A l'embauche, une demande d'autorisation préalable doit être formulée auprès de la Commission. Ne peuvent être collectées et traitées que les données strictement nécessaires à la réalisation des finalités poursuivies par le responsable du traitement. Tout transfert de données à l'étranger doit être préalablement notifié à la Commission. La Commission nationale de protection des données personnelles (CNDP) a finalement délibéré sur les informations relatives aux ressources humaines. Un modèle de demande d'autorisation type pour le traitement des données personnelles des employés apporte plusieurs éclaircissements aux opérateurs. Le texte concerne les structures assujetties au code du travail : entreprises privées, les professions libérales, les coopératives, les associations, et les syndicats. Le champ d'application de la demande d'autorisation devant être soumise à la CNDP couvre toutes les catégories de contrats (CDI, CDD, stagiaires, candidats à l'embauche). Seulement, les informations ne doivent servir que pour des dossiers concernant la société. D'abord la gestion du recrutement avec le traitement des CV, l'organisation des concours, constitution des dossiers de recrutement, organisation des entretiens d'embauche et des moyens d'évaluation. Viennent ensuite la gestion administrative avec son lot de déclarations fiscales, de paie, d'indemnités, de déplacements et de primes. Les litiges liés à la relation de travail ou encore les questions de mobilité professionnelles. Sauf dans des cas précis (impôts, prévoyance…), ces informations ne peuvent être communiquées à des tiers. Il en est de même pour les informations relatives aux dossiers de santé des employés. La délibération de la CNDP contient néanmoins une nouveauté par rapport à loi 09-08 relative aux données personnelles en incluant dans ces informations la gestion des carrières : nominations, promotions, l'avancement professionnel et des mesures disciplinaires ne peuvent être traitées et gardées que sur la base d'une autorisation de la CNDP. Les données relatives à l'évaluation professionnelle peuvent être gardées par l'employeur Concernant les informations collectées, l'institution dirigée par Said Ihrai fait la part belle au principe de la «proportionnalité», et selon lequel il ne faut collecter et traiter, parmi les données, que celles strictement nécessaires à la réalisation des finalités poursuivies par le responsable du traitement. Il s'agit donc, pour les employés du nom, prénom, sexe, date et lieu de naissance, situation matrimoniale, nombre d'enfants, nationalité, coordonnées professionnelles, coordonnées personnelles, matricule interne, numéro de la CIN, numéro de la carte de séjour pour les étrangers, numéro de passeport, numéro d'immatriculation à la CNSS, numéro d'immatriculation aux organismes de retraite et d'assurance, numéro et type de permis de conduire, signature, photo d'identité, CV. Aucune allusion ne doit être faite quant aux informations sensibles tels que les convictions politiques, les croyances religieuses ou les appartenances syndicales. La fiche anthropométrique peut néanmoins être demandée par l'employeur. De même, les données relatives à l'évaluation professionnelle -expériences professionnelles, dates des entretiens d'évaluation, identité de l'évaluateur, compétences professionnelles de l'employé, résultats obtenus, appréciation des aptitudes professionnelles, observations et souhaits formulés par l'employé, prévisions d'évolution de carrière- peuvent être archivées. «Seules ces données strictement nécessaires à l'accomplissement de leurs missions sont communiquées aux personnes physiques ou morales habilitées à les traiter en vertu d'une disposition légale ou en exécution d'un contrat, d'une convention ou d'un règlement», précise la commission. Le salarié a droit à l'information Tout doit se faire en toute transparence. De ce fait, les salariés sont habilités à être informés de l'identité du responsable du traitement de la finalité de celui-ci, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard d'un défaut de réponse, du destinataire des données, ainsi que de la référence du récépissé de l'autorisation délivrée par la CNDP. Aussi, «l'employeur doit informer les candidats à l'embauche de tout recours éventuel à des recoupements de leurs données personnelles avec des sources externes et toutes mesures visant à vérifier l'exactitude des données fournies dans le dossier de candidature». Le responsable du traitement doit prendre, en interne, toutes les mesures nécessaires pour veiller à ce que tous les collaborateurs respectent l'intégrité et la confidentialité des données personnelles, notamment par leur sensibilisation à leurs obligations et par la restriction d'accès en fonction des attributions et des responsabilités de chacun. Les données personnelles comprennent aussi bien celles relatives à la gestion des ressources humaines que, de manière générale, les données personnelles que l'employeur traite dans le cadre de ses activités. Il est également tenu de prendre toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, notamment pour éviter qu'elles soient détruites, déformées, endommagées ou accessibles à des tiers non autorisés. En cas de recours à un prestataire de service, le responsable du traitement doit imposer à ce prestataire, par voie contractuelle, de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées, de n'utiliser les données qu'aux fins prévues, de s'assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation. Tout transfert de données à l'étranger doit être préalablement notifié à la CNDP, notamment dans le cas d'hébergement ou de stockage des données sur des serveurs situés à l'extérieur du territoire national.
