Signature électronique RH & RGPD : guide complet 2026

Цифровизация управления человеческими ресурсами значительно ускорилась с 2020 года: трудовые договоры, дополнительные соглашения, расчетные листки, ИТ-политики, соглашения о дистанционной работе — практически все эти документы теперь передаются в цифровом виде. Однако дематериализация не означает уход от законодательных обязательств. Напротив: электронная подпись для кадровых документов в контексте RGPD — это тема с двойным нормативным уровнем, поскольку она связывает правовую базу eIDAS о доказательственной силе подписи и европейское положение о защите персональных данных. Плохое понимание этого двойного ограничения создает для компании юридические риски и риск санкций со стороны CNIL. Это руководство представляет вам основные правила, лучшие практики и ключевые моменты, которые необходимо знать в 2026 году.

Почему RGPD применяется к электронной подписи в отделе кадров?

Электронная подпись обязательно обрабатывает персональные данные

Подписание трудового договора в режиме онлайн предполагает сбор, передачу и хранение персональных данных в соответствии со статьей 4 RGPD №2016/679: имя, фамилия, корпоративный адрес электронной почты, иногда номер мобильного телефона, время подписания и IP-адрес подписания. В контексте управления человеческими ресурсами эти данные особенно чувствительны, так как они напрямую идентифицируют сотрудника и связаны с его контрактным отношением с работодателем.

Поставщик услуг доверия (PSC), который предоставляет решение для подписи, считается обработчиком данных согласно статье 28 RGPD. Работодатель остается ответственным за обработку. Это различие имеет фундаментальное значение: именно компания несет ответственность перед CNIL в случае нарушения, а не поставщик программного обеспечения.

Правовые основания, применимые в контексте управления человеческими ресурсами

Для каждой категории дематериализованных кадровых документов работодатель должен определить наиболее подходящее правовое основание для обработки:

• Исполнение контракта (ст. 6.1.b RGPD): подписание трудового договора, дополнительное соглашение по зарплате, соглашение об условном рабочем времени. Это наиболее устойчивое правовое основание для контрактных документов.

• Юридическое обязательство (ст. 6.1.c RGPD): дематериализованная передача расчетного листка (разрешена с момента закона Макрона 2015 года при соблюдении условий), кадровые реестры.

• Законный интерес (ст. 6.1.f RGPD): ИТ-политики, внутренние положения, документы внутренней политики — при условии прохождения теста на сбалансированность.

Основание согласие (ст. 6.1.a) следует избегать в контексте управления кадрами: CNIL и CEPD (Европейский комитет по защите данных) считают, что отношение подчиненности между работодателем и сотрудником делают согласие редко свободным. Сотрудник, который отказывается подписывать электронный документ, может опасаться профессиональных последствий.

Конкретные обязательства ответственного за обработку данных в области кадров

Обновление реестра операций обработки данных (RAT)

Статья 30 RGPD обязывает любую организацию с численностью более 250 сотрудников (и малые и средние предприятия, обрабатывающие чувствительные данные в больших масштабах) вести реестр операций обработки. Введение инструмента электронной подписи для кадровых документов должно указываться с:

• Целью обработки (например: дематериализация и архивирование контрактных кадровых документов)

• Категориями обрабатываемых данных (личность, контактные данные, данные аутентификации)

• Сроком сохранения (установленный законом срок сохранения трудового договора: 5 лет после окончания трудовых отношений согласно Трудовому кодексу, ст. L. 1234-20)

• Координатами обработчика (платформа подписи)

• Реализованными мерами безопасности

Подписание DPA (Data Processing Agreement) с поставщиком услуг

Согласно статье 28 RGPD, любое использование обработчика для обработки персональных данных должно быть формализовано контрактом на обработку данных (DPA). Этот контракт должен указывать:

• Объект и сроки обработки

• Характер и цель обработки

• Тип персональных данных и категории затронутых лиц

• Обязательства и права ответственного за обработку

• Местоположение данных (рекомендуется размещение в ЕС, чтобы избежать передачи за пределы ЕЭЗ)

• Технические и организационные меры безопасности

Серьезный поставщик услуг электронной подписи систематически предлагает соответствующий RGPD DPA. Его отсутствие представляет собой немедленное нарушение соответствия.

Информирование сотрудников перед первой подписью

Статья 13 RGPD предусматривает предварительное информирование лиц, чьи данные собираются. Перед развертыванием электронной подписи для кадровых документов работодатель должен информировать сотрудников:

• О личности ответственного за обработку данных

• О цели и правовом основании

• О сроках хранения данных

• Об их правах (доступ, исправление, удаление в пределах обязательств по хранению, портативность)

• О координатах Специалиста по защите данных (DPO) если он назначен

Эта информация может быть интегрирована в сам процесс подписания (информационный баннер перед подписью), в обновленное внутреннее положение или через служебное письмо, распространяемое при развертывании.

Требуемый уровень подписи для кадровых документов: SES, AES или QES?

Иерархия уровней eIDAS

Положение eIDAS №910/2014 определяет три уровня электронной подписи, каждый из которых предлагает возрастающую доказательственную силу:

• SES (Simple Electronic Signature / Простая электронная подпись): низкая доказательственная ценность, подходит для документов с низким риском (подтверждения о получении, внутренние формы)

• AES (Advanced Electronic Signature / Усовершенствованная электронная подпись): уникально связана с подписывающим лицом, созданная с использованием данных под его исключительным контролем. Подходит для большинства распространенных кадровых документов.

• QES (Qualified Electronic Signature / Квалифицированная электронная подпись): самый высокий уровень, эквивалентна рукописной подписи согласно ст. 25.2 eIDAS. Требует усиленной проверки личности (лично или видео-идентификация).

Какой уровень для каких кадровых документов?

Рекомендуемая классификация в 2026 году с учетом позиций французской судебной практики и рекомендаций отрасли:

| Кадровый документ | Рекомендуемый уровень | Обоснование | |---|---|---| | Бессрочный/срочный трудовой договор | AES минимум, QES рекомендуется | Высокая договорная ценность, риск трудовых споров | | Дополнительное соглашение | AES минимум, QES рекомендуется | Та же логика, что и основной контракт | | Испытательный срок (возобновление) | AES | Короткий срок, ограниченный формализм | | Политика дистанционной работы / BYOD | SES или AES | Коллективное соглашение или внутреннее положение | | Соглашение об условном времени | QES настоятельно рекомендуется | Требовательная судебная практика | | Договор о расторжении по взаимному согласию | QES обязательна | Одобренная форма Cerfa, высокий риск | | Расписка о полном расчете | AES или QES | Освобождающая ценность, ст. L. 1234-20 КТ |

Для документов с высоким риском судебных разбирательств (соглашение об условном времени, договор о расторжении по взаимному согласию) QES фактически навязана, чтобы гарантировать доказуемость перед трудовыми судами. Кассационный суд постепенно ужесточил свои требования к доказательству согласия сотрудника.

Сохранение, архивирование и права лиц: подводные камни, которых следует избегать

Законные сроки сохранения подписанных кадровых документов

Сохранение подписанных электронной подписью кадровых документов подлежит обязательным законным срокам. Эти сроки имеют приоритет над правом на забывание RGPD (ст. 17.3.b):

• Трудовой договор: 5 лет после окончания трудовых отношений (предписание трудовых споров, ст. L. 1471-1 Трудового кодекса)

• Расчетные листки: 5 лет (предписание по зарплате), но рекомендуется хранение до ликвидации пенсионных прав сотрудника

• Документы, связанные с производственными травмами: 30 лет (риск долгосрочных судебных разбирательств)

• Профессиональное обучение (планы, сертификаты): 3 года

• Кадровые реестры: 5 лет после даты, когда сотрудник покинул учреждение

Электронное архивирование с доказательственной ценностью должно соответствовать требованиям стандарта NF Z 42-013 и в идеале стандарту ETSI EN 319 162 (долгосрочное архивирование электронных подписей). Простое хранение на сервере недостаточно: необходимо гарантировать целостность, читаемость и квалифицированное отслеживание времени документов на весь период хранения.

Управление правами сотрудников без компрометации доказательственной силы

Сотрудник может законно осуществить свое право доступа (ст. 15 RGPD), чтобы получить копию данных подписи его касающихся. Он также может потребовать исправления неточных данных.

С другой стороны, право на забывание (ст. 17 RGPD) не может быть реализовано на кадровых документах, подпадающих под обязательства по законному хранению. Работодатель должен быть в состоянии четко объяснить это отклонение, цитируя применимое правовое основание. Документирование этих обменов в реестре запросов на осуществление прав — это хорошая практика, рекомендованная CNIL.

Портативность (ст. 20 RGPD) применяется к данным, предоставленным сотрудником на основании согласия или исполнения контракта. Практически сотрудник может потребовать свои данные подписи в структурированном формате — обязательство, которое необходимо предусмотреть при выборе решения для подписи.

Техническая и организационная безопасность: необходимые меры

Технические требования к платформе подписи

В соответствии со статьей 32 RGPD меры безопасности должны быть надлежащими для риска. Для решения электронной подписи в кадрах это преобразуется, в частности, в:

• Шифрование данных при передаче (TLS 1.3 минимум) и в покое (AES-256)

• Многофакторная аутентификация (MFA) для доступа к платформе

• Журналы аудита (логи) с отметками времени и защитой от подделок, фиксирующие каждое действие с документом

• Размещение в ЕС (или ЕЭЗ) для избежания передачи за пределы ЕЭЗ без адекватных гарантий (решение об адекватности или типовые договорные условия)

• Ежегодные тесты на проникновение и сертификация ISO 27001 поставщика

• План непрерывности, гарантирующий доступность услуги и восстановление архивов в случае инцидента

Анализ воздействия (AIPD): когда он обязателен?

Статья 35 RGPD предусматривает Анализ воздействия на защиту данных (AIPD), когда обработка способна создать высокий риск. CNIL опубликовала список типов обработки, требующих AIPD: обработка в большом масштабе данных о профессиональной деятельности указана в этом списке.

Практически AIPD рекомендуется (или даже обязательна для крупных предприятий) при развертывании решения электронной подписи в кадрах, касающегося всех сотрудников. Она должна выявить риски (потеря конфиденциальности, кража личности, изменение документов), оценить их тяжесть и вероятность, предложить меры по снижению риска. Этот анализ должен быть задокументирован и пересмотрен в случае изменения обработки.

Применимая нормативная база к электронной подписи в кадрах и RGPD

Основополагающие европейские нормативные акты

Положение eIDAS №910/2014 (и его пересмотренная версия eIDAS 2.0 в процессе развертывания): этот нормативный акт определяет три уровня электронной подписи (SES, AES, QES) и их юридическую ценность во всех государствах-членах. Статья 25 предусматривает, что QES имеет юридическое действие, эквивалентное рукописной подписи. Статья 26 перечисляет технические требования к усовершенствованной подписи. Поставщики квалифицированных услуг доверия зарегистрированы в национальных списках доверия (во Франции список ведется ANSSI).

RGPD №2016/679: применяется с 25 мая 2018 года, этот регламент регулирует любую обработку персональных данных в ЕС. Статьи 5 (принципы), 6 (правовые основания), 13-14 (информирование), 28 (обработчики), 30 (реестр), 32 (безопасность), 35 (AIPD) и 37-39 (DPO) непосредственно применяются к электронной подписи в кадрах.

Применимое французское право

Гражданский кодекс, статьи 1366-1367: статья 1366 устанавливает принцип функциональной эквивалентности между электронным и бумажным документом. Статья 1367 признает электронную подпись в качестве доказательственного средства при условии, что она состоит из надежного процесса идентификации, гарантирующего связь с актом, к которому она присоединяется. Надежность предполагается для QES, но может быть доказана для AES.

Трудовой кодекс: статья L. 1221-1 не требует какой-либо особой формы для трудового договора (кроме исключений: срочный договор ст. L. 1242-12, договор обучения и т.д.). Закон Макрона 2015 (закон №2015-990) открыл путь к электронному расчетному листку. Статья L. 3243-2 регулирует его условия.

Закон об информатике и свободах в измененном виде (закон №78-17 от 6 января 1978 года): французская трансформация RGPD, она предоставляет CNIL полномочия по расследованию и применению санкций. Штрафы могут достигать 20 миллионов евро или 4% годового мирового оборота за наиболее серьезные нарушения.

Стандарты технических ссылок

• ETSI EN 319 132: формат усовершенствованной электронной подписи XAdES, применим к документам XML

• ETSI EN 319 122: формат CAdES для подписей электронных документов CMS

• ETSI EN 319 162: долгосрочное архивирование электронных подписей (ASiC)

• NF Z 42-013 (AFNOR): функциональные спецификации системы доказуемого электронного архивирования

• ISO/IEC 27001: управление информационной безопасностью, справочный стандарт для сертификации поставщиков

Юридические риски в случае несоответствия

Совокупность рисков значительна: трудовой договор, подписанный с недостаточным уровнем подписи, может быть оспорен в трудовом суде, что может привести к переквалификации или признанию недействительности. По части RGPD отсутствие DPA с поставщиком, пропуск информирования сотрудников или размещение за пределами ЕС без адекватных гарантий может привести к предупреждению CNIL или административному штрафу.

Сценарии использования: электронная подпись в кадрах, соответствующая RGPD

Сценарий 1: средняя промышленная компания из 600 сотрудников цифровизирует свои трудовые договоры

Промышленное среднее предприятие, расположенное на четырех участках во Франции, ежегодно обрабатывало около 180 найма бессрочного/срочного контракта, создавая столько же папок с документами для печати, двойной подписи, сканирования и архивирования. Сроки между предложением о работе и подписанием договора составляли в среднем 8 рабочих дней.

После развертывания решения усовершенствованной электронной подписи (AES), интегрированного в его SIRH, с подписанным DPA, соответствующим RGPD, и документированной AIPD, компания сократила этот срок до менее чем 24 часа. Количество неполных файлов упало на 34% (источники: отраслевые сравнительные тесты ANDRH 2024). Размещение данных во Франции было выбрано в качестве договорного критерия, исключив любой риск передачи за пределы ЕЭЗ. Сотрудники информируются об обработке через информационный баннер, интегрированный в процесс подписания, гарантируя соответствие статье 13 RGPD.

Сценарий 2: сеть розничной франшизы развертывает QES для соглашений об условном времени

Сеть распределения, насчитывающая около шестидесяти точек продаж и сотню руководителей на условном времени, сталкивалась с определенным трудовым риском: несколько соглашений об условном времени могли быть доказаны только бумажными копиями плохого качества. Кассационный суд ужесточил требования к доказательствам такого рода соглашений, поэтому риск судебных разбирательств оценивался в сотни тысяч евро.

Сеть развернула решение квалифицированной подписи (QES) для всех новых соглашений и предложила работающим руководителям переподписать их существующие соглашения. Проверка личности путем видео-идентификации была выбрана. Реестр операций обработки данных был обновлен, и внешний DPO подтвердил соответствие RGPD. За 6 месяцев весь парк соглашений об условном времени был защищен. Стоимость мероприятия (примерно 15–25 евро за QES-подпись в зависимости от поставщиков рынка) была признана намного ниже покрываемого риска судебных разбирательств.

Сценарий 3: муниципальное образование дематериализует свои дополнительные соглашения и политику дистанционной работы

Муниципальное образование, насчитывающее около 1 200 постоянных сотрудников, стремилось дематериализовать управление своими дополнительными соглашениями о дистанционной работе после национального рамочного соглашения 2021 года о дистанционной работе в государственном секторе. Объем обработки составлял примерно 400 документов в год с особыми ограничениями: сотрудники — государственные лица, чьи данные подпадают под особо регулируемую обработку.

Муниципальное образование выбрало усовершенствованные подписи (AES) с суверенным размещением у квалифицированного поставщика SecNumCloud от ANSSI. AIPD была представлена на рассмотрение DPO муниципального образования перед развертыванием. Сотрудники были информированы через служебное письмо, опубликованное на интранете и информационный баннер в цифровом процессе. Отдел кадров оценил экономию в 3 полных дня в месяц на административное управление дополнительными соглашениями, то есть годовую экономию примерно 35 000 евро в прямых расходах, соответствующую диапазонам, опубликованным Обсерваторией цифровой трансформации муниципальных образований (2025).

Заключение

Соответствие RGPD электронной подписи для кадровых документов — это не опция: она определяет как юридическую ценность ваших актов, так и защиту прав ваших сотрудников. В 2026 году компании, которые еще не обновили свой реестр обработки, не подписали DPA с поставщиком и не адаптировали уровень подписи для каждого типа документа, подвергаются двойному риску — трудовому и административному — последствия которого финансово значительны.

Хорошая новость: правильно выбранное и хорошо настроенное решение позволяет согласовать оперативную четкость, соответствие eIDAS и соблюдение RGPD без трений для команд управления человеческими ресурсами и сотрудников.

Certyneo помогает вам в этом процессе: платформа соответствует eIDAS, доступен DPA, европейское размещение и процесс подписания, разработанный с учетом управления человеческими ресурсами.