Электронная подпись в управлении персоналом и GDPR: полное руководство на 2026 год

Цифровизация управления персоналом значительно ускорилась с 2020 года: трудовые договоры, дополнительные соглашения, расчетные листы, правила использования информационных систем, соглашения о удаленной работе — практически все эти документы теперь передаются в цифровом формате. Однако дематериализация не означает отказ от соблюдения юридических обязательств. Напротив: электронная подпись документов управления персоналом GDPR является вопросом двойной нормативной базы, так как она связывает стандарт eIDAS о доказательственной силе подписи с европейским положением о защите персональных данных. Если этот двойной контроль неправильно применяется, организация подвергается правовым рискам и санкциям CNIL. Данное руководство представляет основные правила, лучшие практики и ключевые моменты, которые необходимо учитывать в 2026 году.

Почему GDPR применяется к электронной подписи в управлении персоналом?

Электронная подпись обязательно обрабатывает персональные данные

Подписание трудового договора в Интернете предполагает сбор, передачу и сохранение персональных данных в смысле статьи 4 Положения GDPR №2016/679: имя, фамилия, рабочий адрес электронной почты, иногда номер мобильного телефона, время подписания и IP-адрес подписания. В контексте управления персоналом эти данные особенно чувствительны, поскольку они напрямую идентифицируют сотрудника и связаны с его трудовыми отношениями с работодателем.

Поставщик услуг доверия (PSC), предоставляющий решение для подписания, квалифицируется как обработчик данных в смысле статьи 28 GDPR. Работодатель остается контролером данных. Это различие основополагающее: именно компания отвечает перед CNIL в случае нарушения, а не поставщик программного обеспечения.

Правовые основания, применимые в контексте управления персоналом

Для каждой категории дематериализованных документов управления персоналом работодатель должен определить наиболее подходящее основание обработки:

• Исполнение контракта (ст. 6.1.b GDPR): подписание трудового договора, изменение оклада, соглашение о фиксированном рабочем времени. Это наиболее надежное основание для договорных документов.

• Юридическое обязательство (ст. 6.1.c GDPR): дематериализованная передача расчетного листа (разрешено с закона Макрона 2015 года при условиях), реестры персонала.

• Законный интерес (ст. 6.1.f GDPR): политики использования информационных систем, внутренние положения, документы политики организации — при условии прохождения теста сбалансированности.

Основание согласие (ст. 6.1.a) следует избегать в контексте управления персоналом: CNIL и EDPB (Европейский комитет по защите данных) считают, что подчинение между работодателем и сотрудником делает согласие редко свободным. Сотрудник, который отказывается подписывать электронно, может опасаться профессиональных последствий.

Конкретные обязательства контролера данных в управлении персоналом

Обновление реестра деятельности по обработке данных (RAT)

Статья 30 GDPR обязывает любую организацию, нанимающую более 250 сотрудников (и МСП, обрабатывающие чувствительные данные в большом объеме), вести реестр деятельности по обработке данных. Введение инструмента электронной подписи для документов управления персоналом должно быть включено в реестр со следующей информацией:

• Цель обработки (например: дематериализация и архивирование договорных документов управления персоналом)

• Категории обрабатываемых данных (личность, контактные данные, данные аутентификации)

• Период хранения (срок, установленный законом для хранения трудового договора: 5 лет после окончания трудовых отношений в соответствии с Трудовым кодексом, ст. L. 1234-20)

• Координаты обработчика данных (платформа подписания)

• Применяемые меры безопасности

Подписание DPA (соглашения об обработке данных) с поставщиком услуг

В соответствии со статьей 28 GDPR любое использование обработчика данных для обработки персональных данных должно быть оформлено контрактом об обработке данных (DPA). Этот контракт должен указывать:

• Предмет и срок обработки

• Характер и цель обработки

• Тип персональных данных и категории заинтересованных лиц

• Обязательства и права контролера данных

• Место нахождения данных (размещение в ЕС рекомендуется, чтобы избежать передачи данных вне ЕЭЗ)

• Технические и организационные меры безопасности

Серьезный поставщик услуг электронной подписи систематически предлагает DPA, соответствующий GDPR. Его отсутствие является недоразумением, подлежащим немедленному штрафу.

Информирование сотрудников перед первой подписью

Статья 13 GDPR требует предварительной информации лиц, чьи данные собираются. Перед развертыванием электронной подписи для документов управления персоналом работодатель должен уведомить сотрудников:

• О личности контролера данных

• О цели и основании обработки

• О периоде хранения данных

• О их правах (доступ, исправление, удаление в пределах законных обязательств по хранению, портативность)

• О координатах DPO (Уполномоченного по защите данных), если назначен

Это информирование может быть включено в сам процесс подписания (информационный баннер перед подписью), во внутреннее положение с обновлением или через служебное письмо при развертывании системы.

Требуемый уровень подписания для документов управления персоналом: SES, AES или QES?

Иерархия уровней eIDAS

Положение eIDAS №910/2014 определяет три уровня электронной подписи, каждый из которых обеспечивает возрастающую доказательственную силу:

• SES (простая электронная подпись): низкая доказательственная сила, подходит для документов с низкими ставками (подтверждение получения, внутренние формы)

• AES (расширенная электронная подпись): уникально связана с подписывающим лицом, созданная с использованием данных под его исключительным контролем. Подходит для большинства стандартных документов управления персоналом.

• QES (квалифицированная электронная подпись): наивысший уровень, эквивалентный собственноручной подписи согласно ст. 25.2 eIDAS. Требует усиленной проверки личности (личное общение или видеоидентификация).

Какой уровень для каких документов управления персоналом?

Рекомендуемая структурирование в 2026 году с учетом позиций французской судебной практики и сектор специфических рекомендаций:

| Документ управления персоналом | Рекомендуемый уровень | Обоснование | |---|---|---| | Трудовой договор CDI/CDD | AES минимум, QES рекомендуется | Высокая договорная ценность, риск трудовых споров | | Дополнительное соглашение | AES минимум, QES рекомендуется | Та же логика, что и основной договор | | Испытательный срок (продление) | AES | Краткий срок, ограниченные формальности | | Политика удаленной работы / BYOD | SES или AES | Коллективное соглашение или внутреннее положение | | Соглашение о фиксированном рабочем времени | QES настоятельно рекомендуется | Требовательная судебная практика в трудовом праве | | Конвенциональный разрыв отношений | QES обязательно | Утвержденная форма Cerfa, высокие ставки | | Расписка в полном расчете | AES или QES | Освобождающее значение, ст. L. 1234-20 Трудового кодекса |

Для документов с высоким риском судебных разбирательств (фиксированное рабочее время, разрыв отношений) QES de facto необходимо, чтобы гарантировать применимость перед трудовыми судами. Кассационный суд постепенно ужесточил свои требования к доказательству согласия сотрудника.

Хранение, архивирование и права заинтересованных лиц: ловушки, которых следует избегать

Установленные законом сроки хранения подписанных документов управления персоналом

Хранение подписанных электронно документов управления персоналом подчиняется обязательным законным срокам. Эти сроки имеют приоритет над правом на забывчивость GDPR (ст. 17.3.b):

• Трудовой договор: 5 лет после завершения трудовых отношений (давность по трудовым спорам, ст. L. 1471-1 Трудового кодекса)

• Расчетные листы: 5 лет (давность по заработной плате), но рекомендуется хранить до выплаты пенсионных прав сотруднику

• Документы, относящиеся к производственным травмам: 30 лет (долгий риск судебных разбирательств)

• Профессиональное обучение (планы, свидетельства): 3 года

• Реестры персонала: 5 лет после даты, когда сотрудник покинул организацию

Электронное архивирование с доказательственной силой должно отвечать требованиям стандарта NF Z 42-013 и в идеале стандарту ETSI EN 319 162 (долгосрочное архивирование электронных подписей). Простого хранения на сервере недостаточно: необходимо гарантировать целостность, читаемость и квалифицированную отметку времени документов на весь период хранения.

Управление правами сотрудников без компрометации доказательственной силы

Сотрудник может на законных основаниях осуществлять право доступа (ст. 15 GDPR) для получения копии данных подписания, его касающихся. Он также может потребовать исправления неточных данных.

Однако право на забывчивость (ст. 17 GDPR) не может быть использовано в отношении документов управления персоналом, подчиняющихся законным обязательствам по хранению. Работодатель должен быть в состоянии ясно объяснить этот отказ со ссылкой на применимое правовое основание. Документирование таких обменов в реестре запросов о правах является хорошей практикой, рекомендуемой CNIL.

Портативность (ст. 20 GDPR) применяется к данным, предоставленным сотрудником на основе согласия или исполнения контракта. Конкретно, сотрудник может потребовать свои данные подписания в структурированном формате — обязательство, которое следует предусмотреть при выборе решения для подписания.

Техническая и организационная безопасность: необходимые меры

Технические требования к платформе подписания

В соответствии со статьей 32 GDPR меры безопасности должны быть адекватны риску. Для решения электронной подписи управления персоналом это переводится, в частности, в:

• Шифрование данных при передаче (TLS 1.3 минимум) и в покое (AES-256)

• Многофакторная аутентификация (MFA) для доступа к платформе

• Журналы аудита (логи) с отметкой времени и неподдельные, отслеживающие каждое действие с документом

• Размещение в ЕС (или ЕЭЗ) для предотвращения передачи данных вне ЕЭЗ без надлежащих гарантий (решение об адекватности или стандартные договорные положения)

• Ежегодные тесты на проникновение и сертификация ISO 27001 поставщика

• План непрерывности гарантирующий доступность услуги и восстановление архивов в случае инцидента

Оценка воздействия (AIPD): когда она обязательна?

Статья 35 GDPR требует Оценки воздействия на защиту данных (AIPD), когда обработка может создать высокий риск. CNIL опубликовала список типов обработок, требующих AIPD: обработка в большом масштабе данных, относящихся к профессиональной жизни, упоминается в этом списке.

Конкретно, AIPD рекомендуется (или даже обязательна для крупных предприятий) при развертывании решения электронной подписи управления персоналом, затрагивающего всех сотрудников. Она должна идентифицировать риски (потеря конфиденциальности, кража личных данных, изменение документов), оценить их серьезность и вероятность и предложить меры по снижению риска. Эта оценка должна быть задокументирована и пересмотрена в случае изменения обработки.

Применимая правовая база к электронной подписи управления персоналом и GDPR

Основополагающие европейские нормативные акты

Положение eIDAS №910/2014 (и его пересмотр eIDAS 2.0, находящийся в процессе развертывания): этот текст определяет три уровня электронной подписи (SES, AES, QES) и их юридическую ценность во всех государствах-членах. Статья 25 устанавливает, что QES имеет правовой эффект, эквивалентный собственноручной подписи. Статья 26 перечисляет технические требования расширенной подписи. Квалифицированные поставщики услуг доверия внесены в национальные реестры доверия (во Франции реестр управляется ANSSI).

GDPR №2016/679: применяется с 25 мая 2018 года, этот регламент регулирует любую обработку персональных данных в ЕС. Статьи 5 (принципы), 6 (основания обработки), 13-14 (информирование), 28 (обработчики), 30 (реестр), 32 (безопасность), 35 (AIPD) и 37-39 (DPO) напрямую применяются к электронной подписи управления персоналом.

Применимое французское право

Гражданский кодекс, статьи 1366-1367: статья 1366 устанавливает принцип функциональной эквивалентности между электронным и бумажным документом. Статья 1367 признает электронную подпись как способ доказывания, при условии, что она состоит из надежного процесса идентификации, гарантирующего связь с актом, к которому она прилагается. Надежность презюмируется для QES, но может быть продемонстрирована для AES.

Трудовой кодекс: статья L. 1221-1 не требует определенной формы для трудового договора (за исключением исключений: CDD ст. L. 1242-12, контракт ученичества и т.д.). Закон Макрона 2015 года (закон №2015-990) открыл путь электронному расчетному листу. Статья L. 3243-2 регулирует его условия.

Закон об информатике и свободе, измененный (закон №78-17 от 6 января 1978 года): французская транспозиция GDPR, она предоставляет CNIL полномочия расследования и санкций. Штрафы могут составлять 20 миллионов евро или 4% годового мирового оборота за наиболее серьезные нарушения.

Применяемые технические стандарты

• ETSI EN 319 132: формат расширенной электронной подписи XAdES, применяется к документам XML

• ETSI EN 319 122: формат CAdES для электронных подписей документов CMS

• ETSI EN 319 162: долгосрочное архивирование электронных подписей (ASiC)

• NF Z 42-013 (AFNOR): функциональные спецификации системы электронного архивирования с доказательственной силой

• ISO/IEC 27001: управление информационной безопасностью, справочный стандарт сертификации для поставщиков

Правовые риски в случае несоответствия

Кумулятивный риск значителен: трудовой договор, подписанный на недостаточном уровне подписи, может быть оспорен перед Советом трудовых споров, подвергая работодателя переквалификации или аннулированию. По аспекту GDPR отсутствие DPA с поставщиком, пропуск информирования сотрудников или размещение данных вне ЕС без надлежащих гарантий могут привести к требованию CNIL или даже к публичному административному штрафу.

Сценарии использования: электронная подпись управления персоналом в соответствии с GDPR

Сценарий 1: среднее промышленное предприятие с 600 сотрудниками цифровизирует свои трудовые договоры

Среднее промышленное предприятие, разбросанное по четырем объектам во Франции, ежегодно обрабатывало около 180 наймов CDI/CDD, генерируя столько же бумажных папок для печати, подписания в двух экземплярах, сканирования и архивирования. Задержки между предложением о найме и фактической подписью договора достигали в среднем 8 рабочих дней.

После развертывания решения расширенной электронной подписи (AES), интегрированного в его СИРУ, с DPA в соответствии с GDPR, подписанным с поставщиком, и задокументированной AIPD, компания сократила эту задержку менее чем до 24 часов. Доля неполных папок упала на 34% (источники: отраслевые ориентиры ANDRH 2024). Размещение данных во Франции было выбрано в качестве договорного критерия, исключив любой риск передачи вне ЕЭЗ. Сотрудники уведомляются об обработке через информационный элемент, интегрированный в процесс подписания, гарантирующий соответствие статье 13 GDPR.

Сценарий 2: сеть фрэнчайзинга розничной торговли развертывает QES для соглашений о фиксированном рабочем времени

Сеть специализированной дистрибьюции с шестьюдесятью торговыми точками и сотней кадров на фиксированном рабочем времени столкнулась с выявленным трудовым риском: несколько соглашений о фиксированном времени не могли быть доказаны иначе, чем копиями бумажных документов плохого качества. Кассационный суд ужесточил свои требования доказательства на этот тип соглашения, риск судебных разбирательств оценивался в несколько сотен тысяч евро.

Сеть развернула решение квалифицированной подписи (QES) для всех новых соглашений и предложила действующим кадрам переподписать свои существующие соглашения. Проверка личности через видеоидентификацию была выбрана. Реестр деятельности по обработке данных был обновлен, и внешний DPO утвердил соответствие GDPR процесса. В течение 6 месяцев весь парк соглашений о фиксированном рабочем времени был защищен. Стоимость инициативы (примерно 15–25 € за подпись QES в зависимости от поставщиков на рынке) была признана значительно ниже покрытого риска судебных разбирательств.

Сценарий 3: территориальная коллективность дематериализует свои дополнительные соглашения и политики удаленной работы

Территориальная коллективность примерно с 1200 постоянными агентами пожелала дематериализовать управление своими дополнительными соглашениями об удаленной работе после национального рамочного соглашения 2021 года по удаленной работе в государственном секторе. Объем, подлежащий обработке, составлял примерно 400 документов в год с конкретными ограничениями: агенты являются государственными служащими, чьи данные подпадают под особо регулируемую обработку.

Коллективность выбрала расширенные подписи (AES) с суверенным размещением у поставщика, квалифицированного SecNumCloud компанией ANSSI. AIPD была представлена DPO коллективности перед развертыванием. Агенты были уведомлены через служебное письмо, опубликованное на интрасети, и информационный элемент в цифровом процессе. Служба управления персоналом оценила экономию в 3 ETP-дня в месяц на административное управление дополнительными соглашениями, то есть годовую экономию примерно в 35 000 € в прямых затратах, соответствующую диапазонам, опубликованным Обсерваторией цифровой трансформации коллективностей (2025).

Заключение

Соответствие GDPR электронной подписи для документов управления персоналом не является опциональным: оно обусловливает как юридическую ценность ваших актов, так и защиту прав ваших сотрудников. В 2026 году компании, которые еще не обновили свой реестр обработок, не подписали DPA со своим поставщиком и не адаптировали уровень подписи для каждого типа документа, подвергают себя двойному риску — трудовому и административному — последствия которого могут быть финансово значительными.

Хорошая новость: хорошо выбранное и хорошо сконфигурированное решение позволяет примирить операционную производительность, соответствие eIDAS и соблюдение GDPR без трения для команд управления персоналом или сотрудников.

Certyneo сопровождает вас в этом процессе: платформа в соответствии с eIDAS, доступный DPA, европейское размещение и процесс подписания, разработанный для управления персоналом. Откройте для себя наше специализированное решение для управления персоналом или рассчитайте ROI вашего перехода на полностью цифровой формат в несколько кликов.