RGPD en RH : 処理従業員データ

人事管理は毎日、膨大な量の個人データを生成しています：労働契約、給与明細、健康情報、業績評価、銀行座標など。2018年5月の一般データ保護規制（RGPD）の発効以来、人事部門は組織内のコンプライアンス施策の中心的な役割を担っています。しかし、CNIL（フランスデータ保護局）の2024年活動報告書によれば、人事管理は監査で最も頻繁に問題とされる3つの分野の1つです。本記事では、従業員データを完全にコンプライアンス準拠で処理するための主要な義務、ベストプラクティス、利用可能なツールについてガイドします。

人事部門はどのような個人データを処理していますか？

一般的なデータカテゴリー

人事部門は非常に幅広い個人データを扱っています。2つの大きなファミリーに分けられます：

通常のデータは、労働契約の枠組みで収集されます：名前、名字、住所、社会保障番号、銀行口座番号、CV、資格、職務経歴、年間評価、勤務時間、出勤・欠勤データ。

機密データは、RGPDの第9条の意味で強化された制限の対象です：健康データ（病気休暇、労働災害報告、医療上の制限）、労組データ（労組への加入、代表的委任）、特定のリクルートメント文脈における刑事有罪判決に関するデータ。

これらは、労働法の法的義務の実行や該当者の明示的な同意など、規則で規定された明示的な例外がある場合にのみ処理できます。

リクルートメントの特殊なケース

リクルートメント段階は、しばしば不正確に管理される特定の処理を生成します。CV、動機付けレター、テスト結果の収集は、正確な保持期間を示唆しています：CNIL の推奨事項によれば、不採用候補者のデータは最後の連絡後 2 年以内に削除またはアノニマイズされる 必要があります。セキュリティ保護されていない共有ディレクトリに CV を無期限に保存することは、明らかな違反を構成します。

ATS（Applicant Tracking Systems）でのトラッキングツール、または行動分析アルゴリズムの使用は、RGPD の第13条および第14条に準拠して、候補者に送信されるプライバシーポリシーで明示的に言及される必要があります。

RH コンテキストにおける処理の法的根拠

適切な法的根拠を特定する

RGPD は、すべての個人データの処理が第6条で定義された6つの法的根拠のいずれかに基づいていることを要求しています。RH コンテキストでは、3つの根拠が主に使用されます：

• 労働契約の実行 (art. 6.1.b)：給与管理、休暇管理、訓練に必要なデータの処理を正当化します。

• 法的義務 (art. 6.1.c)：義務的な社会申告（DSN）、職員登録簿、または労働災害の監視に適用されます。

• 正当な利益 (art. 6.1.f)：アクセスバッジ管理またはビデオ監視などの処理に対して、厳格なバランステストの対象として使用できます。

一方、同意 (art. 6.1.a) は、労働コンテキストでは脆弱な法的根拠です：CNIL とヨーロッパデータ保護委員会（EDPB）は、使用者と従業員の間の構造的不均衡により、自由な同意の証明が困難であることを思い出させます。最後の手段としてのみ使用すべきです。

処理登録簿、不可欠な義務

少なくとも250人を雇用する組織、またはより小さな規模で機密データを処理する組織は、処理活動登録簿 (RGPD 第30条) を保持する必要があります。RH では、この登録簿は各処理について以下をドキュメント化する必要があります：目的、データカテゴリー、受取人、保持期間、および実装されたセキュリティ対策。

このドキュメント（監査時に CNIL の処分に保持される）は、貴重なуправ道具でもあります。HR専用の電子署名ソリューションと組み合わせることで、HR ドキュメントのライフサイクルの各ステップをトレースおよびタイムスタンプし、プロセスの監査可能性を強化できます。

従業員の権利と使用者の義務

従業員に情報を提供する：直ちに実行される義務

RGPD の第13条は、データ収集時に関係者に情報を提供することを要求しています。実際には、HR は従業員に―理想的には労働契約署名時から― RGPD 情報通知 を提供する必要があります。その中で以下を詳述します：処理責任者の身元、目的と法的根拠、保持期間、利用可能な権利、および企業に DPO（データ保護担当者）がいる場合はその連絡先。

このやり取りをデジタル化して保護することは不可欠です。企業における電子署名の使用により、この通知の提供をタイムスタンプし、eIDAS 規則に準拠した異議の余地のない証拠を保証できます。

従業員が必ず尊重すべき権利

共同作業者は彼らのデータに関して広範な権利を有しています：

• アクセス権 (art. 15)：すべての従業員は、使用者が処理する自分に関するデータのコピーを要求できます。

• 修正権 (art. 16)：不正確なデータの修正（例：郵便住所、銀行口座番号）。

• 削除権 (art. 17)：特に契約終了後および法的保持期間の終了後のあるケースで適用可能です。

• 異議権 (art. 21)：従業員は正当な利益に基づく処理に異議を唱えることができます。

• 制限権 (art. 18)：異議を唱えられた処理の一時的な凍結。

使用者は、権利行使の要求に対して 1 か月以内 に対応する（RGPD 第12条） 期間を有し、複雑さの場合は3か月に延長可能です。

HR データのセキュリティと下請業者の管理

技術的および組織的措置

RGPD の第32条は、「リスクに適切な」セキュリティ対策の実装を要求しています。HR データの場合、ベストプラクティスには以下が含まれます：

• 暗号化：機密データを含むファイル（給与明細、医療ファイル）の暗号化。

• アクセス制御：最小権限の原則―給与担当者は懲戒データにアクセスしません。

• ログ記録：HR システム（SIRH、給与計算ツール）へのアクセスのログ。

• 違反対応計画：データ漏洩の場合、使用者は CNIL に通知するために 72 時間 を有し (art. 33)、リスクが高い場合は関係者にも通知する必要があります (art. 34)。

電子署名ガイドによる完全な監査は、HR チームが紙の支持に保存されている非セキュアな処理を特定し、適切にデジタル化するのに役立つ可能性があります。

HR プロバイダーを DPA で統制する

HR サービスは多くの下請業者を活用しています：給与計算ソフト、トレーニングプラットフォーム、時間管理ツール。個人データにアクセスする各プロバイダーは、RGPD 第28条に従って、データ処理契約 (Data Processing Agreement — DPA) の対象である必要があります。この契約は、処理指示、セキュリティの保証、データの返還または破棄のモダリティ、および違反時の義務を明確にする必要があります。

欧州連合内にインフラを保有するか、委員会によって承認された標準的な契約条件 (SCC) によって統制されるプロバイダーを選択することは、EU 外への違法な転送を避けるための基本的な要件のままです。

保持期間：構造的な課題

従業員ファイルに適用される法的保持期間

HR データの保持期間は、テキストの重複によって管理されています：RGPD（保持期間の制限の原則、art. 5.1.e）、労働法、および様々な税務および社会的規則。実際には、遵守すべき主な期間は以下の通りです：

| ドキュメントタイプ | 最小保持期間 | |---|---| | 給与明細 | 5年（社会的処方） | | 労働契約 | 契約終了後5年 | | 給与データ（DSN） | 3年（URSSAF 監視） | | 職員登録簿 | 従業員退職後5年 | | 懲戒データ | 措置に比例した期間 | | 医療ファイル（労働医学） | 50年（特定の規則） |

SIRH でのイ自動化された アーカイブおよびパージポリシー の実装、ドキュメント作成をタイムスタンプする電子署名ワークフローと組み合わせることで、CNIL への適合性を実証するための最高のプラクティスを構成します。

避けるべき落とし穴

CNIL HR データ監査中に観察される最も頻繁なエラーは、不採用候補者の CV の無期限保存、前従業員のコンピュータアクセスの維持、給与ファイルのエクスポートの暗号化欠落、および法的期限を超えるバッジングデータの非削除です。これらのポイントを保護するために、電子署名ソリューション比較を参照することで、ネイティブな保存可能アーカイブおよびドキュメント生命管理機能を統合するツールを特定するのに役立ちます。

従業員データ処理に適用される法的フレームワーク

従業員の個人データの処理は、規制の複数の層を組み立てる密な規範的枠組みに含まれています。

規則（EU）2016/679 — RGPD は、基礎を形成します。その第5条から第11条は、基本原則（合法性、正直さ、透明性、目的の制限、データの最小化、正確さ、保持期間の制限、完全性および機密性）を定義します。第9条は、特にデータ保護と労働組合データを含む特定カテゴリのデータに適用される厳格な条件を確立し、HR では特に頻繁です。第83条は、重大な違反の場合、2000万ユーロまたは世界的売上高の4% に達する罰金を規定しています。

情報とリベルテに関する法律（改訂版）（1978年1月6日の法律n°78-17）、その統合版では、RGPD をフランス法に適応させます。CNIL に監視および制裁の権限を授与し、特に労働医学における健康データに対する部門的除外を規定しています。

労働法典 は、従業員の監視（art. L. 1121-1 プライバシーの尊重について）、数値ツールに関する職員代表の相談（art. L. 2312-38）、および義務登録簿に関連する処理を統制しています。

eIDAS 規則 (n° 910/2014)、eIDAS 2.0（規則 UE 2024/1183） で補足されたのは、HR ドキュメントに押印された電子署名の法的値を統制しています。適格電子署名（SEQ）は eIDAS の附属書 I に準拠し、ETSI EN 319 132 および ETSI EN 319 122 規格に準拠しており、フランス民法第1367条の意味での手書き署名への同等性の推定を提供します。

民法第1366条 は、「電子テキストは紙への書き込みと同じ証拠力を持つ、その発生元の人がしっかりと特定でき、その完全性を保証する条件で確立され、保持される限りで」と述べています。この規定は、労働契約、修正、機密保持契約、およびその他の非物質化 HR ドキュメントに直接適用可能です。

NIS2 指令（UE 2022/2555）、2025年2月26日の法律によってフランス法に移置されたのは、本質的および重要なエンティティ（特に大規模な産業会社とデジタルサービスオペレータ）に、情報セキュリティのリスク管理に関する強化された要件を課す機密 HR データの保護を含む。

CNIL が宣告した制裁は急速に増加しています：2024年、罰金総額は 1 億ユーロ を超え、従業員データ管理の複数の決定が直接関わる違反を含んでいます。保持期間の非遵守、HR 下請業者との DPA の欠落、およびセキュリティ対策の不十分性は、最も頻繁に保持されている不服申立てに含まれています。

ユースケースシナリオ：実践における HR での RGPD コンプライアンス

シナリオ1 ―450人の従業員を持つ中堅製造企業がオンボーディングプロセスをデジタル化

フランスの3つのサイトに分布する中堅製造企業は、労働契約と修正を紙による支持で管理していました。入社者のファイルは、平均して12営業日後にのみ給与部門に送信されました。8%のケースで給与エラーが発生しました。さらに、新しい入社者には RGPD 通知が正式には提供されていませんでした：情報は単に別個に署名されていない就業規則の下部にのみ表示されていました。

SIRH に統合された電子署名ソリューションを展開した後、RGPD 通知を DRH と従業員によって同時に署名して提供することで、企業はオンボーディング文書期間を 2 営業日 に削減しました（83%削減）。不足しているデータに関連する給与エラーは1%未満に低下しました。各署名ドキュメントは適格タイムスタンプとともにアーカイブされ、CNIL 監査または雇用紛争での対立証拠を提供します。

シナリオ2 ―1200人の従業員を持つ流通グループが保持ポリシーを準拠させる

専門流通で活動するグループは、前従業員からの申し立てに続く CNIL 監査を受けました。検査により、8年以上前に去った従業員の給与データを含む Excel ファイルが、セキュリティ保護されていない共有サーバーで引き続きアクセス可能であること、および暗号化なしであることが明らかになりました。公式警告が宣告され、3か月以内に適合性への強制令が続きました。

グループは、その HR 処理の完全な監査を実施し、23の処理活動をマップし、SIRH によって引き起こされる自動パージプランを実装しました。電子署名されたドキュメントは、法的義務に従って設定された保持期間を持つデジタル金庫に移行されました。DPO は完全な HR 処理登録簿を作成し、18 か月後の 2 番目の CNIL 監査時に提示され、追加措置なく終了しました。適合性のコストは潜在的な罰金額の 60% 未満と推定されました。

シナリオ3 ―35人の HR コンサルティング会社が、独自のコンサルタントおよびクライアントのデータを保護する

HR リソースに特化したコンサルティング会社は、独自のコンサルタントのデータと、クライアント企業の候補者および従業員のデータ（アセスメントまたはアウトプレースメント任務の枠組みで）を管理しています。したがって、所有の HR の責任者として、および第三者のデータの下請業者（またはコ責任者）として二重の立場にあります。

カンパニーは差別化されたドキュメントアーキテクチャを実装しました：一般的な内部交換用の単純な電子署名、クライアント任務との契約用の高度な署名、およびデータ処理契約（DPA）がすべてミッションレター に系統的に統合されました。すべてのコンサルタントが更新された RGPD チャーターを受け取り、電子署名され、専用登録簿に保持されました。この組織により、会社は厳格なサプライヤー監査の対象となる大規模なアカウント向けの販売議論として適合性を表示し、平均的な契約化期間を 7 週間から 2 週間に 削減できました。

結論

RGPD は人事管理の方向付けにその実践の深刻な変換を課しています：法的根拠の厳格な特定、従業員への効果的な情報、権利の管理、下請業者の契約による統制、データの保護、および保持期間の遵守。これらの義務は単なる管理形式ではありません―それらは企業がいくつかの百万ユーロに達する可能性のある制裁を回避し、チームの信頼を維持する能力を条件とします。

eIDAS に準拠した電子署名ソリューションを使用した HR プロセスのデジタル化は、操作的効率と規制適合性を調和させるための最も効果的なレバーの1つです。Certyneo は、採用契約の署名から従業員ファイルの安全なアーカイブまで、このトランジションにおいて HR チームに付き添います。

Certyneo が HR プロセスをどのように保護できるかをご覧ください 当社の HR チーム向けオファー を参照するか、無料で開始 して約束なしにソリューションをテストしてください。