Claeys & Engels
Rechercher

Mesure de la diversité au travail - L’autorité française de protection des données (CNIL) partage des recommandations

Newsflash
Protection des données et de la vie privée

L’Autorité française de protection des données (CNIL) a établi une recommandation pour mesurer la diversité au sein des entreprises. Par cette recommandation, la CNIL souhaite fournir des outils permettant de trouver un équilibre entre la promotion de l’égalité des chances et la protection des données à caractère personnel.

La mesure de la diversité est utilisée pour évaluer la diversité au sein des effectifs d’une entreprise sur la base de divers facteurs tels que le sexe, l’âge, l’origine sociale, géographique ou culturelle, ainsi que le handicap. L’objectif d’une telle mesure est de pouvoir prendre, sur la base de chiffres objectifs, une mesure visant à promouvoir un environnement de travail plus diversifié et inclusif. Bien que la mesure de la diversité soit généralement entreprise dans une optique positive, elle comporte néanmoins certains risques, notamment en matière de protection des données, de vie privée et de discrimination.

Dans un précédent newsflash, nous avons abordé la position de l’Autorité belge de protection des données sur ce sujet et la complexité que cela engendre pour les employeurs. Les recommandations de la CNIL peuvent constituer un complément utile à cet égard.

Caractère volontaire

L’employeur doit s’assurer que la participation à l’enquête est entièrement volontaire, sans aucune forme de contrainte. Les travailleurs doivent être libres de décider s’ils souhaitent y participer, et un refus ne peut entraîner aucune conséquence négative pour le travailleur. Ce caractère volontaire doit, selon la CNIL, également être garanti pour chaque question (par exemple, en prévoyant une option « ne souhaite pas répondre »).

Les enquêtes anonymes sont fortement recommandées…

La CNIL recommande de privilégier autant que possible les enquêtes anonymes. Cela signifie concrètement qu’aucune donnée permettant d’identifier le participant ne doit être traitée (par exemple : nom, date de naissance, adresse, adresse IP, numéro de matricule, etc.).

Il convient également de tenir compte de la possibilité de réidentification par croisement des réponses à différentes questions dans la même enquête, ou même à différentes enquêtes. Même si les réponses individuelles sont anonymes, leur combinaison peut permettre d’identifier un participant.

La CNIL recommande donc, comme bonne pratique, d’utiliser autant que possible des formulations globales et des questions à choix multiples. Par exemple, au lieu de demander l’âge exact dans l’enquête, il est possible de travailler avec une fourchette plus large  (par ex. : « Avez-vous entre 20 et 25 ans, 25 et 30 ans, ou plus de 30 ans ? »). Selon la CNIL, les questions ouvertes sont à éviter autant que possible. Cela s’inscrit également dans une optique de minimisation des données.

Enfin, la CNIL souligne que la taille de l’entreprise ou des départements concernés joue également un rôle important dans la possibilité de réidentification. Une enquête anonyme menée dans un service de 10 personnes conduira rapidement à la réidentification des participants.

… mais pas obligatoires

La CNIL reconnaît toutefois qu’il n’est pas toujours possible de mener des enquêtes anonymes et confirme que les mesures de diversité ne doivent pas obligatoirement être anonymisées pour être juridiquement valides.

Si l’enquête sur la diversité n’est pas totalement anonyme, le RGPD s’applique. Cela entraine bien entendu plusieurs conséquences :

a) Base juridique applicable

Mesurer la diversité peut, selon la CNIL, reposer sur l’intérêt légitime de l’employeur, notamment lorsqu’elle s’inscrit dans une politique de prévention et de lutte contre les discriminations. La CNIL formule plusieurs recommandations pour garantir un équilibre entre les droits et libertés des travailleurs et les intérêts de l’employeur.

b) Tiers de confiance

Il est recommandé de faire appel à un tiers externe et indépendant pour gérer l’enquête et restituer les résultats de manière anonyme, afin de garantir la sécurité et la confidentialité des données. Toutefois, le recours à un tiers de confiance n’est pas une condition obligatoire de licéité de telles enquêtes. Une enquête réalisée sans l’intervention d’un tiers de confiance peut être licite, à condition que d’autres garanties soient mises en place, notamment que les données et les réponses à l’enquête soient accessibles uniquement sur la base d’un strict « need-to-know ».

c) Catégories particulières de données

Pour la collecte de de catégories particulières de données à caractère personnel, telles que l’origine ethnique ou les convictions religieuses, un consentement explicite est requis. Ce consentement doit, en outre, être libre, spécifique, éclairé et univoque. La question se pose toutefois de savoir si un tel consentement peut réellement être libre dans une relation de travail, compte tenu de la position de dépendance dans laquelle se trouve le travailleur.

d) Autres recommandations

Par ailleurs, la CNIL souligne dans sa recommandation l’importance d’une transparence totale envers les personnes concernées, de la formalisation d’accords clairs avec les sous-traitants et/ou responsables conjoints du traitement, de la définition d’une durée de conservation des réponses (la CNIL suggérant un maximum de 6 mois), de la réalisation préalable d’une analyse d’impact relative à la protection des données (AIPD) et de la mise en œuvre de mesures garantissant la confidentialité et la sécurité des données.

Point d'attention

Pour les employeurs belges, les recommandations du précédent newsflash restent pleinement applicables, mais les points ci-dessous peuvent servir d’inspiration pour une mesure de la diversité au travail :

  • Assurez une participation volontaire, sans aucune forme de contrainte.
  • Dans la mesure du possible, anonymisez les données dès leur collecte.
  • Fournissez des informations claires sur l’objectif de l’enquête et les droits des participants.
  • Ne collectez que les données nécessaires à l’enquête.
  • Demandez un consentement explicite pour le traitement des données sensibles.
  • Envisagez de faire appel à un tiers indépendante.