Diversité au travail : comment la mesurer sans enfreindre le RGPD ? La CNIL précise la marche à suivre

À l’heure où les entreprises souhaitent démontrer leur engagement en faveur de la diversité, certaines envisagent de mesurer la composition de leurs effectifs pour évaluer les inégalités et mieux cibler leurs actions en matière d’inclusion.

Mais attention : ce type d’initiative implique souvent la collecte de données personnelles, parfois sensibles. La CNIL (Commission nationale de l’informatique et des libertés) vient de publier, en ce sens, une recommandation qui trace les contours à respecter pour être pleinement conforme au Règlement général sur la protection des données (RGPD).

« Mesurer » la diversité

Pour lutter contre les discriminations en s’appuyant sur des données objectives (qu’il s’agisse de l’âge, du genre, du handicap, ou encore de l’origine sociale ou géographique des salariés) les entreprises peuvent utiliser des outils comme des enquêtes internes, via des questionnaires volontaires et auto-administrés.

Mais dès lors que l’on collecte des informations sur les individus, on entre dans le champ du RGPD. Certaines données peuvent même relever de la catégorie dite « sensible », ce qui impose des précautions renforcées.

Collecter des données, oui, mais pas n’importe comment

Privilégier l’anonymat

La CNIL recommande tout d’abord de privilégier les enquêtes anonymes : personne, même indirectement, ne doit pouvoir rattacher une réponse à un salarié identifié. Cela exclut bien sûr les noms, prénoms, adresses, emails, numéros de téléphone, dates de naissance, mais aussi toute donnée de croisement pouvant permettre une identification (poste très spécifique, équipe très restreinte, etc.).

Bon à savoir : si l’anonymat est réellement garanti dès la collecte, les données ne sont plus considérées comme personnelles, ce qui allège fortement les obligations au titre du RGPD.

Si l’anonymat n’est pas possible, des garanties s’imposent

Dans certaines situations (effectifs très réduits, méthodologie spécifiques), l’anonymat ne peut être pleinement garanti. Dans ce cas, la CNIL recommande d'abord de réaliser une analyse d’impact sur la protection des données en amont, et précise que certaines garanties liées aux principes fondamentaux du RGPD, seront à respecter.

Les principes fondamentaux du RGPD

Finalité claire, explicite et légitime

L’objectif de l’enquête doit reposer sur une base légale et être bien défini : favoriser l’égalité des chances et identifier les freins à la diversité. Les données collectées ne peuvent pas être utilisées à d’autres fins, en particulier pour prendre des décisions individuelles sur les salariés (recrutement, promotion, etc.). Il s'agirait d'un détournement de finalité, interdit par la loi.

Participation volontaire

La participation à l’enquête doit être libre et sans pression. Les salariés doivent pouvoir refuser de répondre ou ne répondre qu’à certaines questions, sans aucune conséquence.

Information des salariés

Avant toute collecte, chaque salarié doit recevoir une information claire sur :

• Le but de l’enquête ;
• Les données collectées ;
• Leur usage ;
• Leur durée de conservation ;
• Le nom du responsable du traitement ;
• Le contact du délégué à la protection des données si existant ;
• Les droits des personnes concernées.

Collecter uniquement ce qui est strictement nécessaire

Selon le RGPD, seules les données pertinentes et proportionnées peuvent être collectées. Il faut éviter les questions trop précises si elles n’apportent pas de réelle valeur. Par exemple, en ce qui concerne l’âge, mieux vaut proposer des tranches que demander la date de naissance exacte.

L’ethnicité, angle mort des enquêtes statistiques en France

En matière de protection des données, la CNIL rappelle également que, conformément à une décision du Conseil constitutionnel du 15 novembre 2007, il est interdit de fonder les études sur la diversité sur des critères d’origine ethnique ou raciale, même supposés. Toute classification qui pourrait s’apparenter à un référentiel ethno-racial doit donc être écartée.

Une position qui reste d'ailleurs spécifique à la France, alors que de nombreux pays - notamment anglo-saxons ou nordiques - s’appuient justement sur ce type de données pour mesurer les inégalités et mieux y répondre. Le cadre juridique français limite donc la production de données objectivées sur les discriminations raciales, données qui semblent pourtant essentielles pour orienter des politiques efficaces en faveur de la diversité.

Astuce : Il est toutefois possible de poser des questions sur l’origine géographique, la nationalité de naissance, ou encore sur le sentiment de discrimination perçu.

Que faire des données après l’enquête ?

• Les réponses doivent être conservées uniquement le temps nécessaire à l’analyse ;
• Une fois l’exploitation statistique terminée, les données individuelles doivent être effacées ;
• Les résultats doivent être diffusés sous forme anonymisée et agrégée, pour éviter toute identification indirecte.

Et pour les données sensibles ? Le consentement est obligatoire

Si l’enquête aborde des thèmes relevant de la santé (par exemple, du handicap) ou autres données dites sensibles, l’employeur doit obligatoirement obtenir un consentement explicite du salarié pour les traiter. Sans cela, ces données ne pourront être exploitées.

Astuce : il est conseillé de faire appel à un tiers de confiance (cabinet externe, institut de sondage, etc.) pour mieux garantir la neutralité de l’enquête ainsi que son exactitude - les salariés pouvant se sentir plus libre de répondre à certaines questions s'ils savent que les personnes qui les collectent ne sont pas directement leurs employeurs.

Pour plus de précisions, vous pouvez consulter la Recommation relative au traitement des données à caractère personnel dans le cadre d’enquêtes de mesure de la diversité au travail de la CNIL, du 10 avril 2025.