RGPD en RH : Traitement des Données Collaborateurs

Introduction

Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les services RH sont en première ligne de la conformité. Les fonctions ressources humaines traitent quotidiennement des données personnelles sensibles : CV, bulletins de paie, données de santé, évaluations, coordonnées bancaires. Une mauvaise gestion expose l'entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 du RGPD). Cet article présente les obligations clés et les bonnes pratiques pour sécuriser le traitement des données collaborateurs tout au long du cycle RH.

Les principes fondamentaux applicables aux données RH

Le RGPD impose six principes cardinaux codifiés à l'article 5 : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation et intégrité/confidentialité. En pratique, cela signifie que le service RH ne peut collecter que les données strictement nécessaires à une finalité déterminée. Par exemple, demander le numéro de sécurité sociale dès la candidature est disproportionné : il ne se justifie qu'après embauche pour la DSN.

La CNIL, via sa délibération n° 2019-160 portant référentiel relatif à la gestion du personnel, précise les durées de conservation recommandées : 2 ans pour les candidatures non retenues (sauf consentement), 5 ans après le départ pour le dossier administratif, 6 ans pour les bulletins de paie en version employeur.

Base légale et information des collaborateurs

Contrairement à une idée reçue, le consentement n'est que rarement la base légale adaptée en RH, en raison du lien de subordination. Les bases pertinentes sont plutôt l'exécution du contrat de travail (article 6.1.b), l'obligation légale (article 6.1.c) ou l'intérêt légitime (article 6.1.f). Pour les données sensibles (santé, syndicales), l'article 9 exige une base spécifique comme l'obligation en matière de droit du travail.

L'employeur doit délivrer une information claire via une notice RGPD remise à l'embauche, actualiser le registre des traitements (article 30) et consulter le CSE avant tout nouveau traitement impactant les salariés (article L.2312-38 du Code du travail).

Sécurité et droits des collaborateurs

La sécurité technique et organisationnelle (article 32) impose : chiffrement des SIRH, contrôle d'accès par profil, traçabilité des consultations, clauses de confidentialité avec les sous-traitants paie ou recrutement (article 28). En cas de violation, notification à la CNIL sous 72 heures.

Les collaborateurs disposent de droits renforcés : accès, rectification, effacement (limité par les obligations légales de conservation), portabilité, opposition. Une procédure interne doit permettre de répondre sous un mois maximum. Le refus d'accès au dossier disciplinaire doit être motivé juridiquement.

Exemples pratiques

Exemple 1 – Recrutement : Une PME conserve depuis 5 ans les CV de tous les candidats dans un dossier partagé. Non-conforme : durée excessive, absence de sécurisation. Solution : purge automatisée à 2 ans, accès restreint aux recruteurs, mention RGPD dans l'offre d'emploi.

Exemple 2 – Vidéosurveillance : Un entrepôt logistique filme en continu les postes de travail. Sanction possible (la CNIL a sanctionné Amazon France Logistique de 32 M€ en 2024). Solution : limiter aux zones sensibles, information individuelle, consultation du CSE, durée de conservation d'un mois maximum.

Exemple 3 – Outils collaboratifs : Le déploiement de Microsoft 365 nécessite une analyse d'impact (AIPD) si des fonctions de monitoring sont activées, ainsi qu'une clause sous-traitance conforme avec l'éditeur.

Conformité et sanctions

Outre les amendes CNIL, l'employeur s'expose à des actions prud'homales pour atteinte à la vie privée (article 9 du Code civil, article L.1121-1 du Code du travail). La désignation d'un DPO est obligatoire pour les entités traitant des données à grande échelle. Une cartographie annuelle des traitements RH, couplée à une formation des managers, constitue la meilleure protection juridique et opérationnelle.

Conclusion

La conformité RGPD en RH n'est pas un projet ponctuel mais une démarche continue d'amélioration. Entre obligations légales, droits des salariés et performance opérationnelle, les DRH doivent piloter la gouvernance des données avec rigueur. Investir dans un SIRH conforme, former les équipes et documenter chaque traitement transforme la contrainte réglementaire en levier de confiance collaborateur.