Signatura electrònica RH i RGPD: guia completa 2026

La digitalització de les recursos humanes s'ha accelerat considerablement des de 2020: contractes de treball, addendums, nòmines, cartes informàtiques, acords de teletreball — gairebé tots aquests documents transiten actualment en format digital. Tanmateix, desmaterialitzar no significa eludir les obligacions legals. Ben al contrari: la signatura electrònica document RH RGPD constitueix un tema amb doble entrada regulatòria, ja que articula el marc eIDAS sobre el valor probatori de la signatura i el reglament europeu sobre protecció de dades personals. Si no es domina adequadament, aquesta doble restricció exposa l'empresa a riscos jurídics i a sancions de la CNIL. Aquesta guia et presenta les règles essencials, les bones pràctiques i els punts de vigilància que has de conèixer absolutament el 2026.

Per què s'aplica el RGPD a la signatura electrònica RH?

La signatura electrònica tracta necessàriament dades personals

Signar un contracte de treball en línia implica recollir, transmetre i emmagatzemar dades de caràcter personal en el sentit de l'article 4 del RGPD nº2016/679: nom, cognoms, adreça de correu electrònic professional, a vegades número de telèfon mòbil, segell de temps i adreça IP de signatura. En un context RH, aquestes dades són particularment sensibles perquè identifiquen directament el treballador i estan vinculades a la seva relació contractual amb l'empresa.

El proveïdor de serveis de confiança (PSC) que proporciona la solució de signatura es qualifica com a tractant en el sentit de l'article 28 del RGPD. L'empresa continua sent el responsable del tractament. Aquesta distinció és fonamental: és l'empresa qui respon davant de la CNIL en cas d'incompliment, no el proveïdor de programari.

Les bases legals mobilitzables en context RH

Per a cada categoria de documents RH desmaterialitzats, l'empresa ha d'identificar la base legal de tractament més apropiat:

• Execució del contracte (art. 6.1.b RGPD): signatura del contracte de treball, addendum salarial, conveni de forfait-dies. Aquesta és la base legal més robust pels documents contractuals.

• Obligació legal (art. 6.1.c RGPD): lliurament desmaterialitzat de la nòmina (autoritzat des de la llei Macron de 2015 sota condicions), registres del personal.

• Interès legítim (art. 6.1.f RGPD): cartes informàtiques, reglaments interns, documents de política interna — sempre que passi la prova de ponderació.

La base consentiment (art. 6.1.a) ha d'evitar-se en context RH: la CNIL i el CEPD (Comitè Europeu de Protecció de Dades) consideren que la relació de subordinació entre empresa i treballador fa que el consentiment rarament sigui lliure. Un treballador que es negui a signar electrònicament podria témer conseqüències professionals.

Les obligacions concretes del responsable del tractament RH

Actualitzar el registre de les activitats de tractament (RAT)

L'article 30 del RGPD imposa a qualsevol organisme que empra més de 250 treballadors (i a les PetitesEmpreses que tracten dades sensibles a gran escala) de mantenir un registre de les activitats de tractament. La introducció d'una eina de signatura electrònica pels documents RH ha de figurar-hi amb:

• La finalitat del tractament (ex.: desmaterialització i arxivatge dels documents contractuals RH)

• Les categories de dades tractades (identitat, dades de contacte, dades d'autenticació)

• La durada de conservació (durada legal de conservació del contracte de treball: 5 anys després de la finalització del contracte segons el Codi de Treball, art. L. 1234-20)

• Les coordenades del tractant (la plataforma de signatura)

• Les mesures de seguretat establertes

Signar un DPA (Data Processing Agreement) amb el proveïdor

Conforme a l'article 28 del RGPD, qualsevol recurs a un tractant per tractar dades personals ha de ser formalitzat per un contracte de tractament de dades (DPA). Aquest contracte ha de precisar:

• L'objecte i la durada del tractament

• La naturalesa i la finalitat del tractament

• El tipus de dades personals i les categories de persones afectades

• Les obligacions i drets del responsable del tractament

• La ubicació de les dades (emmagatzematge a la UE recomanat per evitar transferències fora de l'EEE)

• Les mesures de seguretat tècniques i organitzatives

Un proveïdor de signatura electrònica seriós ofereix sistemàticament un DPA conforme. La seva absència constitueix una no-conformitat immediatament sancionable.

Informar els treballadors abans de la primera signatura

L'article 13 del RGPD imposa una informació prèvia de les persones les dades de les quals es recullen. Abans de desplegar la signatura electrònica pels documents RH, l'empresa ha d'informar els treballadors:

• De la identitat del responsable del tractament

• De la finalitat i de la base legal

• De la durada de conservació de les dades

• Dels seus drets (accés, rectificació, supressió dins dels límits de les obligacions legals de conservació, portabilitat)

• De les coordenades del DPD (Delegat de Protecció de Dades) si està designat

Aquesta informació pot integrar-se al procés de signatura mateix (bànnol d'informació abans de signar), al reglament intern actualitzat, o via una nota de servei difosa en el desplegament.

Nivell de signatura requerit pels documents RH: SES, AES o QES?

La jerarquia dels nivells eIDAS

El reglament eIDAS nº910/2014 defineix tres nivells de signatura electrònica, cadascun oferint un valor probatori creixent:

• SES (Simple Electronic Signature / Signatura electrònica simple): valor probatori feble, adequada per a documents de poc interès (confirmacions de recepció, formularis interns)

• AES (Advanced Electronic Signature / Signatura electrònica avançada): lligada de manera única al signatari, creada a partir de dades sota el seu control exclusiu. Adequada per a la majoria dels documents RH corrents.

• QES (Qualified Electronic Signature / Signatura electrònica qualificada): nivell més elevat, equivalent a la signatura manuscrita segons l'art. 25.2 eIDAS. Requereix una verificació d'identitat reforçada (cara a cara o videoidentificació).

Quin nivell per a quins documents RH?

La cartografia recomanada el 2026, tenint en compte les posicions de la jurisprudència francesa i les recomanacions sectorials:

| Document RH | Nivell recomanat | Justificació | |---|---|---| | Contracte de treball CDI/CDD | AES mínim, QES recomanat | Valor contractual fort, risc prud'homal | | Addendum contractual | AES mínim, QES recomanat | Mateixa lògica que el contracte principal | | Període de prova (renovació) | AES | Termini curt, formalisme limitat | | Carta de teletreball / BYOD | SES o AES | Acord col·lectiu o reglament intern | | Conveni de forfait-dies | QES fortament aconsellat | Jurisprudència laboral exigent | | Ruptura convencional | QES obligatori | Formulari Cerfa homologat, interès elevat | | Rebut de saldat de tot compte | AES o QES | Valor alliberador, art. L. 1234-20 CT |

Per als documents de gran interès contenciós (conveni de forfait, ruptura convencional), la QES s'imposa de facto per garantir l'oposabilitat davant les jurisdiccions prud'homales. La Cort de Cassació ha endurit progressivament les seves exigències sobre la prova de l'acord del treballador.

Conservació, arxivatge i drets de les persones: les trampes a evitar

Duracions de conservació legals dels documents RH signats

La conservació dels documents RH signats electrònicament obeeix a duracions legals imperatives. Aquestes duracions primen sobre el dret al supressió del RGPD (art. 17.3.b):

• Contracte de treball: 5 anys després de la finalització del contracte (prescripció prud'homal, art. L. 1471-1 Codi de Treball)

• Nòmines: 5 anys (prescripció dels salaris), però conservació recomanada fins a la liquidació dels drets a la jubilació del treballador

• Documents relatius als accidents de treball: 30 anys (risc de litig prolongat)

• Formació professional (plans, certificats): 3 anys

• Registres del personal: 5 anys després de la data en què el treballador va deixar l'establiment

L'arxivatge electrònic amb valor probatori ha de respondre a les exigències de la norma NF Z 42-013 i idealment al standard ETSI EN 319 162 (arxivatge a llarg termini de signatures electròniques). Un simple emmagatzematge en servidor no és suficient: cal garantir la integritat, la llegibilitat i l'segell de temps qualificat dels documents durant tota la durada de conservació.

Gestionar els drets dels treballadors sense comprometre el valor probatori

Un treballador pot legítimament exercir el seu dret d'accés (art. 15 RGPD) per obtenir còpia de les dades de signatura que el concerneixen. Pot també demanar la rectificació de dades inexactes.

En canvi, el dret al supressió (art. 17 RGPD) no pot exercir-se sobre els documents RH subjectes a obligacions legals de conservació. L'empresa ha de ser capaç d'explicar clarament aquest refús, citant la base legal aplicable. Documentar aquests intercanvis al registre de demandes de drets és una bona pràctica recomanada per la CNIL.

La portabilitat (art. 20 RGPD) s'aplica a les dades proporcionades pel treballador basades en el consentiment o l'execució del contracte. Concretament, un treballador pot demanar les seves dades de signatura en format estructurat — obligació a anticipar en l'elecció de la solució de signatura.

Seguretat tècnica i organitzativa: les mesures indispensables

Exigències tècniques de la plataforma de signatura

Conforme a l'article 32 del RGPD, les mesures de seguretat han de ser apropiades al risc. Per a una solució de signatura electrònica RH, això es tradueix notamment en:

• Xifratge de dades en trànsit (TLS 1.3 mínim) i en repòs (AES-256)

• Autenticació multifactor (MFA) per a l'accés a la plataforma

• Registres d'auditoria (logs) amb segell de temps i immutables, traçant cada acció al document

• Emmagatzematge a la UE (o EEE) per evitar transferències fora de l'EEE sense garanties adequades (decisió d'adequació o clàusules contractuals tipus)

• Proves de penetració anuals i certificació ISO 27001 del proveïdor

• Pla de continuïtat garantint la disponibilitat del servei i la recuperació dels arxius en cas d'incident

Anàlisi d'impacte (AIPD): quan és obligatòria?

L'article 35 del RGPD imposa una Anàlisi d'Impacte relativa a la Protecció de Dades (AIPD) quan el tractament és susceptible de comportar un risc elevat. La CNIL ha publicat una llista de tipus de tractaments que necessiten AIPD: el tractament a gran escala de dades relatives a la vida professional hi és esmentat.

Concretament, una AIPD és recomanada (fins i tot obligatòria per a les grans empreses) en el desplegament d'una solució de signatura electrònica RH que toca l'ensemble dels col·laboradors. Ha d'identificar els riscos (pèrdua de confidencialitat, usurpació d'identitat, alteració dels documents), avaluar la seva gravetat i probabilitat, i proposar mesures de mitigació. Aquesta anàlisi ha de ser documentada i revisada en cas d'evolució del tractament.

Marc legal aplicable a la signatura electrònica RH i al RGPD

Textos fundadors europeus

Reglament eIDAS nº910/2014 (i la seva revisió eIDAS 2.0 en curs de desplegament): aquest text defineix els tres nivells de signatura electrònica (SES, AES, QES) i el seu valor jurídic a l'ensemble dels Estats membres. L'article 25 disposa que la QES té un efecte jurídic equivalent a una signatura manuscrita. L'article 26 enumera les exigències tècniques de la signatura avançada. Els proveïdors de serveis de confiança qualificats estan inscrits a les llistes de confiança nacionals (a França, la llista la gestiona l'ANSSI).

RGPD nº2016/679: aplicable des del 25 de maig de 2018, aquest reglament regeix qualsevol tractament de dades personals dins de la UE. Els articles 5 (principis), 6 (bases legals), 13-14 (informació), 28 (tractants), 30 (registre), 32 (seguretat), 35 (AIPD) i 37-39 (DPD) són directament pertinents per a la signatura electrònica RH.

Dret francès aplicable

Codi Civil, articles 1366-1367: l'article 1366 planteja el principi d'equivalència funcional entre escrit electrònic i escrit paper. L'article 1367 reconeix la signatura electrònica com a mode de prova, sempre que consisteixi en un procediment fiable d'identificació que garanteixi la connexió amb l'acte al qual s'adhereix. La fiabilitat es presumeix per a la QES, però pot ser demostrada per a l'AES.

Codi de Treball: l'article L. 1221-1 no imposa una forma particular per al contracte de treball (excepte excepcions: CDD art. L. 1242-12, contracte d'aprenentatge, etc.). La llei Macron de 2015 (llei nº2015-990) ha obert la porta a la nòmina electrònica. L'article L. 3243-2 en regula les modalitats.

Llei d'Informàtica i Llibertats modificada (llei nº78-17 de 6 de gener de 1978): transposició francesa del RGPD, confereix a la CNIL els seus poders d'investigació i sanció. Les multes poden arribar a 20 milions d'euros o el 4% de la facturació anual mundial per a les violacions més greus.

Normes tècniques de referència

• ETSI EN 319 132: format de signatura electrònica avançada XAdES, aplicable a documents XML

• ETSI EN 319 122: format CAdES per a signatures electròniques de documents CMS

• ETSI EN 319 162: arxivatge a llarg termini de signatures electròniques (ASiC)

• NF Z 42-013 (AFNOR): especificacions funcionals d'un sistema d'arxivatge electrònic probant

• ISO/IEC 27001: gestió de la seguretat de la informació, referencial de certificació esperat dels proveïdors

Riscos jurídics en cas de no-conformitat

L'acumulació de riscos és significativa: un contracte de treball signat amb un nivell de signatura insuficient pot ser contestat davant del Consell de Prud'hommes, exposant l'empresa a la requalificació o a la nul·litat. Pel costat del RGPD, l'absència de DPA amb el proveïdor, l'omissió d'informació dels treballadors o un emmagatzematge fora de la UE sense garanties adequades poden conduir a una requeriment de la CNIL, fins i tot a una sanció administrativa pública.

Escenaris d'ús: signatura electrònica RH conforme al RGPD

Escenari 1: una PetitaEmpresa intermèdia industrial de 600 treballadors digitalitza els seus contractes de treball

Una empresa industrial de mida intermèdia, distribuïda en quatre llocs a França, tractava cada any aproximadament 180 contractacions CDI/CDD, generant tants expedients paper com imprimir, signar en doble exemplar, escannejar i arxivar. Els terminis entre la promesa de contractació i la signatura efectiva del contracte aconseguien una mitjana de 8 dies laborables.

Després del desplegament d'una solució de signatura electrònica avançada (AES) integrada al seu SIRH, amb un DPA conforme al RGPD signat amb el proveïdor i una AIPD documentada, l'empresa ha reduït aquest termini a menys de 24 hores. La taxa d'expedients incomplets ha caigut del 34% (fonts: benchmarks sectorials ANDRH 2024). L'emmagatzematge de les dades a França ha estat retingut com a criteri contractual, eliminant qualsevol risc de transferència fora de l'EEE. Els treballadors estan informats del tractament mitjançant un encauixament d'informació integrat al recorregut de signatura, garantint la conformitat a l'article 13 del RGPD.

Escenari 2: una xarxa de franquícia retail desplega la signatura QES pels convenis de forfait-dies

Una xarxa de distribució especialitzada que compta aproximadament seixanta punts de venda i centenars de directius al forfait-dies es va enfrontar a un risc prud'homal identificat pels seus juristes: diversos convenis de forfait-dies només podien ser provats per mitjà de còpies paper de mala qualitat. La Cort de Cassació havia endurit les seves exigències de prova sobre aquest tipus de conveni, el risc de litig era estimat a diversos centenars de milers d'euros.

La xarxa ha desplegat una solució de signatura qualificada (QES) per a tots els nous convenis i ha proposat als directius en servei resignar els seus convenis existents. La verificació d'identitat per videoidentificació ha estat retinguda. El registre de les activitats de tractament ha estat actualitzat, i un DPD extern ha validat la conformitat RGPD del recorregut. En 6 mesos, la totalitat del parc de convenis de forfait-dies ha estat securitzada. El cost de la iniciativa (aproximadament 15 a 25 € per signatura QES segons els proveïdors del mercat) ha estat considerat largament inferior al risc contenciós cobert.

Escenari 3: una col·lectivitat territorial desmaterialitza els seus addendums i cartes de teletreball

Una col·lectivitat territorial d'aproximadament 1 200 agents permanents va desitjar desmaterialitzar la gestió dels seus addendums de teletreball després de l'acord-marc nacional de 2021 sobre el teletreball a la funció pública. El volum a tractar era d'aproximadament 400 documents per any, amb restriccions específiques: els agents són persones públiques les dades de les quals rellevem d'un tractament particularment enquadrat.

La col·lectivitat ha optat per signatures avançades (AES), amb emmagatzematge sobirà en un proveïdor qualificat SecNumCloud per l'ANSSI. L'AIPD ha estat sotmesa al DPD de la col·lectivitat abans del desplegament. Els agents han estat informats via una nota de servei publicada a la intranet i un encauixament d'informació en el recorregut digital. El servei RH ha estimat una guany de 3 equivalent-temps-jornada per mes en la gestió administrativa dels addendums, és a dir, una economia anual equivalent a aproximadament 35 000 € en costos directes, coherent amb els rangs publicats per l'Observatori de la transformació digital de les col·lectivitats (2025).

Conclusió

La conformitat RGPD de la signatura electrònica pels documents RH no és una opció: condiciona tant el valor jurídic dels teus actes com la protecció dels drets dels teus treballadors. El 2026, les empreses que no han actualitzat encara el seu registre de tractaments, signat un DPA amb el seu proveïdor i adaptat el nivell de signatura a cada tipus de document s'exposen a un doble risc — prud'homal i administratiu — les conseqüències financeres del qual poden ser significatives.

La bona notícia: una solució ben triada i ben configurada permet conciliar fluidesa operacional, conformitat eIDAS i resposta del RGPD sense fricció per als equips RH ni per als treballadors.

Certyneo t'acompanya en aquesta iniciativa: plataforma conforme eIDAS, DPA disponible, emmagatzematge europeu i recorreguts de signatura pensats per a RH. o en alguns clics.