des participants
La CNIL recommande, concernant le fondement permettant de traiter des données sensibles, de se baser sur le consentement des personnes au traitement de leurs données. Première des dérogations possibles à l’interdiction de traitement des données sensibles, le consentement implique un choix, libre pour les personnes et non-biaisé, de répondre ou non au questionnaire.
La CNIL insiste sur l’importance du volontariat : répondre au questionnaire doit se faire après l’activation volontaire d’un lien, ou le renseignement papier directement par la personne ; les personnes ne doivent pas recevoir d’avantage s’ils répondent au questionnaire, et au contraire ne pas être pénalisés s’ils choisissent de ne pas y répondre ; aucune relance individuelle ne doit être réalisée ; les collaborateurs doivent être clairement informés de leurs droits et ce qui sera fait des données.
Sécurité : anonymiser ou pseudonymiser
La CNIL recommande fortement d’assurer l’anonymat des répondants lorsque cela est techniquement possible. Cela suppose non seulement de ne pas utiliser de traceurs ni de données directement identifiantes (nom, prénom, …) mais aussi de ne pas récolter de données indirectement identifiantes (fonctions, services, années d’ancienneté, …).
Lorsque l’anonymisation n’est pas possible ou n’est pas envisagée, la pseudonymisation est une alternative conseillée, afin d’assurer la sécurité des données.
Respecter le principe de minimisation des données
Le RGPD impose aux organismes de ne récolter que le strict minimum nécessaire (en termes de données obligatoires) dans le cadre des traitements.
La CNIL rappelle que, dans le cadre des questionnaires auto-administrés à l’intention des collaborateurs :
- les questions doivent être limitées à ce qui est nécessaire pour les analyses statistiques ;
- les questions doivent se référer à des visions subjectives (comment la personne se perçoit et perçoit son environnement) plutôt que des questions objectives ;
- il est déconseillé de poser des questions ouvertes : les listes déroulantes ou cases à cocher doivent être préférées (la personne peut ainsi difficilement fournir plus d’informations que ce qui lui est demandé) ;
- les questions précises sont à proscrire au maximum, pour préférer des tranches ou données générales (par exemple, des cases à cocher avec des tranches d’âge – 18 à 25 ans, 26 à 35 ans, etc. – plutôt que de demander la date de naissance).
Choisir une durée de conservation des données
Le RGPD impose aux organismes de supprimer les données au bout d’un certain temps. Hormis quelques rares exceptions, toutes les données doivent faire l’objet d’une suppression après une période de temps, qui peut être définie par la loi, des besoins juridiques, par la CNIL et parfois par les organismes seuls.
La CNIL recommande aujourd’hui de rendre assez rapidement les données anonymes, afin de les sortir tôt du champ d’application du RGPD, et de pouvoir les réutiliser plus facilement, sinon de ne pas conserver plus longtemps les données que le temps nécessaires à la réalisation des statistiques, et à la vérification des données.
En tout état de cause, la CNIL indique dans sa recommandation qu’une durée de six (6) mois lui semble suffisante pour procéder à l’analyse des données.
Informer les salariés convenablement
Les salariés doivent être informés du traitement qui sera mis en oeuvre conformément aux dispositions des articles 12 à 14 du RGPD. Ces mentions comprennent notamment les finalités du traitement, les bases juridiques de celui-ci, les durées de conservation des données, les droits des répondants, etc.
Aller plus loin
Afin de s’assurer de la conformité du traitement, la CNIL indique que les organismes peuvent choisir de recourrir à un prestataire de confiance pour administrer ce type de traitement.
Par ailleurs, il peut être nécessaire de réaliser une Analyse d’Impact sur la Protection des Données (AIPD) si le questionnaire comprend plusieurs données sensibles.
Enfin, la CNIL recommande de ne partager les résultats que lorsque ceux-ci, agrégés, sont obtenus après étude auprès d’un minimum de participants, avec un risque faible de réidentification. En effet, si l’étude est réalisée à partir de peu de réponses, ou présente des résultats très spécifiques, la réidentification au sein d’un organisme, par des collaborateurs, des répondants sera parfois possible, rendant possible la survenance de discriminations ou d’atteintes aux droits des personnes.
En cas de réidentification, le caractère anonyme des données serait d’ailleurs perdu.
_____________________________________
Des questions ? Besoin d’aide ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche de conformité et renforcer la confiance de vos clients dans la gestion de leurs données personnelles.