Mesurer la diversité de son organisation sans violer le RGPD

Afin de lutter contre les discriminations au travail, de nombreux organismes publics ou privés souhaitent favoriser la diversité au sein de leurs effectifs.

Une telle démarche commence habituellement par un état des lieux afin d’établir s’il existe une inégalité manifeste qui justifie la prise de mesures d’action positive.

L’employeur souhaite donc réaliser une enquête, souvent autoadministrée, portant par hypothèse des données sensibles (origine, handicap, etc.).

Or, le traitement de ce type de données est soumis à des règles strictes en application des réglementations applicables en matière de protection des données à caractère personnel. Il faut donc être prudent !

Le 10 avril 2025, l’autorité française de protection des données (CNIL) a publié une recommandation relative au traitement des données à caractère personnel dans le cadre d’enquêtes de mesure de la diversité au travail. Dans cette recommandation, la CNIL rappelle les règles à respecter lorsqu’une enquête de diversité est menée et préconise une série de bonnes pratiques.

Les principes fondamentaux

Participation entièrement volontaire

La participation à l’enquête doit être facultative,
La réponse à chaque question doit être facultative (prévoir systématiquement une case « je ne veux pas répondre »),
Les travailleurs ne doivent en aucun cas subir des conséquences négatives s’ils refusent de répondre à l’enquête ou à certaines des questions.

Anonymisation des questionnaires

La meilleure manière de s’assurer que les données des travailleurs soient protégées est de concevoir le formulaire de manière entièrement anonyme.

Cela signifie que le questionnaire ne doit permettre, à aucun moment, d’identifier le travailleur qui l’a rempli. Pour ce faire :

Le formulaire ne doit contenir aucune donnée permettant d’identifier directement ou indirectement le travailleur (nom, prénom, matricule, adresse mail, adresse postale, identifiants, adresse IP, etc.)

Par exemple, le formulaire n’est pas anonyme s’il demande aux travailleurs d’indiquer leur tranche d’âge (0-25 ans, 26-35 ans, 36-45 ans, etc.) alors que l’entreprise ne compte qu’un seul travailleur âgé de moins de 25 ans.

Les réponses fournies par le travailleur ne doivent pas non plus permettre de l’identifier.

À cette fin, l’employeur privilégiera des questions à choix multiples en s’assurant que les propositions de réponses ne permettent pas d’individualiser le répondant.

De plus, l’enquête doit limiter au maximum le recours aux champs libres dans lesquels les travailleurs peuvent inscrire des réponses qui révéleraient leur identité.

Si les données fournies par l’intermédiaire de l’enquête sont anonymes, ces données ne constituent pas des données à caractère personnel et ne sont pas soumises au RGPD.

En revanche, s’il n’est pas possible d’anonymiser entièrement le formulaire, l’employeur doit veiller à traiter les données conformément au RGPD.

Base de licéité du traitement

Dans sa recommandation, la CNIL reconnaît que l’intérêt légitime de l’employeur à mesurer la diversité au sein de son entreprise et de promouvoir l’égalité des chances justifie le traitement des données à caractère personnel des travailleurs.

Cependant, les données collectées dans le cadre de ces enquêtes révèlent la plupart du temps des données sensibles sur les travailleurs comme leur origine ou encore leurs données de santé (handicap), etc.).

Le traitement de ces données sensibles n’est possible que si l’employeur a récolté un consentement libre, éclairé et explicite du travailleur.

Garanties

En tant que responsable du traitement, l’employeur doit également veiller à :

N’utiliser les données récoltées par l’enquête que pour la finalité de lutter contre les discriminations au sein de l’entreprise,
Informer les travailleurs des traitements envisagés ainsi que des droits dont ils disposent sur leurs données (droit d’accès, droit d’opposition, droit de retirer leur consentement, droit à l’effacement, etc.),
Réaliser préalablement une analyse d’impact relative à la protection des données pour identifier et encadrer les risques liés aux traitements de données sensibles.

Our advice:

Voici nos bonnes pratiques à respecter :

Réaliser une analyse d’impact préalablement à la mise en œuvre du traitement,
S’assurer du caractère strictement volontaire et facultatif de l’enquête,
Recourir à des formulaires entièrement anonymisés,
À défaut, recourir de préférence à un tiers de confiance pour assurer que l’employeur ne puisse accéder aux données individuelles,
À défaut, s’assurer que seules les données strictement nécessaires à l’enquête sont recueillies et que l’employeur a un accès strictement basé sur le « need-to-know »,
Obtenir le consentement explicite des travailleurs,
Sécurisation technique des plateformes si l’enquête est réalisée en ligne,
Proscrire les zones de commentaires libres, privilégier les choix multiples et les tranches d’âges plutôt que les données exactes,
Informer les travailleurs sur les traitements envisagés et sur les droits dont ils disposent sur leurs données,
Encadrer les traitements des données par des contrats avec les prestataires amenés à traiter ces données,
Supprimer les données immédiatement après en avoir tiré les statistiques souhaitées.

Cookie	Type	Duration	Description
_wpas_session	session	30 minutes	This cookie is used by Awesome Support (online consultation / SOS) to keep track of website state between page loads and to store temporary information essential to the website's ability to work properly.More info: https://getawesomesupport.com/documentation/awesome-support/cookies/
cookielawinfo-checkbox-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given the consent to the usage of cookies under the category 'Necessary'.
cookielawinfo-checkbox-non-necessary	persistent	11 months	This cookie is set by GDPR Cookie Consent plugin. The purpose of this cookie is to check whether or not the user has given their consent to the usage of cookies under the category 'Non-Necessary'.
PHPSESSID	session		This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookie and is deleted when all the browser windows are closed.
pll_language	persistent	1 year	This cookie is set by Polylang and is used to remember the language selected by the user when he comes back to visit again the website. This cookie is also used to get the language information when not available in another way. Examples are ajax requests or the login page.More info: https://polylang.pro/doc/is-polylang-compatible-with-the-eu-cookie-law/
viewed_cookie_policy	persistent	1 hour	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
woocommerce_cart_hash	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart_	session		This cookie is set by WooCommerce and is used to help WooCommerce determine when cart contents/data changes.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wordpress_[hash]	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info : https://wordpress.org/support/article/cookies/
wordpress_logged_in_[hash]	persistent	14 days	This cookie is set by Wordpress and is used to indicate when you are logged in, and who you are. This cookie is maintained on the front-end of the website as well when logged in.More info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		This cookie is set by Wordpress and is used to store the authentication details on login. The authentication details include the username and double hashed copy of the password. However, this usage of the cookie is limited to the admin console area, the backend dashboard of the website.Here [hash] represents the value that is obtained by applying a specific mathematical formula applied to the username and password. It is to ensure that the input values are safe, and no one can access these data using the cookies as it is difficult to ‘unhash’ the hashed data.More info: https://wordpress.org/support/article/cookies/
wp_woocommerce_session_	persistent	2 days	This cookie is set by WooCommerce. It contains a unique code for each customer so that it knows where to find the cart data in the database for each Customer.More info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp-settings-{time}-[UID]	persistent	1 year	This cookie is set by Wordpress and is used to customize the view of your admin interface and the front-end of the website. The value represented by [UID] is the individual user ID of the user as given to them in the users' database table.More info: https://wordpress.org/support/article/cookies/

Cookie	Type	Duration	Description
_ga	third party	2 years	This cookie is installed by Google Analytics 4. The cookie is used to distinguish users for the site's analytics report.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_ga_	third party	2 years	This cookie is installed by Google Analytics 4 to persist session state.Opt-out: https://tools.google.com/dlpage/gaoptout/More info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Cookie	Type	Duration	Description
GPS	third party	30 minutes	This cookie is set by YouTube and registers a unique ID for tracking users based on their geographical locationMore info: https://policies.google.com/technologies/types?hl=en
IDE	third party	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.More info: https://policies.google.com/technologies/types?hl=en
VISITOR_INFO1_LIVE	third party	5 months	This cookie is set by YouTube. Used to track the information of the embedded YouTube videos on a website.More info: https://policies.google.com/technologies/types?hl=en
YSC	third party		This cookie is set by YouTube and is used to track the views of embedded videos.More info: https://policies.google.com/technologies/types?hl=en

Mesurer la diversité au sein de son organisation sans violer le RGPD

Les principes fondamentaux

Participation entièrement volontaire

Anonymisation des questionnaires

Base de licéité du traitement

Garanties

Our advice: