RGPD en RH : 従業員データの処理方法

一般データ保護規則（GDPR）は、企業と顧客間の商業関係にのみ適用されるものではありません。従業員の個人データの処理を非常に正確に規制しています。採用、給与管理、アクセス制御、業績評価、ビデオ監視…労働契約のライフサイクルの各段階で、雇用主が欧州法を厳密に遵守して処理しなければならない個人データが生成されます。2,000万ユーロまたは年間世界売上高の4%に達する可能性のある罰金があり、その影響は非常に大きいです。本記事では、適用される法的根拠、HR部門の実務的義務、およびRH文書のデジタル化を含めたお客様の処理を保護するためのベストプラクティスについて詳しく説明します。

RHデータ処理の法的基礎

労働法で認められた法的根拠

GDPRは個人データを処理することを可能にする6つの法的根拠をリストしています（第6条）。HR環境では、3つが事実上体系的に活用されます：

• 労働契約の履行（第6条1項b）：給与管理、労働時間管理、給与明細書の提供、または休暇管理の主要な根拠を構成します。

• 法的義務（第6条1項c）：労働法または社会立法によって課されるトリートメント、つまり採用事前申告（DPAE）、社会名義申告（DSN）、または職員統一レジスタの維持を正当化します。

• 正当な利益（第6条1項f）：情報セキュリティトリートメントまたは内部詐欺防止の特定のトリートメント、ただし当該利益が従業員の基本的権利に優先されないという条件で可能です。

⚠️ 同意の根拠は労働環境では極めて慎重に扱う必要があります。CNILは定期的に、雇用主と従業員間の関係に固有の不均衡により、GDPRの第7条の意味での同意がめったに「自由」ではないことを想起させています。他の法的根拠に基づくことができるトリートメントについて同意を利用することは、雇用主に再適格化のリスクをもたらします。

特殊なカテゴリのデータ：強化されたレジーム

HRによって収集された特定のデータは、GDPRの第9条で対象とされている「機密データ」レジームに該当し、その処理は原則として例外を除き禁止されています：

• 健康データ：病気休暇、作業医学による判定不適格、障害のためのポスト調整。

• 組合データ：組合への加盟、代表的な権限。

• 生体データ：指紋またはフェイスリコグニションによるアクセス制御。

• 違反に関連するデータ：刑事記録の検証、セキュリティ、児童などの規制対象セクターでのみ認可。

これらのカテゴリについて、雇用主は明示的な例外（第9条2項）を特定し、ほとんどの場合にデータ保護影響評価（DPIA）を実施し、デプロイ前にCNILに相談することが多いです。

HR部門の実務的義務

トリートメント活動レジスター

250人以上の従業員を雇用するすべての組織は、トリートメント活動レジスター（GDPRの第30条）を維持する義務があります。このしきい値以下では、トリートメントが時折的でない場合、または機密データに関わっている場合、義務は続きます。HRではほぼ常にそうです。このレジスターは以下を文書化する必要があります：

• 各トリートメントの目的（例：「給与明細書の管理」）

• 関わるデータのカテゴリ

• 受取人（第三者、サブプロセッサ、当局）

• 保持期間

• 実施されたセキュリティ対策

CNILはレジスターの無料ダウンロード可能なモデルを提供しています。その厳密な維持は、審査の場合の最初の防線を構成します。

保持期間：しばしば無視されるポイント

GDPRの第5条1項eは、保持期間制限の原則を課しています：データは、それが収集された目的に必要な期間を超えて保持されてはなりません。HRでは、参考となる法定期間は以下のとおりです：

| データタイプ | 推奨される保持期間 | |---|---| | 給与明細書 | 5年（民事時効） | | 労働契約 | 契約解除後5年 | | リクルートメントデータ（選定されなかった候補者） | 最後の接触後最大2年 | | 懲戒ファイル | 制裁に応じた期間（警告の場合最大3年） | | ビデオ監視データ | 一般的には1ヶ月 | | DSNおよび職員レジスター | 従業員出国後5年 |

これらの期間はレジスターに記載され、パージまたは最終的なアーカイブプロセスを通じて適用されなければなりません。

従業員への情報通知：しばしば過小評価される義務

GDPRの第13条は、データ収集時に対象者への完全な情報通知の提供を課しています。HRでは、この通知は理想的には以下の場合に提供されるべきです：

• 候補申請時点で：採用プロセス中に収集されるデータについて。

• 採用時：労働契約に統合されるか、署名時にアネックスとして提供。

• 契約関係中：新しいトリートメント導入の度（例：生体認証チェックツールの展開）。

オンボーディングプロセスのデジタル化、特にHR向け電子署名を通じた場合、この情報提供の追跡可能性を促進します：通知の読取と署名の日時がタイムスタンプされ、訴訟の場合に証拠として価値があります。

RHデータのセキュリティ：技術的および組織的対策

暗号化、アクセス制御、および区分

GDPRの第32条は、リスクに適応したセキュリティ対策の実施を要求しています。本質的に機密性が高く、侵入時に狙われるRHデータについて、最小限のベストプラクティスには以下が含まれます：

• 保存中および転送中のデータ暗号化：給与ファイル、契約、個人フォルダーは暗号化されて（最低限AES-256）保存され、セキュアプロトコル（TLS 1.3）経由で転送されるべきです。

• 役割ベースのアクセス制御（RBAC）：許可されたHR管理者のみが給与データにアクセス；マネージャーはマネジメントに必要なデータのみにアクセス。

• アクセスのログ記録：従業員フォルダーへのあらゆる相談または変更は、ユーザーID、日付、時刻とともに追跡されるべきです。

• 分析トリートメント用の仮名化（HRダッシュボード、給与研究）。

RHサブプロセッサの管理

HRサービスは多くのサブプロセッサを利用しています：SIRHエディター、外部給与サービスプロバイダー、トレーニングプラットフォーム、オンライン採用ツール。これらの各第三者は、GDPRの第28条に準拠したサブプロセッシング契約の対象であり、特に以下を指定します：

• サブプロセスされたトリートメントの性質と目的

• セキュリティと機密性に関するサブプロセッサの義務

• 事前許可なしのサブサブプロセッシング禁止

• 契約終了時のデータ返却または破棄のモダリティ

プロバイダー選択時、そのサーバーが欧州経済領域（EEA）内に位置するか、またはEEA外への転送のための適切なメカニズム（標準契約条項、適切性決定）が整備されているかを確認することが重要です。

RH文書のデジタル化とGDPR準拠

RHプロセスの増加するデジタル化—電子労働契約、デジタル化給与明細、遠隔署名修正—は特定のGDPR問題を提起します。eIDAS準拠の電子署名は確実に完全性と真正性の保証をもたらしますが、雇用主は使用されるプラットフォームが以下を確保する必要があります：

• 署名プロセス中に余分なデータを収集しない（最小化原則、第5条1項c）

• 署名証拠（監査証跡）をセキュアな条件で、かつ適切な期間保持

• 署名者の権利行使を可能にする（アクセス、修正、法的限度内での削除）

署名ツールの準拠についてさらに詳しく知るため、Certyneo の電子署名完全ガイドは、すべてのデプロイ前に検証すべき技術的および法的基準について詳しく説明しています。

従業員の権利およびその有効な行使

GDPRで保証される権利のパノラマ

従業員はGDPRの第15条から第22条で規定されるすべての権利の恩恵を受けます。HR環境では、最も頻繁に行使される権利は：

• アクセス権（第15条）：従業員は、雇用主が保持するすべてのデータの複製を要求でき、特定の条件下では職務メールの交換を含みます。

• 修正権（第16条）：不正確なデータの修正（RIB誤り、不正確な資格など）。

• 削除権（第17条）：HR保持義務により制限されていますが、選定されなかった候補者のリクルートメントデータに適用可能です。

• 異議権（第21条）：正当な利益に基づくトリートメント（監視の特定のトリートメントなど）に対して行使可能。

• 携帯可能性権（第20条）：契約履行の枠組み内で従業員が自ら提供したデータに適用可能。

応答期限および内部手続き

雇用主は、権利行使のあらゆる要求に対応するために1ヶ月の余地があり、複雑性または高い要求量の場合は3ヶ月まで延長可能です（第12条3項）。これを効率的に組織するため、以下をお勧めします：

• 要求を受け取る単一の連絡先（DPOまたはGDPR担当者）を指定

• 従業員がアクセス可能な専用フォームを実装

• 権利行使要求のレジスターで各要求とその応答を文書化

• マネージャーHRを訓練して暗黙の要求を識別（従業員が「個人ファイル」を求める場合、事実上アクセス権を行使）

企業内のDPOの役割

GDPRは3つの場合にデータ保護責任者（DPO）の指定を課しています（第37条）：公的当局、機密データの大規模処理、または大規模な体系的監視。多くの有意なHRトリートメントを持つ企業がこの義務に該当します。DPOは内部または外部化可能。機能的独立性を持つ必要があり、データ保護に影響を与えるすべての決定（新しいデジタルHRツールのデプロイを含む）に関連付けられるべきです。その役割はコンサルタティブであり、意思決定的ではありません：最終的責任は責任者、つまり雇用主にあります。

RHデータ処理に適用される法的枠組み

GDPR：創設文書

2016年4月27日の欧州議会および理事会規則（EU）2016/679（GDPR）は、ヨーロッパ内の個人データ処理の規制的基盤を構成します。2018年5月25日以降、すべての加盟国で直接適用され、すべての企業がEU内に居住する従業員のデータを処理する場合に適用されます、企業の国籍に関わらず。HR環境における適用可能な主要条項は：

• 第5条：基本原則（合法性、忠誠性、透明性、最小化、正確性、保持期間制限、完全性および機密性、責任性）

• 第6条：トリートメントの法的根拠

• 第9条：機密データのレジーム

• 第12条から第22条：対象者の権利

• 第24条から第32条：責任者およびサブプロセッサの義務

• 第33-34条：データ違反の通知（CNIL72時間以内、リスク高の場合は対象者に通知）

• 第35条：高リスク処理のための影響評価（DPIA）必須

• 第83条：行政的制裁（最大2,000万ユーロまたは年間世界売上高の4%）

変更された情報および自由法

フランス法では、1978年1月6日の法律第78-17号、情報、ファイルおよび自由に関する、2018年6月20日の法律第2018-493号および2018年12月12日の令第2018-1125号により変更、GDPRをNational leeway を開いて補完します（「opening clauses」）。HRで最も重要なもの：職員代理機関（IRP）管理の枠組み内で組合データを処理する可能性（法律の第9条）、または職場衛生データ処理のための特定のルール。

労働法および社会判例

労働法は、従業員の監視またはコントロールデバイスの展開前にEconomic and Social Committee（CSE）との協議を義務付けています（L. 2312-38）。協議の不在は、収集された証拠の反対不可能性および刑事制裁にさらされています。

破棄院の判例は、コントロールツール（ジオロケーション、バッジ、アクティビティ監視ソフトウェア）が追求される目的に適切であり、従業員に宣言され、CNILに通知されたもの以外の他の目的に転用されてはならないことを定期的に想起させています。

RH文書の電子署名：eIDASおよび民法

労働契約、修正または懲戒文書のデジタル化時、雇用主は規則（EU）n°910/2014 eIDASを尊重する必要があり、電子署名の3つのレベルを定義しています。CDI労働契約または合意解雇文書のような構造的なドキュメントでは、高度な電子署名（または認定）が署名者の身元を保証し、ドキュメントの完全性を確保するために推奨されます。民法の第1366および1367条は電子書き言葉と電子署名の証拠的価値を認めています、署名者の信頼できる識別と完全性の保証を条件として。

HR問題でのCNILによる科された制裁

CNILはRHデータトリートメント問題でいくつかの著しい制裁を科しています：2022年、企業は画面キャプチャソフトウェア経由での在宅勤務従業員の過剰監視について40万ユーロの罰金を科されました。2023年、セキュリティ企業は有効な法的根拠なしで過剰な生体データ収集について20万ユーロの制裁を受けました。これらの決定は、このペリメーターに対する規制当局の増加する警戒を図解しています。

使用シナリオ：実践でのGDPR HR

シナリオ1—450人の従業員を持つ中堅工業企業が採用プロセスをコンプライアンス化

約450人を3つのサイトで雇用する工業企業は、毎年3,000件以上の自発的候補申請を受け取り、約60件の募集告知に対応しました。CVおよびカバーレターは、6人のサービス責任者間で共有されたメールボックスに無期限に保存されました。候補者にはデータ使用に関する情報通知は提供されませんでした。

GDPR監査後、以下のアクションが6ヶ月間で展開されました：

• GDPR準拠認証ATS（求人追跡システム）への移行、非活動24ヶ月後の自動パージ機能付き

• すべてのオンラインアプリケーションフォームにGDPR情報通知を追加

• eIDAS準拠プラットフォーム経由でのオファーレターおよび労働契約の電子署名、返却平均時間を8日から48時間未満に削減

• 12個の新しいRHトリートメントシートを含むトリートメント活動レジスターの更新

結果：後続の18ヶ月でCNIL要求なし；採用管理の行政的負担で推定1.2 ETpの利益、デジタル化によるアクティブ化。

シナリオ2—1,200人の従業員を持つ流通グループがビデオ監視ポリシーを枠組み化

食品流通に特化するグループは、34の販売ポイントをカバーするビデオ監視システムを展開しました。画像は一部のサイトで45日間保持され、従業員向けの情報表示なし。複数のセンサーがキャッシュレジスターポストを継続的にカバーしていて、不均衡な監視リスクを生成しました。

従業員のCNILへの苦情後、企業は以下を含むコンプライアンス実装に従事しました：

• すべてのサイトで最大30日への保持期間削減

• カメラの位置変更により継続的な個別ポスト監視を除外

• 新しいすべてのデプロイ前に中央CSEとの相談および同意

• 労働契約および表示内部チャート経由での従業員への体系的情報通知

結果：CNIL苦情のクローズ、制裁なし；後続の年間満足度調査で測定された社会風土の改善（信用項目で+11ポイント）。

シナリオ3—外部化されたHRコンサルティング企業がクライアントへのデータ転送を保護

給与管理および職員行政外部化に特化する企業は、約1,800の月額給与明細書を代表する20のSMEクライアント向けの従業員ファイルを管理しました。給与ファイルは非暗号化メールで転送され、GDPR第28条の意味でのサブプロセッシング契約なしで形式化されました。

企業は完全な実践の刷新を行いました：

• GDPR第28条準拠のData Processing Agreements（DPA）の各クライアントとの署名、追跡可能性を可能にする電子署名高度なプラットフォーム経由

• クライアントポータルのセキュア設置（TLS暗号化+二要因認証）給与ファイルの預金および取得用

• EEA内に位置するサーバー（健康データ用HDS認証）でのデータホスティング

• サブプロセッシング（給与ソフトウェアエディター、アーカイバー）をサードに利用する管理のための実装制定

結果：非セキュアメール経由のRHデータ転送100%削減；GDPR準拠を強制選択基準として作成した2つの新しいクライアント契約獲得。

結論

HR内のGDPRは単なる追加の行政負担ではありません：雇用主と協力者間の信頼の梃子であり、透明性がますます評価される労働市場での競争力の要因です。最新のトリートメント活動レジスター、マスターされた保持期間、形式化された従業員情報、機密データのセキュリティ強化、およびサブプロセッサの契約化：これらの各柱が法的かつ責任ある HR政策を構築することに貢献します。

RH文書のデジタル化—契約、修正、給与明細、情報通知—は、認定ツールに依拠する前提で、GDPR準拠と運用効率を組み合わせる独自の機会を提供しています。Certyneo はeIDAS準拠の電子署名ソリューションでこのアプローチを支援し、HR チーム向けに設計されています。Certyneo で料金を発見し、無料試用を開始して、今日のRH文書を保護してください。