Diversité au travail : Comment la mesurer sans faux pas RGPD ?

Vous voulez enfin des chiffres solides pour mesurer la diversité au sein de votre organisation ? Parfait : impossible de piloter l’inclusion les yeux fermés. 

Problème : dès qu’on touche à des données « sensibles », le radar RGPD s’affole. 

Faut-il renoncer ? Pas du tout. 

La CNIL a récemment publié une feuille de route pour enquêter sur la diversité au travail — sans empiéter sur la vie privée. 

Son message est clair : on peut collecter – et exploiter – ces données si l’on respecte trois règles-clés : une finalité anti-discrimination solide, des infos vraiment utiles, et une anonymisation maîtrisée. 

Dans cet article, on décrypte les grandes lignes de cette doctrine, on revient sur les garde-fous à activer, on démonte quelques idées reçues bien coriaces, et on termine avec un plan d’action prêt-à-dégainer pour lancer ou sécuriser votre démarche — sans risquer le rappel à l’ordre de la CNIL. 

Prêt·e pour un tour de piste où inclusion rime enfin avec conformité ? C’est parti. 

Pourquoi la CNIL publie de nouvelles lignes de conduite ? 

Parce que tout le monde veut des chiffres, mais personne ne sait vraiment comment les collecter. 
Labels RSE, reporting extra-financier, attentes des talents… La pression monte. Pour piloter une politique D&I crédible, il faut du concret. Et donc, des données. 

Sauf que le cadre légal est (très) sensible. 
Le RGPD encadre strictement la collecte de données dites « sensibles » (origine, santé, convictions…). Et le Code du travail, lui, interdit les statistiques ethniques. Résultat : beaucoup d’entreprises avancent à tâtons — voire renoncent à mesurer. 

C’est là que la CNIL intervient. Avec sa note, elle trace un itinéraire praticable. Le message : oui, vous pouvez mesurer. Mais à condition de cocher les bonnes cases et de rester dans les clous. 

Les trois règles d’or de la CNIL 

Pas de collecte sauvage : la CNIL fixe un cadre clair en trois points :  

1. Une finalité claire, assumée, et publique 

Pas de flou artistique : vous devez pouvoir expliquer pourquoi vous collectez ces données ; et ce “pourquoi” doit tenir en une phrase. 

• Ce qui est autorisé : mesurer, objectiver et suivre la diversité / détecter d’éventuelles discriminations. 

• Ce qui est proscrit : reciblage RH, profilage individuel, ou ajustements salariaux “diversité”. 

2. Une collecte strictement nécessaire 

On ne garde que les informations utiles au diagnostic. 

• OUI : sexe, âge, handicap reconnu, zone géographique… voire auto-identification d’origine si c’est justifié. 

• NON : pas de recoupement sauvage avec les bases internes (salaire, performance, etc.) sans test de proportionnalité ultra-solide. 

3. Une protection renforcée, une anonymisation rapide 

Ici, la CNIL ne transige pas. 

• Fichiers séparés : un pour les réponses, un pour les contacts. 

• Données agrégées ou anonymisées de façon irréversible avant toute analyse. 

• Durée de vie limitée : juste le temps de produire et d’exploiter les résultats — en général, pas plus de 18 mois. 

Étape par étape : ce que la CNIL attend

Étape par étape, voici ce que la CNIL attend… et les pièges à éviter pour que votre démarche reste à la fois solide, légitime et crédible. 

Avant la collecte : soyez transparent dès le départ 

Informez clairement vos équipes : affiche, intranet, FAQ... peu importe le format, du moment que le message est lisible et accessible à tous. 

À prévoir aussi : une base légale solide (souvent l’intérêt légitime, avec un test de mise en balance à la clé) et une AIPD si votre projet le justifie — ce qui est souvent le cas. 

Le piège ?

Penser qu’une simple note de service suffit. Ce qu’il faut, c’est un vrai support de transparence, avec les coordonnées du DPO et un rappel des droits (notamment le droit d’opposition). 

Pendant la collecte : du volontariat, rien que du volontariat 

Le questionnaire doit rester 100 % libre, sans pression directe ou implicite de la hiérarchie. Les réponses doivent être saisies directement par les salarié·es, ou via un tiers de confiance. 

Le piège ?

Poser des questions trop précises, du type « De quel pays est originaire votre père ? ». La CNIL est claire : on reste dans le déclaratif libre, pas dans l’enquête généalogique ni dans les inférences algorithmiques. 

Traitement et analyse : cap sur la sécurité et l’anonymat 

Les données doivent être cryptées ou pseudonymisées dès leur réception, puis agrégées à un niveau suffisant — en général, pas de statistiques sous 10 personnes, pour éviter tout risque d’identification indirecte. 

Le piège ?

Croiser les données trop finement (par BU, service ou site de 4 personnes…). Vous retombez alors dans de la donnée personnelle identifiable. 

Communication et suivi : dites ce que vous allez en faire (et faites-le) 

Les résultats doivent être restitués en pourcentages ou en indices, jamais sous forme de listes nominatives. Et surtout, expliquez les prochaines étapes : plan d’action, formations, revue des process RH, etc. 

Le piège ?

Publier un joli graphique et disparaître. Sans suite concrète, la confiance retombe comme un soufflé. 

Côté terrain : les bonnes pratiques à adopter 

Concilier RGPD et réalité opérationnelle, c’est possible. Voici les recommandations de la CNIL traduites en gestes concrets pour sécuriser votre démarche, sans perdre l’élan. 

• Jouez la carte du minimalisme 
  Un taux de réponse décevant ? Pas besoin de paniquer ou de dégainer des données externes. Misez plutôt sur la pédagogie : plus vos équipes comprennent l’objectif, plus elles répondront à la prochaine vague. 

• Verrouillez la technique 
  Interdisez l’export brut des réponses depuis vos outils. Les managers, eux, doivent recevoir uniquement des dashboards anonymisés — pas de fichier Excel avec des lignes nominatives. 

• Limitez la durée de vie des données 
  Fixez une date d’effacement automatique dès le départ, et documentez-la dans votre registre de traitements.

• Avancez par petits pas 
  Testez d’abord la démarche sur un service ou une entité pilote. Ajustez vos questions, votre canal (mail, app interne, intranet…) puis déployez à l’échelle. Un bon cadrage évite les faux départs. 

• Impliquez les représentants du personnel 
  C’est un point clé. La CNIL insiste : la concertation avec les IRP renforce la légitimité du projet. Et accessoirement, ça désamorce bien des suspicions. 

Gare aux faux-amis : ce qu’on croit pouvoir faire… et qu’on ne peut pas 

En matière de données, certaines idées reçues peuvent vous coûter cher. Voici trois confusions fréquentes à éviter pour rester du bon côté de la CNIL :

1. « Anonyme » ne veut pas dire « pseudonyme » 
   Une donnée pseudonymisée (par exemple, via une clé de hachage) peut être ré-identifiée. Ce n’est donc pas une donnée anonyme au sens RGPD. Ce qui passe la barre : des statistiques agrégées, irréversibles, sans lien possible avec une personne. 

2. Donnée publique ne veut pas dire libre d’usage 
   Votre SIRH croise des infos collectées sur LinkedIn ou une photo de badge ? Mauvaise idée. Même rendues publiques par les salarié·es eux-mêmes, ces données restent protégées par le RGPD. 

3. Sous-traitant ≠ responsabilité déléguée 
   Externaliser le traitement des données ne vous dédouane pas. Il vous faut un contrat béton, des instructions écrites, et un suivi (audit inclus). La conformité ne se sous-traite pas à l’aveugle. 

Conclusion : oui, vous pouvez mesurer — mais pas n’importe comment 

Bonne nouvelle (même si vous l’aurez déjà compris à ce stade) : il est possible de mesurer la diversité sans demander un consentement explicite. À une condition : respecter un cadre strict, balisé par la CNIL. 

• Objectif unique : un audit statistique, rien d’autre. 

• Collecte minimale, juste ce qu’il faut pour éclairer le diagnostic. 

• Anonymat garanti avant toute analyse. 

• Et surtout : prouver que l’intérêt collectif — lutter contre les discriminations — l’emporte sur l’intrusion potentielle dans la vie privée. 

En clair : la CNIL ouvre la porte… mais elle a posé un paillasson “RGPD inside”. À nous de jouer. Et de penser à bien s’essuyer les pieds sur les principes de nécessité, de proportionnalité et de sécurité. 

Vous voulez aller plus loin ? N’hésitez pas à consulter l'article complet de la CNIL.