RGPD en RH : Tractament de dades dels col·laboradors

La gestió de recursos humans genera, cada dia, un volum considerable de dades personals : contractes de treball, nòmines, dades de salut, avaluacions de rendiment, coordenades bancàries… Des de l'entrada en vigor del Reglament General de Protecció de Dades (RGPD) al maig de 2018, les direccions RH s'han convertit en actors centrals de la conformitat dins de les organitzacions. Tanmateix, segons l'informe d'activitats 2024 de la CNIL, el sector de recursos humans segueix sent un dels tres dominis més sovint implicats en controls. Aquest article us guia a través de les obligacions clau, les bones pràctiques i les eines disponibles per tractar les dades dels vostres col·laboradors en total conformitat.

Quines dades personals tracten les RH?

Les categories de dades habituals

Els serveis RH manipulen un espectre molt ampli de dades personals. Es distingeixen dues grans famílies :

Les dades ordinàries, recollides en el context del contracte de treball : nom, cognoms, adreça, número de seguretat social, compte bancari, CV, diplomes, historial professional, avaluacions anuals, horaris de treball, dades de presència i absència.

Les dades sensibles, subjectes a restriccions reforçades segons l'article 9 del RGPD : dades de salut (baixes mèdiques, declaracions d'accidents de treball, restriccions mèdiques), dades sindicals (afiliació a un sindicat, mandats representatius), dades relatives a condemnes penals en alguns contextos de selecció.

Aquestes últimes només es poden tractar sous reserves d'una excepció explícita prevista pel reglament — com l'execució de les obligacions legals en matèria de dret del treball, o el consentiment explícit de la persona interessada.

El cas particular de la selecció

La fase de selecció genera traitements específics, sovint mal regulats. La recollida de CV, cartes de presentació i resultats de proves implica duracions de conservació precises : segons les recomanacions de la CNIL, les dades dels candidats no seleccionats han de ser suprimides o anonimitzades dins d'un termini màxim de dos anys després del darrer contacte. Conservar indefinidament CV a un repositori compartit no securitzat constitueix una violació caracteritzada.

El recurs a eines de seguiment en els ATS (Sistemes de Gestió de Candidatures) o a algoritmes d'anàlisi comportamental ha de fer objecte d'una menció explícita en la política de privacitat transmesa als candidats, conforme als articles 13 i 14 del RGPD.

Les bases legals del tractament en context RH

Identificar la base legal adequada

El RGPD imposa que tot tractament de dades personals es recolzi en una de les sis bases legals definides a l'article 6. En context RH, tres bases es mobilitzen principalment :

• L'execució del contracte de treball (art. 6.1.b) : justifica el tractament de les dades necessàries per a la gestió de la nòmina, els permisos o la formació.

• L'obligació legal (art. 6.1.c) : s'aplica a les declaracions socials obligatòries (DSN), als registres del personal o al seguiment dels accidents de treball.

• L'interès legítim (art. 6.1.f) : pot ser invocat per a tractaments com la gestió de badges d'accés o la videovigilància, bajo reserves d'una prova de ponderació rigorosa.

El consentiment (art. 6.1.a) és per contra una base legal fràgil en context de treball : la CNIL i el Comitè europeu de protecció de dades (CEPD) recorden que el desequilibri estructural entre l'empleador i el salarià rend difícil la prova d'un consentiment lliure. Només ha d'utilitzar-se en última instància.

El registre dels tractaments, obligació incontornable

Tota organització que ocupa com a mínim 250 persones — o que tracta dades sensibles a menor escala — ha de tenir un registre de les activitats de tractament (art. 30 del RGPD). En RH, aquest registre ha de documentar, per a cada tractament : la finalitat, les categories de dades, els destinataris, les duracions de conservació, i les mesures de seguretat implementades.

Aquest document, posat a disposició de la CNIL en cas de control, és també una eina de pilot precisosa. Combinat amb una solució de signatura electrònica dedicada als RH, permet traçar i horodatar cada etapa del cicle de vida d'un document RH, reforçant així l'auditabilitat dels processos.

Drets dels col·laboradors i obligacions de l'empleador

Informar els salariats : una obligació immediata

L'article 13 del RGPD imposa informar les persones interessades en el moment de la recollida de les seves dades. En la pràctica, els RH han de proporcionar als salariats — idealment des de la signatura del contracte de treball — una notificació d'informació RGPD detallant : la identitat del responsable de tractament, les finalitats i bases legals, la durada de conservació, els drets disponibles i les coordenades del DPO (Delegat de Protecció de Dades) si l'empresa en disposa.

Digitalitzar i securitzar aquest intercanvi és essencial. El recurs a la signatura electrònica en empresa per a la remesa d'aquesta notificació garanteix una prova de lliurament horodatada i incontestable, alineada amb les exigències del reglament eIDAS.

Els drets dels salariats a respectar imperativament

Els col·laboradors disposen de drets amplis sobre les seves dades :

• Dret d'accés (art. 15) : tot salarià pot sol·licitar una còpia de la totalitat de les dades que la concerneixen tractades per l'empleador.

• Dret de rectificació (art. 16) : correcció d'una dada inexacta (ex. : adreça postal, compte bancari).

• Dret a la supressió (art. 17) : aplicable en certs casos, especialment després de la fi del contracte i l'esgotament dels terminis legals de conservació.

• Dret d'oposició (art. 21) : el salarià pot oposar-se a un tractament fonamentat en interès legítim.

• Dret a la limitació (art. 18) : congelació temporal d'un tractament contestat.

L'empleador disposa d'un termini d'un mes per respondre a tota sol·licitud d'exercici de drets, ampliable a tres mesos en cas de complexitat (art. 12 del RGPD).

Seguretat de les dades RH i gestió dels subcontratants

Mesures tècniques i organitzacionals

L'article 32 del RGPD imposa la implementació de mesures de seguretat « apropiades al risc ». Per a les dades RH, les bones pràctiques inclouen :

• Xifratge dels arxius que contenen dades sensibles (nòmines, dossiers mèdics).

• Control d'accés : principi del privilegi mínim — un gestor de nòmina no té accés a les dades disciplinàries.

• Registre dels accesos als sistemes RH (SIRH, eines de nòmina).

• Pla de resposta a violacions : en cas de fuga de dades, l'empleador disposa de 72 hores per notificar la CNIL (art. 33), i potencialment les persones interessades si el risc és elevat (art. 34).

Una auditoria completa via la guia de la signatura electrònica pot ajudar les equips RH a identificar els tractaments no securitzats que persisteixen en suport de paper i a digitalitzar-los de manera conforme.

Enmarcar els prestataris RH per DPA

Els serveis RH fan recurs a molts subcontratants : programari de nòmina, plataformes de formació, eines de gestió dels temps. Cada prestatari que accedeix a dades personals ha de fer objecte d'un acord de tractament de dades (Data Processing Agreement — DPA), conforme a l'article 28 del RGPD. Aquest contracte ha de precisar les instruccions de tractament, les garanties de seguretat, les modalitats de restitució o destrucció de dades, i les obligacions en cas de violació.

Seleccionar prestataris que allotgen les seves infraestructures en la Unió Europea, o encuadrats per clàusules contractuals tipus (CCT) aprovades per la Comissió, segueix sent una exigència fonamental per evitar cap transferència il·lícita fora de la UE.

Duracions de conservació : un enjeu estructurant

Les duracions legals aplicables al dossier salarià

La durada de conservació de les dades RH està encuadrada per una superposició de textos : el RGPD (principi de limitació de la conservació, art. 5.1.e), el Codi del Treball, i diverses disposicions fiscals i socials. En la pràctica, els principals terminis a respectar són :

| Tipus de document | Durada de conservació mínima | |---|---| | Nòmina | 5 anys (prescripció social) | | Contracte de treball | 5 anys després de la fi del contracte | | Dades de nòmina (DSN) | 3 anys (control URSSAF) | | Registre del personal | 5 anys després de la marxa del salarià | | Dades disciplinàries | Durada proporcional a la mesura | | Dossier mèdic (medicina del treball) | 50 anys (regulació específica) |

Implementació d'una política d'arxivament i neteja automatitzada en el SIRH, combinada amb flujos de signatura electrònica que horodaten la creació dels documents, constitueix avui la millor pràctica per demostrar la conformitat a la CNIL.

Els xarxes a evitar

Els errors més freqüents observats durant els controls CNIL en matèria de dades RH són : la conservació indefinida de CV de candidats no seleccionats, el manteniment dels accesos informàtics d'antics salariats, l'absència de xifratge dels arxius de nòmina exportats, i la no supressió de les dades de badgering més allà dels terminis regulatòris. Per securitzar aquests punts, consultar el comparatiu de les solucions de signatura electrònica permet identificar les eines que integren nativament funcions d'arxivament probant i de gestió del cicle de vida dels documents.

Marc legal aplicable al tractament de dades RH

El tractament de les dades personals dels col·laboradors s'inscriu en un marc normatiu dens, articulant diversos nivells de regulació.

El Reglament (UE) 2016/679 — RGPD constitueix la pedra angular. Els seus articles 5 a 11 defineixen els principis fonamentals (licitud, lleialtat, transparència, limitació de finalitats, minimització de dades, exactitud, limitació de conservació, integritat i confidencialitat). L'article 9 estableix les condicions rigoroses aplicables a les categories particulars de dades, incloent les dades de salut i sindicals, particulars freqüents en RH. L'article 83 preveu multes que poden arribar a 20 milions d'euros o el 4% de la facturació mundial en cas de violació greu.

La llei Informàtica i Llibertats modificada (llei núm. 78-17 del 6 de gener de 1978), en la seva versió consolidada, adapta el RGPD al dret francès. Confereix a la CNIL els seus poders de control i sanció, i preveu notamment excepcions sectorials per a dades de salut en medicina del treball.

El Codi del Treball encuadra els tractaments relacionats amb la vigilància dels salariats (art. L. 1121-1 sobre el respecte de la vida privada), la consulta dels representants del personal sobre les eines numèriques (art. L. 2312-38), i els registres obligatoris.

El Reglament eIDAS (núm. 910/2014), complementat per eIDAS 2.0 (Reglament UE 2024/1183), regeix el valor jurídic de les signatures electròniques apposades als documents RH. Una signatura electrònica qualificada (SEQ), conforme a l'annex I d'eIDAS i als estàndards ETSI EN 319 132 i ETSI EN 319 122, ofereix la presumció d'equivalència a la signatura manuscrita al sentit de l'article 1367 del Codi Civil francès.

L'article 1366 del Codi Civil disposa que « l'escrit electrònic té la mateixa força probatòria que l'escrit en suport paper, bajo la reserva que pugui ser degudament identificada la persona de la qual emana i que sigui establert i conservat en condicions de naturalesa a garantir-ne la integritat ». Aquesta disposició és directament aplicable als contractes de treball, avenços, acords de confidencialitat i altres documents RH desmaterialitzats.

La directiva NIS2 (UE 2022/2555), transposada al dret francès per la llei del 26 de febrer de 2025, imposa a les entitats essencials i importants (especialment les grans empreses industrials i els operadors de serveis numèrics) exigències reforçades en matèria de gestió dels riscos relacionats amb la seguretat de la informació, incloent la protecció de les dades RH sensibles.

Les sancions pronunciades per la CNIL són en forta alça : el 2024, la quantitat total de multes supera 100 milions d'euros, amb diverses decisions que impliquen directament manquements en la gestió de les dades dels salariats. El no respecte de les duracions de conservació, l'absència de DPA amb els subcontratants RH, i la insuficiència de les mesures de seguretat figuren entre els motius més freqüentment retinguts.

Escenaris d'ús : la conformitat RGPD en RH en la pràctica

Escenari 1 — Una ETI industrial de 450 salariats digitalitza els seus processos d'incorporació

Una empresa industrial de mida intermèdia, distribuïda en tres llocs a França, gestionava els seus contractes de treball i avenços en suport de paper. Els dossiers dels entrants es transmeten al servei de nòmina només després d'un termini mitjà de 12 dies laborables, generant errors de nòmina en aproximadament el 8% dels casos. Per altra banda, cap notificació RGPD no es lliurava de manera formal als nous entrants : la informació figurava únicament al peu del reglament intern, no signat separadament.

Després de la implementació d'una solució de signatura electrònica integrada al seu SIRH, amb lliurament simultani d'una notificació RGPD co-signada pel salarià i el DRH, l'empresa ha reduït el termini d'incorporació documentaria a 2 dies laborables (reducció del 83%). Els errors de nòmina relacionats amb dades faltants han descendit a menys de l'1%. Cada document signat és arxivat amb horodatatge qualificat, proporcionant una prova oposable en cas de control CNIL o controvèrsia laboral.

Escenari 2 — Un grup de distribució de 1 200 col·laboradors es posa en conformitat en la seva política de conservació

Un grup que opera en la distribució especialitzada va sofrir un control CNIL com a resultat d'una reclamació d'un antic salarià. La inspecció va revelar que arxius Excel que contenen dades de nòmina de salariats partits fa més de 8 anys seguien siendo accessibles en un servidor compartit no securitzat, sense xifratge. Un advertiment formal va ser pronunciat, juntament amb una injunció de posada en conformitat sota 3 mesos.

El grup va empresendre una auditoria completa dels seus tractaments RH, va cartografiar les seves 23 activitats de tractament, i va implementar un pla de neteja automatitzada desencadenat pel SIRH. Els documents signats electrònicament van ser migrats a una caixa de seguretat digital amb duracions de retenció configurades segons les obligacions legals. El DPO va produir un registre complet dels tractaments RH, presentat durant un segon control CNIL 18 mesos més tard, que va concloure sense resultat. El cost de la posada en conformitat va ser estimat en menys del 60% de la quantitat d'una multa potencial.

Escenari 3 — Un gabinet de consultoria RH de 35 persones securitza les dades dels seus propis consultors i dels seus clients

Un gabinet especialitzat en recursos humans gestiona tant les dades dels seus propis consultors com les dels candidats i salariats de les seves empreses clients (en el context de missions d'avaluació o outplacement). Es veu així en una doble posició : responsable de tractament pels seus RH, i subcontratant (fins i tot coresponsable) per a les dades de tercers.

El gabinet ha implementat una arquitectura documentaria diferenciat : signatures electròniques simples per als intercanvis interns corrents, signatures avançades per als contractes de missió amb els clients, i acords de tractament de dades (DPA) sistemàticament integrats a les cartes de missió. Els consultors han rebut tots una carta RGPD actualitzada, signada electrònicament i conservada en un registre dedicat. Aquesta organització ha permès al gabinet mostrar la seva conformitat com a argument comercial davant de grans comptes sotmesos a auditories proveïdors rigoroses, reduint el termini mitjà de contractació de 7 a 2 setmanes.

Conclusió

El RGPD imposa a les direccions de recursos humans una transformació profunda de les seves pràctiques : identificació rigorosa de les bases legals, informació efectiva dels col·laboradors, gestió dels drets, encuadrament contractual dels subcontratants, securització de les dades i respecte de les duracions de conservació. Aquestes obligacions no són simples formalitats administratives — condicionen la capacitat de l'empresa per evitar sancions que poden arribar a diversos milions d'euros i per mantenir la confiança de les seves equips.

La digitalització dels processos RH, via solucions de signatura electrònica conforme eIDAS, constitueix un dels pals més efectius per conciliar eficiència operativa i conformitat regulatòria. Certyneo acompanya els equips RH en aquesta transició, des de la signatura del contracte de contractació fins a l'arxivament securitzat dels dossiers dels salariats.

Descobreix com Certyneo pot securitzar els vostres processos RH consultant la nostra oferta dedicada als equips RH o iniciant gratis per provar la solució sense compromís.