RGPD en RH : Traitement des données des salariés

Le Règlement Général sur la Protection des Données (RGPD) ne s'applique pas uniquement aux relations commerciales entre une entreprise et ses clients : il encadre aussi, et de façon très précise, le traitement des données personnelles des salariés. Recrutement, gestion de la paie, contrôle des accès, évaluation des performances, vidéosurveillance… chaque étape du cycle de vie du contrat de travail génère des données à caractère personnel que l'employeur doit traiter dans le strict respect du droit européen. Avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, l'enjeu est considérable. Cet article détaille les bases légales applicables, les obligations pratiques des services RH et les meilleures pratiques pour sécuriser vos traitements — y compris lors de la dématérialisation des documents RH.

Les fondements juridiques du traitement des données RH

Les bases légales admises en droit du travail

Le RGPD liste six bases légales permettant de traiter des données personnelles (article 6). En contexte RH, trois d'entre elles sont mobilisées quasi systématiquement :

• L'exécution du contrat de travail (art. 6.1.b) : constitue la base principale pour la gestion de la paie, le suivi du temps de travail, la remise des bulletins de salaire ou encore la gestion des congés.
• L'obligation légale (art. 6.1.c) : justifie les traitements imposés par le Code du travail ou la législation sociale, comme la déclaration préalable à l'embauche (DPAE), la déclaration sociale nominative (DSN) ou la tenue du registre unique du personnel.
• L'intérêt légitime (art. 6.1.f) : peut fonder certains traitements de sécurité informatique ou de prévention de la fraude interne, sous réserve que cet intérêt ne soit pas supplanté par les droits fondamentaux des salariés.

⚠️ La base du consentement est à manier avec une extrême prudence en contexte salarial. La CNIL rappelle régulièrement que le déséquilibre inhérent à la relation employeur-salarié rend le consentement rarement « libre » au sens de l'article 7 du RGPD. Recourir au consentement pour des traitements qui pourraient reposer sur une autre base légale expose l'employeur à un risque de requalification.

Les catégories particulières de données : un régime renforcé

Certaines données collectées par les RH relèvent du régime des « données sensibles » visé à l'article 9 du RGPD, dont le traitement est en principe interdit sauf exceptions :

• Données de santé : arrêts maladie, inaptitudes prononcées par la médecine du travail, aménagements de poste pour handicap.
• Données syndicales : appartenance à un syndicat, mandats représentatifs.
• Données biométriques : contrôle d'accès par empreinte digitale ou reconnaissance faciale.
• Données relatives aux infractions : vérification des casiers judiciaires, autorisée uniquement dans des secteurs réglementés (sécurité, enfance, etc.).

Pour ces catégories, l'employeur doit identifier une exception explicite (art. 9.2), réaliser une analyse d'impact sur la protection des données (AIPD) dans la plupart des cas, et souvent consulter la CNIL avant déploiement.

Les obligations pratiques des services RH

Le registre des activités de traitement

Tout organisme employant plus de 250 salariés est tenu de maintenir un registre des activités de traitement (art. 30 du RGPD). En dessous de ce seuil, l'obligation subsiste dès lors que les traitements ne sont pas occasionnels ou portent sur des données sensibles — ce qui est presque toujours le cas en RH. Ce registre doit documenter :

• La finalité de chaque traitement (ex. : « gestion des bulletins de paie »)
• Les catégories de données concernées
• Les destinataires (tiers, sous-traitants, autorités)
• Les durées de conservation
• Les mesures de sécurité mises en œuvre

La CNIL met à disposition un modèle de registre librement téléchargeable. Sa tenue rigoureuse constitue la première ligne de défense en cas de contrôle.

Les durées de conservation : un point souvent négligé

L'article 5.1.e du RGPD impose le principe de limitation de la conservation : les données ne doivent pas être conservées au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées. En RH, les durées légales de référence sont les suivantes :

| Type de donnée | Durée de conservation recommandée | |---|---| | Bulletin de paie | 5 ans (prescription civile) | | Contrat de travail | 5 ans après la rupture du contrat | | Données de recrutement (candidat non retenu) | 2 ans maximum après le dernier contact | | Dossier disciplinaire | Durée variable selon la sanction (max. 3 ans pour un avertissement) | | Données de vidéosurveillance | 1 mois en règle générale | | DSN et registre du personnel | 5 ans après la sortie du salarié |

Ces durées doivent être inscrites dans le registre et appliquées via des procédures de purge ou d'archivage définitif.

L'information des salariés : une obligation souvent sous-estimée

L'article 13 du RGPD impose de fournir une notice d'information complète aux personnes concernées au moment de la collecte de leurs données. En RH, cette notice doit idéalement être remise :

• Dès la candidature : pour les données collectées lors du processus de recrutement.
• À l'embauche : intégrée au contrat de travail ou remise en annexe lors de la signature.
• En cours de relation contractuelle : à chaque nouveau traitement mis en place (ex. : déploiement d'un outil de pointage biométrique).

La dématérialisation du processus d'onboarding, notamment via la signature électronique pour les RH, facilite la traçabilité de cette remise d'information : la date de lecture et de signature de la notice est horodatée de façon probante, ce qui constitue un élément de preuve précieux en cas de litige.

La sécurité des données RH : mesures techniques et organisationnelles

Chiffrement, contrôle des accès et cloisonnement

L'article 32 du RGPD exige la mise en place de mesures de sécurité adaptées au risque. Pour les données RH, qui sont par nature sensibles et ciblées lors d'intrusions, les bonnes pratiques minimales comprennent :

• Chiffrement des données au repos et en transit : les fichiers de paie, les contrats et les dossiers personnels doivent être stockés chiffrés (AES-256 au minimum) et transmis via des protocoles sécurisés (TLS 1.3).
• Gestion des droits d'accès basée sur les rôles (RBAC) : seuls les gestionnaires RH habilités accèdent aux données de paie ; le responsable d'équipe n'accède qu'aux données nécessaires au management.
• Journalisation des accès : toute consultation ou modification d'un dossier salarié doit être tracée avec l'identifiant de l'utilisateur, la date et l'heure.
• Pseudonymisation pour les traitements analytiques (tableaux de bord RH, études de rémunération).

La gestion des sous-traitants RH

Les services RH font appel à de nombreux sous-traitants : éditeurs de SIRH, prestataires de paie externalisée, plateformes de formation, outils de recrutement en ligne. Chacun de ces tiers doit faire l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD, précisant notamment :

• La nature et la finalité des traitements sous-traités
• Les obligations du sous-traitant en matière de sécurité et de confidentialité
• L'interdiction de sous-sous-traiter sans autorisation préalable
• Les modalités de restitution ou de destruction des données en fin de contrat

Lors du choix d'un prestataire, il convient également de vérifier si ses serveurs sont localisés dans l'Espace Économique Européen (EEE) ou si un mécanisme de transfert adéquat (clauses contractuelles types, décision d'adéquation) est en place pour les transferts hors EEE.

La dématérialisation des documents RH et la conformité RGPD

La numérisation croissante des processus RH — contrats de travail électroniques, bulletins de paie dématérialisés, avenants signés à distance — soulève des enjeux RGPD spécifiques. Si la signature électronique conforme eIDAS apporte des garanties d'intégrité et d'authenticité indéniables, l'employeur doit s'assurer que la plateforme utilisée :

• Ne collecte pas de données superflues lors du processus de signature (principe de minimisation, art. 5.1.c)
• Conserve les preuves de signature (piste d'audit) dans des conditions sécurisées et pendant une durée appropriée
• Permet l'exercice des droits des signataires (accès, rectification, effacement dans les limites légales)

Pour aller plus loin sur la conformité des outils de signature, le guide complet de la signature électronique de Certyneo détaille les critères techniques et juridiques à vérifier avant tout déploiement.

Les droits des salariés et leur exercice effectif

Panorama des droits garantis par le RGPD

Les salariés bénéficient de l'ensemble des droits prévus aux articles 15 à 22 du RGPD. En contexte RH, les droits les plus fréquemment exercés sont :

• Droit d'accès (art. 15) : le salarié peut demander une copie de toutes les données le concernant détenues par l'employeur, y compris les échanges d'e-mails professionnels dans certaines conditions.
• Droit de rectification (art. 16) : correction de données inexactes (erreur sur le RIB, diplôme mal renseigné, etc.).
• Droit à l'effacement (art. 17) : limité en RH par les obligations légales de conservation, mais applicable aux données de recrutement d'un candidat non retenu.
• Droit d'opposition (art. 21) : peut s'exercer contre un traitement fondé sur l'intérêt légitime, comme certains traitements de surveillance.
• Droit à la portabilité (art. 20) : applicable aux données fournies par le salarié lui-même dans le cadre de l'exécution du contrat.

Le délai de réponse et les procédures internes

L'employeur dispose d'un mois pour répondre à toute demande d'exercice des droits, délai extensible à trois mois en cas de complexité ou de volume élevé de demandes (art. 12.3). Pour organiser ce traitement efficacement, il est recommandé de :

1. Désigner un point de contact unique (DPO ou référent RGPD) pour réceptionner les demandes
2. Mettre en place un formulaire dédié accessible aux salariés
3. Documenter chaque demande et sa réponse dans un registre des demandes d'exercice de droits
4. Former les managers RH à identifier une demande implicite (un salarié qui réclame « son dossier personnel » exerce de facto son droit d'accès)

Le rôle du DPO en entreprise

Le RGPD impose la désignation d'un Délégué à la Protection des Données (DPO) dans trois cas (art. 37) : autorité publique, traitement à grande échelle de données sensibles, ou surveillance systématique à grande échelle. Beaucoup d'entreprises dont le traitement RH est significatif entrent dans cette obligation. Le DPO peut être interne ou externalisé ; il doit disposer d'une indépendance fonctionnelle et être associé à toutes les décisions impactant la protection des données, y compris le déploiement de nouveaux outils RH numériques. Son rôle est consultatif et non décisionnel : la responsabilité finale demeure celle du responsable de traitement, c'est-à-dire l'employeur.

Cadre légal applicable au traitement des données RH

Le RGPD : texte fondateur

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) constitue le socle réglementaire du traitement des données personnelles en Europe. Directement applicable dans tous les États membres depuis le 25 mai 2018, il s'impose à tout employeur traitant des données de salariés résidant dans l'UE, quelle que soit la nationalité de l'entreprise. Les principaux articles applicables en contexte RH sont :

• Art. 5 : principes fondamentaux (licéité, loyauté, transparence, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité)
• Art. 6 : bases légales de traitement
• Art. 9 : régime des données sensibles
• Art. 12 à 22 : droits des personnes concernées
• Art. 24 à 32 : obligations du responsable de traitement et du sous-traitant
• Art. 33-34 : notification des violations de données (72 heures à la CNIL, et information des personnes si risque élevé)
• Art. 35 : analyse d'impact (AIPD) obligatoire pour les traitements à risque élevé
• Art. 83 : sanctions administratives (jusqu'à 20 M€ ou 4 % du CA mondial)

La loi Informatique et Libertés modifiée

En droit français, la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n°2018-493 du 20 juin 2018 et l'ordonnance n°2018-1125 du 12 décembre 2018, complète le RGPD en ouvrant des marges de manœuvre nationales (« clauses d'ouverture »). Parmi les plus importantes en RH : la possibilité de traiter des données syndicales dans le cadre de la gestion des institutions représentatives du personnel (art. 9 de la loi), ou encore les règles spécifiques au traitement des données de santé au travail.

Le Code du travail et la jurisprudence sociale

Le Code du travail impose des obligations d'information et de consultation préalable du Comité Social et Économique (CSE) avant tout déploiement de dispositif de surveillance ou de contrôle des salariés (art. L. 2312-38). L'absence de consultation expose l'employeur à une inopposabilité des preuves recueillies ainsi qu'à des sanctions pénales.

La jurisprudence de la Cour de cassation rappelle régulièrement que les outils de contrôle (géolocalisation, badgeuse, logiciels de suivi d'activité) doivent être proportionnés à l'objectif poursuivi et ne peuvent être détournés à d'autres fins que celles déclarées aux salariés et à la CNIL.

La signature électronique des documents RH : eIDAS et Code civil

Lors de la dématérialisation des contrats de travail, avenants ou documents disciplinaires, l'employeur doit respecter le Règlement (UE) n°910/2014 eIDAS, qui définit trois niveaux de signature électronique. Pour des documents aussi structurants qu'un contrat de travail CDI ou un document de rupture conventionnelle, une signature électronique avancée (voire qualifiée) est recommandée afin de garantir l'identité du signataire et l'intégrité du document. Le Code civil aux articles 1366 et 1367 consacre la valeur probante de l'écrit électronique et de la signature électronique, sous réserve d'identification fiable du signataire et d'assurance d'intégrité.

Sanctions prononcées par la CNIL en matière RH

La CNIL a prononcé plusieurs sanctions significatives en matière de traitement des données RH : en 2022, une entreprise a été condamnée à 400 000 € d'amende pour surveillance excessive de salariés en télétravail via des logiciels de capture d'écran. En 2023, une société de sécurité a écopé d'une sanction de 200 000 € pour collecte excessive de données biométriques sans base légale valide. Ces décisions illustrent la vigilance croissante du régulateur sur ce périmètre.

Scénarios d'usage : RGPD RH en pratique

Scénario 1 — Une ETI industrielle de 450 salariés met en conformité son processus de recrutement

Une entreprise industrielle de taille intermédiaire, employant environ 450 personnes sur trois sites, recevait chaque année plus de 3 000 candidatures spontanées et répondait à une soixantaine d'offres d'emploi. Les CV et lettres de motivation étaient stockés sans limitation de durée dans une boîte e-mail partagée entre six responsables de service. Aucune notice d'information n'était remise aux candidats sur l'utilisation de leurs données.

Suite à un audit RGPD, les actions suivantes ont été déployées en six mois :

• Migration vers un ATS (Applicant Tracking System) certifié conforme RGPD, avec purge automatique des dossiers après 24 mois d'inactivité
• Ajout d'une notice d'information RGPD dans chaque formulaire de candidature en ligne
• Signature électronique des lettres d'embauche et des contrats de travail via une plateforme conforme eIDAS, réduisant le délai de retour des contrats signés de 8 jours en moyenne à moins de 48 heures
• Mise à jour du registre des activités de traitement avec 12 nouvelles fiches de traitement RH

Résultat : aucune demande CNIL reçue dans les 18 mois suivants ; gain estimé de 1,2 ETP sur la gestion administrative du recrutement grâce à la dématérialisation.

Scénario 2 — Un groupe de distribution de 1 200 salariés encadre sa politique de vidéosurveillance

Un groupe spécialisé dans la distribution alimentaire avait déployé un système de vidéosurveillance couvrant 34 points de vente. Les images étaient conservées 45 jours sur certains sites, sans information affichée pour les salariés. Plusieurs capteurs couvraient les postes de caisse de manière permanente, générant un risque de surveillance disproportionnée.

À la suite d'une plainte salarié auprès de la CNIL, l'entreprise a engagé une mise en conformité incluant :

• Réduction de la durée de conservation à 30 jours maximum sur l'ensemble des sites
• Repositionnement des caméras pour exclure la surveillance continue des postes de travail individuels
• Consultation et accord du CSE central avant tout nouveau déploiement
• Information systématique des salariés via les contrats de travail et une charte interne affichée

Résultat : clôture de la plainte CNIL sans sanction ; amélioration du climat social mesurée lors de l'enquête de satisfaction annuelle suivante (+11 points sur l'item « confiance envers l'employeur »).

Scénario 3 — Un cabinet de conseil RH externalisé sécurise les transferts de données avec ses clients

Un cabinet spécialisé dans l'externalisation de la paie et de l'administration du personnel gérait les dossiers de salariés pour une vingtaine de PME clientes, représentant environ 1 800 bulletins de paie mensuels. Les fichiers de paie étaient transmis par e-mail non chiffré, sans contrat de sous-traitance formalisé au sens de l'article 28 du RGPD.

Le cabinet a engagé une refonte complète de ses pratiques :

• Signature de Data Processing Agreements (DPA) conformes à l'article 28 avec chacun de ses clients, via une plateforme de signature électronique avancée permettant la traçabilité
• Mise en place d'un portail client sécurisé (chiffrement TLS + authentification à double facteur) pour le dépôt et la récupération des fichiers de paie
• Hébergement des données sur des serveurs localisés en France, certifiés HDS pour les données de santé au travail
• Rédaction d'une politique de sous-traitance encadrant le recours à des tiers (éditeur de logiciel de paie, archiveur)

Résultat : réduction de 100 % des transmissions de données RH par e-mail non sécurisé ; obtention de deux nouveaux contrats clients ayant fait de la conformité RGPD un critère de sélection obligatoire dans leur appel d'offres.

Conclusion

Le RGPD en RH ne se résume pas à une contrainte administrative supplémentaire : c'est un levier de confiance entre l'employeur et ses collaborateurs, et un facteur de compétitivité dans un marché du travail où la transparence est de plus en plus valorisée. Registre des traitements tenu à jour, durées de conservation maîtrisées, information des salariés formalisée, sécurité renforcée des données sensibles et sous-traitants contractualisés : chacun de ces piliers contribue à bâtir une politique RH à la fois légale et responsable.

La dématérialisation des documents RH — contrats, avenants, bulletins de paie, notices d'information — offre une opportunité unique de combiner conformité RGPD et efficacité opérationnelle, à condition de s'appuyer sur des outils certifiés. Certyneo vous accompagne dans cette démarche avec une solution de signature électronique conforme eIDAS, conçue pour les équipes RH. Découvrez nos tarifs et lancez votre essai gratuit sur Certyneo pour sécuriser vos documents RH dès aujourd'hui.