Signatura electrònica RH i RGPD: guia complet 2026

La digitalització dels recursos humans s'ha accelerat considerablement des del 2020: contractes de treball, addèndums, nòmines, cartes informàtiques, acords de teletreball — gairebé tots aquests documents es transmeten ara en forma digital. Tanmateix, desmaterialitzar no significa evadir-se de les obligacions legals. Ben al contrari: la signatura electrònica document RH RGPD constitueix un tema amb doble entrada reguladora, ja que articula el marc eIDAS sobre el valor probatori de la signatura i el reglament europeu sobre protecció de dades personals. Mal dominada, aquesta doble limitació exposa l'empresa a riscos jurídics i a sancions de la CNIL. Aquesta guia us presenta les normes essencials, les bones pràctiques i els punts d'atenció que heu de conèixer absolutament el 2026.

Per què s'aplica el RGPD a la signatura electrònica RH?

La signatura electrònica tracta necessàriament dades personals

Signar un contracte de treball en línia implica recollir, transmetre i emmagatzemar dades de caràcter personal en el sentit de l'article 4 del RGPD nº2016/679: nom, cognoms, adreça de correu electrònic professional, a vegades número de telèfon mòbil, segell de temps i adreça IP de signatura. En un context RH, aquestes dades són particularment sensibles perquè identifiquen directament el treballador i es vinculen a la seva relació contractual amb l'empresari.

El proveïdor de serveis de confiança (PSC) que subministra la solució de signatura es qualifica com a subprocessador en el sentit de l'article 28 del RGPD. L'empresari és el responsable del tractament. Aquesta distinció és fonamental: és l'empresa qui respon davant de la CNIL en cas d'incompliment, no el proveïdor del software.

Les bases legals mobilitzables en context RH

Per a cada categoria de documents RH desmaterialitzats, l'empresari ha d'identificar la base legal de tractament més apropiat:

• Execució del contracte (art. 6.1.b RGPD): signatura del contracte de treball, addènddum salarial, convenció de forfait-dies. Aquesta és la base legal més sòlida pels documents contractuals.

• Obligació legal (art. 6.1.c RGPD): remesa desmaterialitzada de la nòmina (autoritzada des de la llei Macron de 2015 sota condicions), registres del personal.

• Interès legítim (art. 6.1.f RGPD): cartes informàtiques, reglaments interns, documents de política interna — sempre que es superi la prova de balanceig.

La base de consentiment (art. 6.1.a) s'ha d'evitar en context RH: la CNIL i el CEPD (Comitat europeu de protecció de dades) estimen que la relació de subordinació entre empresari i treballador fa que el consentiment sigui rarament lliure. Un treballador que refusa signar electrònicament podria témer consequències professionals.

Les obligacions concretes del responsable de tractament RH

Actualitzar el registre de les activitats de tractament (RAT)

L'article 30 del RGPD obliga tota organització que emplegi més de 250 treballadors (i a les pimes que tracten dades sensibles a gran escala) a mantenir un registre de les activitats de tractament. La introducció d'una eina de signatura electrònica per als documents RH hi ha de figurar amb:

• La finalitat del tractament (ex.: desmaterialització i arxivament dels documents contractuals RH)

• Les categories de dades tractades (identitat, dades de contacte, dades d'autenticació)

• La durada de conservació (durada legal de conservació del contracte de treball: 5 anys després del final del contracte segons el Codi de treball, art. L. 1234-20)

• Les coordenades del subprocessador (la plataforma de signatura)

• Les mesures de seguretat posades en marxa

Firmar un DPA (Data Processing Agreement) amb el proveïdor

Segons l'article 28 del RGPD, tot ús d'un subprocessador per tractar dades personals ha de formalitzar-se amb un contracte de tractament de dades (DPA). Aquest contracte ha de precisar:

• L'objecte i la durada del tractament

• La naturalesa i la finalitat del tractament

• El tipus de dades personals i les categories de persones afectades

• Les obligacions i drets del responsable de tractament

• La localització de les dades (allotjament a la UE recomanat per evitar transferències fora de l'EEE)

• Les mesures de seguretat tècniques i organitzacionals

Un proveïdor de signatura electrònica seriós ofereix sistemàticament un DPA conforme. La seva absència constitueix una inconformitat immediatament sancionable.

Informar els treballadors abans de la primera signatura

L'article 13 del RGPD imposa una informació prèvia de les persones les dades de les quals es recullen. Abans de desplegar la signatura electrònica per als documents RH, l'empresari ha d'informar els treballadors:

• De la identitat del responsable de tractament

• De la finalitat i de la base legal

• De la durada de conservació de les dades

• Dels seus drets (accés, rectificació, supressió dins dels límits de les obligacions legals de conservació, portabilitat)

• De les coordenades del DPD (Delegat de Protecció de Dades) si ha estat designat

Aquesta informació pot integrar-se en el procés de signatura mateix (bandeja d'informació abans de signar), en el reglament intern actualitzat, o mitjançant una nota de servei difosa durant el desplegament.

Nivell de signatura requerida per als documents RH: SES, AES o QES?

La jerarquia dels nivells eIDAS

El reglament eIDAS nº910/2014 defineix tres nivells de signatura electrònica, cadascun oferint un valor probatori creixent:

• SES (Simple Electronic Signature / Signatura electrònica simple): valor probatori feble, adequat per a documents amb poc abast (certificats de rebut, formularis interns)

• AES (Advanced Electronic Signature / Signatura electrònica avançada): vinculada de manera única al signatari, creada a partir de dades sota el seu control exclusiu. Adequada per a la majoria de documents RH corrents.

• QES (Qualified Electronic Signature / Signatura electrònica qualificada): nivell més elevat, equivalent a la signatura manuscrita segons l'art. 25.2 eIDAS. Requereix una verificació d'identitat reforçada (cara a cara o videoidentificació).

Quin nivell per a quins documents RH?

La cartografia recomanada el 2026, tenint en compte les posicions de la jurisprudència francesa i les recomanacions sectorials:

| Document RH | Nivell recomanat | Justificació | |---|---|---| | Contracte de treball CDI/CDD | AES mínim, QES recomanat | Valor contractual fort, risc laboral | | Addènddum contractual | AES mínim, QES recomanat | Mateixa lògica que el contracte principal | | Període de prova (renovació) | AES | Termini curt, formalisme limitat | | Carta teletreball / BYOD | SES o AES | Acord col·lectiu o reglament intern | | Convenció de forfait-dies | QES fortament aconsellit | Jurisprudència laboral exigent | | Ruptura convencional | QES obligatori | Formulari Cerfa homologat, abast elevat | | Reglament per a saldo total | AES o QES | Valor alliberador, art. L. 1234-20 CT |

Per als documents amb alt risc contenciós (convenció de forfait, ruptura convencional), la QES s'imposa de facto per garantir l'oposabilitat davant les jurisdiccions laborals. La Cort de cassació ha anat endurint progressivament les seves exigències sobre la prova de l'acord del treballador.

Conservació, arxivament i drets de les persones: les trampes a evitar

Duracions de conservació legals dels documents RH signats

La conservació dels documents RH signats electrònicament obeeix a duracions legals imperàtives. Aquestes duracions prevaleixen sobre el dret a l'esborrat del RGPD (art. 17.3.b):

• Contracte de treball: 5 anys després del final del contracte (prescripció laboral, art. L. 1471-1 Codi de treball)

• Nòmines: 5 anys (prescripció de salaris), però conservació recomanada fins a la liquidació dels drets a la jubilació del treballador

• Documents relacionats amb accidents de treball: 30 anys (risc contenciós prolongat)

• Formació professional (plans, certificats): 3 anys

• Registres del personal: 5 anys després de la data en què el treballador va deixar l'establiment

L'arxivament electrònic de valor probatori ha de respondre als requisits de la norma NF Z 42-013 i idealment a l'estàndard ETSI EN 319 162 (arxivament a llarg termini de signatures electrònicas). Un simple emmagatzemament en servidor no és suficient: s'ha de garantir la integritat, la llegibilitat i el segell de temps qualificat dels documents durant tota la durada de conservació.

Gestionar els drets dels treballadors sense comprometre el valor probatori

Un treballador pot legítimament exercir el seu dret d'accés (art. 15 RGPD) per obtenir còpia de les dades de signatura que el concerneixen. Pot també demanar la rectificació de dades inexactes.

En canvi, el dret a l'esborrat (art. 17 RGPD) no pot exercir-se sobre els documents RH sotmesos a obligacions legals de conservació. L'empresari ha de poder explicar clarament aquest refús, citant la base legal aplicable. Documentar aquests intercanvis en el registre de demandes de drets és una bona pràctica recomanada per la CNIL.

La portabilitat (art. 20 RGPD) s'aplica a les dades proporcionades pel treballador sobre la base del consentiment o de l'execució del contracte. Concretament, un treballador pot demanar les seves dades de signatura en un format estructurat — obligació a anticipar en triar la solució de signatura.

Seguretat tècnica i organitzacional: les mesures indispensables

Exigències tècniques de la plataforma de signatura

Segons l'article 32 del RGPD, les mesures de seguretat han de ser apropades al risc. Per a una solució de signatura electrònica RH, això es tradueix especialment en:

• Xifrat de les dades en trànsit (TLS 1.3 mínim) i en repòs (AES-256)

• Autenticació multifactor (MFA) per a l'accés a la plataforma

• Registres d'auditoria (logs) amb segell temporal i infalsificables, traçant cada acció sobre el document

• Allotjament a la UE (o EEE) per evitar transferències fora de l'EEE sense garanties adequades (decisió d'adequació o clàusules contractuals tipus)

• Proves de penetració anuals i certificació ISO 27001 del proveïdor

• Pla de continuïtat garantint la disponibilitat del servei i la recuperació dels arxius en cas d'incident

Anàlisi d'impacte (AIPD): quan és obligatòria?

L'article 35 del RGPD imposa una Anàlisi d'impacte relativa a la protecció de dades (AIPD) quan el tractament és susceptible de crear un risc elevat. La CNIL ha publicat una llista de tipus de tractaments que requereixen una AIPD: el tractament a gran escala de dades relacionades amb la vida professional hi figura.

Concretament, una AIPD és recomanada (fins i tot obligatòria per a les grans empreses) durant el desplegament d'una solució de signatura electrònica RH que afecta la totalitat dels col·laboradors. Ha d'identificar els riscos (pèrdua de confidencialitat, usurpació d'identitat, alteració dels documents), evaluar la seva gravetat i probabilitat, i proposar mesures de mitigació. Aquesta anàlisi ha de documentar-se i revisar-se en cas d'evolució del tractament.

Marc legal aplicable a la signatura electrònica RH i al RGPD

Textos fonamentals europeus

Reglament eIDAS nº910/2014 (i la seva revisió eIDAS 2.0 en curs de desplegament): aquest text defineix els tres nivells de signatura electrònica (SES, AES, QES) i el seu valor jurídic en tots els Estats membres. L'article 25 disposa que la QES té un efecte jurídic equivalent a una signatura manuscrita. L'article 26 enumera els requisits tècnics de la signatura avançada. Els proveïdors de serveis de confiança qualificats es registren en les llistes de confiança nacionals (a França, la llista és gestionada per l'ANSSI).

RGPD nº2016/679: aplicable des del 25 de maig de 2018, aquest reglament regula tot tractament de dades personals dins de la UE. Els articles 5 (principis), 6 (bases legals), 13-14 (informació), 28 (subprocessadors), 30 (registre), 32 (seguretat), 35 (AIPD) i 37-39 (DPD) són directament rellevants per a la signatura electrònica RH.

Dret francès aplicable

Codi civil, articles 1366-1367: l'article 1366 planteja el principi d'equivalència funcional entre escrit electrònic i escrit en paper. L'article 1367 reconeix la signatura electrònica com a mode de prova, sempre que consisteixi en un procediment fiable d'identificació que garanteixi la connexió amb l'acte al qual s'adjunta. La fiabilitat es presumeix per a la QES, però pot demostrar-se per a l'AES.

Codi de treball: l'article L. 1221-1 no imposa una forma particular per al contracte de treball (excepte excepcions: CDD art. L. 1242-12, contracte d'aprenentatge, etc.). La llei Macron de 2015 (llei nº2015-990) ha obert el camí a la nòmina electrònica. L'article L. 3243-2 en regula les modalitats.

Llei d'informàtica i llibertats modificada (llei nº78-17 de 6 de gener de 1978): transposició francesa del RGPD, confon a la CNIL els seus poders d'investigació i sanció. Les multes poden arribar a 20 milions d'euros o el 4% de la facturació anual mundial en les violacions més greus.

Normes tècniques de referència

• ETSI EN 319 132: format de signatura electrònica avançada XAdES, aplicable als documents XML

• ETSI EN 319 122: format CAdES per a les signatures electrònicas de documents CMS

• ETSI EN 319 162: arxivament a llarg termini de signatures electrònicas (ASiC)

• NF Z 42-013 (AFNOR): especificacions funcionals d'un sistema d'arxivament electrònic probatori

• ISO/IEC 27001: gestió de la seguretat de la informació, referent de certificació esperat dels proveïdors

Riscos jurídics en cas d'inconformitat

L'acumulació de riscos és significativa: un contracte de treball signat amb un nivell de signatura insuficient pot ser contestat davant del Consell de prud'homia, exposant l'empresari a la requalificació o a la nul·litat. En l'aspecte RGPD, l'absència de DPA amb el proveïdor, l'omissió d'informació als treballadors o un allotjament fora de la UE sense garanties adequades poden comportar una ordre de la CNIL, fins i tot una sanció administrativa pública.

Escenaris d'ús: signatura electrònica RH conforme al RGPD

Escenari 1: una pime industrial de 600 treballadors digitalitza els seus contractes de treball

Una empresa industrial de mida intermèdia, distribuïda en quatre llocs a França, tractava cada any aproximadament 180 contractacions CDI/CDD, generant tants expedients en paper per imprimir, signar en doble exemplar, escanejar i arxivar. Els terminis entre la promesa d'embaucament i la signatura efectiva del contracte arribar a una mitjana de 8 dies laborables.

Després del desplegament d'una solució de signatura electrònica avançada (AES) integrada al seu SIRH, amb un DPA conforme al RGPD signat amb el proveïdor i una AIPD documentada, l'empresa ha reduït aquest termini a menys de 24 hores. La taxa d'expedients incomplets ha caigut un 34% (fonts: benchmarks sectorials ANDRH 2024). L'allotjament de les dades a França va ser seleccionat com a criteri contractual, eliminant qualsevol risc de transferència fora de l'EEE. Els treballadors són informats del tractament mitjançant una secció d'informació integrada en el procés de signatura, garantint la conformitat a l'article 13 del RGPD.

Escenari 2: una xarxa de franquícia retail desplega la signatura QES per a les convencions de forfait-dies

Una xarxa de distribució especialitzada amb una seixantena de punts de venda i una centena de directius en forfait-dies enfrontava un risc laboral identificat pels seus juristes: diverses convencions de forfait-dies només podien provar-se per mitjà de còpies en paper de baixa qualitat. La Cort de cassació ha endurit les seves exigències de prova sobre aquest tipus de convenció, estimant-se el risc contenciós en alguns centenars de milers d'euros.

La xarxa ha desplegat una solució de signatura qualificada (QES) per a totes les noves convencions i ha proposat als directius en plantilla de firmar novament les seves convencions existents. La verificació d'identitat per videoidentificació va ser seleccionada. El registre de les activitats de tractament va ser actualitzat, i un DPD extern va validar la conformitat RGPD del procés. En 6 mesos, la totalitat del parc de convencions de forfait-dies ha estat assequrada. El cost de la gestió (aproximadament 15 a 25 € per signatura QES segons els proveïdors del mercat) va ser jutjat largament inferior al risc contenciós cobert.

Escenari 3: una col·lectivitat territorial desmaterialitza els seus addèndums i cartes teletreball

Una col·lectivitat territorial d'aproximadament 1 200 agents permanents va desitjar desmaterialitzar la gestió dels seus addèndums de teletreball després de l'acord-marc nacional de 2021 sobre teletreball a la funció pública. El volum a tractar era d'aproximadament 400 documents per any, amb restriccions específiques: els agents són persones públiques les dades de les quals són sotmeses a un tractament particularment regulat.

La col·lectivitat va optar per signatures avançades (AES), amb allotjament sobirà en un proveïdor qualificat SecNumCloud per l'ANSSI. L'AIPD va ser sotmesa al DPD de la col·lectivitat abans del desplegament. Els agents van ser informats mitjançant una nota de servei publicada a la intranet i una secció d'informació en el procés digital. El servei RH va estimar un guany de 3 ETP-dies per mes en la gestió administrativa dels addèndums, és a dir, una estalvi anual equivalent a aproximadament 35 000 € en costos directes, coherent amb les franjess publicades per l'Observatori de la transformació digital de les col·lectivitats (2025).

Conclusió

La conformitat RGPD de la signatura electrònica per als documents RH no és una opció: condiciona tant el valor jurídic dels vostres actes com la protecció dels drets dels vostres treballadors. El 2026, les empreses que encara no han actualitzat el seu registre de tractaments, signat un DPA amb el seu proveïdor i adaptat el nivell de signatura a cada tipus de document s'exposen a un doble risc — laboral i administratiu — les conseqüències financeres del qual poden ser significatives.

La bona notícia: una solució ben triad i ben configurada permet conciliar fluidesa operacional, conformitat eIDAS i respecte del RGPD sense fricció per als equips RH ni pels treballadors.

Certyneo vos acompanya en aquesta gestió: plataforma conforme eIDAS, DPA disponible, allotjament europeu i procés de signatura pensat per als RH. Descobriu la nostra solució dedicada als recursos humans o calculeu el ROI del vostre pas al tot-digital en alguns clics.