Signature électronique RH & RGPD : guide complet 2026

E-signaturen för HR-dokument och RGPD utgör ett område med dubbel regelverkskomplikitet, då den förenar eIDAS-ramverket kring signaturens bevisvärde med EU:s förordning om dataskydd. Felhantering av denna dubbla begränsning exponerar företaget för juridiska risker och CNIL-sanktioner. Denna guide presenterar de väsentliga reglerna, bästa praxis och viktiga varningspunkter att absolut känna till 2026.

Varför gäller RGPD för e-signatur inom HR?

E-signaturen behandlar nödvändigtvis personuppgifter

Att signera ett arbetsavtal online innebär att samla in, överföra och lagra personuppgifter enligt artikel 4 i RGPD nr 2016/679: namn, förnamn, professionell e-postadress, ibland mobilnummer, tidsstämpel och IP-adress vid signering. I HR-sammanhang är dessa uppgifter särskilt känsliga eftersom de identifierar den anställde direkt och är kopplade till hans eller hennes avtalsförhållande med arbetsgivaren.

Leverantören av förtroendetjänster (PSC) som tillhandahåller signeringslösningen klassificeras som personuppgiftsbiträde enligt artikel 28 i RGPD. Arbetsgivaren förblir ansvarig för behandlingen. Denna åtskillnad är grundläggande: det är företaget som svarar inför CNIL vid överträdelse, inte programvaruleverantören.

Rättsliga grunder tillämpliga inom HR

För varje kategori av demateriaiserade HR-dokument måste arbetsgivaren identifiera den lämpligaste rättsliga grunden för behandling:

• Genomförande av avtal (art. 6.1.b RGPD): signering av arbetsavtal, avtalsändring, konvention för dagar på fastlön. Detta är den mest robusta rättsliga grunden för avtalshandlingar.

• Rättslig förpliktelse (art. 6.1.c RGPD): demateriaiserad leverans av lönespecifikation (tillåten sedan Macron-lagen 2015 under vissa villkor), personalregister.

• Berättigat intresse (art. 6.1.f RGPD): IT-policydokument, interna regler, interna policydokument — under förutsättning att viktighetsprovet genomförs.

Samtyckesbasis (art. 6.1.a) bör undvikas i HR-sammanhang: CNIL och EDPB (Europeiska dataskyddsnämnden) anser att det underordningsförhållande som finns mellan arbetsgivare och anställd gör samtycket sällan fritt. En anställd som vägrar att signera elektroniskt kan frukta professionella konsekvenser.

Konkreta skyldigheter för den ansvarige behandlaren inom HR

Uppdatera registret över behandlingsaktiviteter (RAT)

Artikel 30 i RGPD föreskriver att alla organisationer med fler än 250 anställda (och små och medelstora företag som behandlar känsliga uppgifter i stor omfattning) måste föra ett register över behandlingsaktiviteter. Införandet av ett e-signaturverktyg för HR-dokument måste framgå av detta med:

• Behandlingens syfte (t.ex. demateriaisering och arkivering av HR-avtalshandlingar)

• Kategorier av behandlade uppgifter (identitet, kontaktuppgifter, autentiseringsuppgifter)

• Lagringsperiod (lagstadgad bevarandetid för arbetsavtal: 5 år efter avtalets slut enligt arbetskodex, art. L. 1234-20)

• Personuppgiftsbiträdets kontaktuppgifter (signeringplattformen)

• Genomförda säkerhetsmätningar

Underteckna ett DPA (Data Processing Agreement) med leverantören

I enlighet med artikel 28 i RGPD måste all användning av en personuppgiftsbiträde för behandling av personuppgifter formaliseras genom ett personuppgiftsbehandlingsavtal (DPA). Avtalet måste specificera:

• Behandlingens objekt och varaktighet

• Behandlingens natur och syfte

• Typen av personuppgifter och personkategorierna

• Ansvariges och biträdets rättigheter och skyldigheter

• Dataplaceringen (hosting inom EU rekommenderas för att undvika överföringar utanför EES)

• Tekniska och organisatoriska säkerhetsmätningar

En seriös e-signeringsleverantör erbjuder systematiskt ett RGPD-kompatibelt DPA. Avsaknad av detta utgör omedelbar icke-överensstämmelse som är sanktionsbar.

Informera anställda före första signering

Artikel 13 i RGPD föreskriver föregående information till personer vars uppgifter samlas in. Innan e-signatur för HR-dokument implementeras måste arbetsgivaren informera de anställda:

• Om den ansvariges identitet

• Om behandlingens syfte och rättslig grund

• Om varaktigheten för datalagrings

• Om deras rättigheter (åtkomst, rättelse, radering inom ramen för juridiska lagringsbegränsningar, portabilitet)

• Om DPO:s (Dataskyddsombud) kontaktuppgifter om en sådan utsetts

Denna information kan integreras i signeringsprocessen själv (informationsbanner före signering), i uppdaterad arbetsorning eller via ett servicebrev som distribueras vid implementering.

Vilken signeringsnivå krävs för HR-dokument: SES, AES eller QES?

Hierarkin för eIDAS-nivåer

Förordningen eIDAS nr 910/2014 definierar tre nivåer av e-signaturer, var och en med ökande bevisvärde:

• SES (Simple Electronic Signature / Enkel e-signatur): svagt bevisvärde, lämplig för lågriskdokument (mottagningsbekräftelser, interna formulär)

• AES (Advanced Electronic Signature / Avancerad e-signatur): kopplad på ett unikt sätt till undertecknaren, skapad utifrån uppgifter under hans eller hennes exklusiva kontroll. Lämplig för de flesta vanliga HR-dokument.

• QES (Qualified Electronic Signature / Kvalificerad e-signatur): högsta nivå, motsvarande handskriftssignatur enligt art. 25.2 eIDAS. Kräver förstärkt identitetsverifiering (ansikte-mot-ansikte eller videoidentifiering).

Vilken nivå för vilka HR-dokument?

Den rekommenderade kartläggningen 2026, med hänsyn till ställningstaganden från fransk rättspraxis och sektorsrekommendationer:

| HR-dokument | Rekommenderad nivå | Motivering | |---|---|---| | Fast anställningsavtal CDI/CDD | AES minimum, QES rekommenderat | Starkt avtalsvärdé, arbetsrättsvårdningsrisk | | Avtalsändring | AES minimum, QES rekommenderat | Samma logik som huvudavtalet | | Prövotid (förnyelse) | AES | Kort tidsfrist, begränsad formalitet | | Telework/BYOD-policy | SES eller AES | Kollektivt avtal eller interna regler | | Dagarbetskonvention | QES starkt rekommenderat | Krävande arbetsrättspraxis | | Konventionell separation | QES obligatoriskt | Godkänt Cerfa-formulär, högt värde | | Mottagande för slutlig beräkning | AES eller QES | Befriande värde, art. L. 1234-20 CT |

För dokument med högt riskinnehål för rättstvist (dagarbetskonvention, konventionell separation) är QES praktiskt obligatorisk för att garantera möjlighet att motsäga sig inför arbetsdomstolarna. Högsta domstolen har gradvis skärpt kraven på bevis för arbetstagarens överenskommelse.

Lagring, arkivering och individers rättigheter: fällor att undvika

Lagstadgade bevarandeperioder för e-signerade HR-dokument

Lagringen av e-signerade HR-dokument är föremål för bindande lagstadgade varaktigheter. Dessa perioder har företräde framför RGPD-rätten till radering (art. 17.3.b):

• Arbetsavtal: 5 år efter avtalet slutförande (arbetsdomstols föreskrivning, art. L. 1471-1 arbetskodex)

• Lönespecifikationer: 5 år (löneförskrivning), men bevarande rekommenderas fram till pensionering för arbetstagaren

• Dokument rörande arbetsolyckor: 30 år (långsiktiga tvistrisker)

• Yrkesutbildning (planer, intyg): 3 år

• Personalregister: 5 år efter att arbetstagaren lämnat etableringsmän

E-arkivering med bevisvärde måste uppfylla kraven i standarden NF Z 42-013 och helst ETSI EN 319 162 (långsiktig arkivering av e-signaturer). Enkel lagring på servern räcker inte: man måste garantera integriteten, läsbarheten och den kvalificerade tidsstämplingen av dokument under hela lagringsperioden.

Hantera arbetstagarnas rättigheter utan att äventyra bevisvärdet

En anställd kan legitimt utöva sin åtkomstrett (art. 15 RGPD) för att få kopia av signaturuppgifter som rör honom eller henne. Han eller hon kan också begära rättelse av felaktiga uppgifter.

Å andra sidan kan rätten till radering (art. 17 RGPD) inte utövas på HR-dokument som är föremål för juridiska lagringsbegränsningar. Arbetsgivaren måste kunna förklara detta avslag tydligt genom att hänvisa till gällande rättslig grund. Dokumentering av dessa utbyten i registret över begäran om rättigheter är en bra praxis som rekommenderas av CNIL.

Portabilitet (art. 20 RGPD) gäller uppgifter som tillhandahålls av arbetstagaren på grundval av samtycke eller avtalsuppfyllelse. I praktiken kan en anställd begära sina signaturuppgifter i ett strukturerat format — en förpliktelse att förutse vid valet av signeringslösning.

Teknisk och organisatorisk säkerhet: nödvändiga åtgärder

Tekniska krav för signeringplattformen

I enlighet med artikel 32 i RGPD måste säkerhetsmätningarna anpassas till risken. För en e-signeringslösning för HR innebär detta särskilt:

• Kryptering av data vid överföring (TLS 1.3 minimum) och i vila (AES-256)

• Flerfaktorsautentisering (MFA) för åtkomst till plattformen

• Tidsstämplade och oförfalskbara revisionsloggar som spårar varje åtgärd på dokumentet

• Hosting inom EU (eller EES) för att undvika överföringar utanför EES utan adekvata garantier (lämplighetsslut eller standard kontraktsvillkor)

• Årlig intrångstestning och ISO 27001-certifiering från leverantören

• Kontinuitetsplan som garanterar tjänstens tillgänglighet och återhämtning av arkiv vid incident

Konsekvensbedömning (DPIA): när är den obligatorisk?

Artikel 35 i RGPD föreskriver en dataskyddskonsekvensbedömning (DPIA) när behandlingen kan innebära höga risker. CNIL har publicerat en lista över typiska behandlingar som kräver DPIA: behandling i stor omfattning av uppgifter relaterade till yrkeslivet nämns där.

I praktiken rekommenderas en DPIA (eller är obligatorisk för stora företag) vid implementering av en e-signeringslösning för HR som påverkar alla anställda. Den måste identifiera risker (förlust av konfidentialitet, identitetsövertagande, dokumentändring), bedöma deras allvar och sannolikhet och föreslå riskreducerande åtgärder. Denna analys måste dokumenteras och revideras om behandlingen ändras.

Gällande juridisk ram för e-signatur inom HR och RGPD

Grundläggande europeiska texter

Förordning eIDAS nr 910/2014 (och dess omarbetning eIDAS 2.0 som håller på att rulllas ut): denna text definierar de tre nivåerna av e-signaturer (SES, AES, QES) och deras juridiska värde i alla medlemsstater. Artikel 25 stadgar att QES har samma juridiska effekt som en handskriftssignatur. Artikel 26 räknar upp tekniska krav för avancerad signatur. Kvalificerade leverantörer av förtroendetjänster är registrerade på nationella förtroendlistor (i Frankrike hanteras listan av ANSSI).

RGPD nr 2016/679: tillämplig sedan 25 maj 2018 reglerar denna förordning all behandling av personuppgifter inom EU. Artiklarna 5 (principer), 6 (rättsliga grunder), 13-14 (information), 28 (personuppgiftsbiträden), 30 (register), 32 (säkerhet), 35 (DPIA) och 37-39 (DPO) är direkt relevanta för e-signatur inom HR.

Tillämplig fransk lag

Civilkodex, artiklarna 1366-1367: artikel 1366 slår fast principen om funktionell ekvivalens mellan elektronisk handling och pappershandling. Artikel 1367 erkänner e-signaturen som bevismedel, under förutsättning att den utgörs av en tillförlitlig identifikationsprocess som garanterar länken till den handling som den är kopplad till. Tillförlitligheten förmodas för QES men kan påvisas för AES.

Arbetskodex: artikel L. 1221-1 föreskriver ingen särskild form för arbetsavtalet (utom undantag: CDD art. L. 1242-12, lärlingskontrakt, etc.). Macron-lagen 2015 (lag nr 2015-990) öppnade vägen för elektronisk lönespecifikation. Artikel L. 3243-2 reglerar dess villkor.

Data- och frihetslag ändrad (lag nr 78-17 från 6 januari 1978): fransk transposition av RGPD ger CNIL sina undersöknings- och sanktionsbefogenheter. Böter kan uppgå till 20 miljoner euro eller 4 % av årligt världsomfattande omsättning för de mest allvarliga överträdelserna.

Tekniska referensstandarder

• ETSI EN 319 132: e-signaturformat XAdES som är tillämpligt på XML-dokument

• ETSI EN 319 122: CAdES-format för e-signaturer av CMS-dokument

• ETSI EN 319 162: långsiktig arkivering av e-signaturer (ASiC)

• NF Z 42-013 (AFNOR): funktionella specifikationer för ett system för bevisvärdestark elektronisk arkivering

• ISO/IEC 27001: informationssäkerhetsledning, certifieringsstandard som förväntas från leverantörer

Juridiska risker vid icke-överensstämmelse

Ackumuleringen av risker är betydande: ett arbetsavtal signerat med otillräcklig signeringsnivå kan ifrågasättas inför arbetsdomstolen, exponerande arbetsgivaren för omklassificering eller ogiltigförklaring. Vad gäller RGPD kan avsaknaden av DPA med leverantören, utelämning av information till de anställda eller hosting utanför EU utan tillräckliga garantier leda till en föreläggande från CNIL, eller till en administrativ sanktion.

Användningsscenarier: e-signatur för HR kompatibel med RGPD

Scenario 1: en mellanstort industriföretag med 600 anställda demateriaiserar sina arbetsavtal

Ett mellanstort industriföretag, fördelat på fyra anläggningar i Frankrike, behandlade årligen cirka 180 anställningar CDI/CDD, vilket genererade så många pappersarkiv att skriva ut, signera i två exemplar, digitalisera och arkivera. Fördröjningen mellan anbudet och den effektiva signeringen av avtalet var i genomsnitt 8 arbetsdagar.

Efter implementering av en avancerad e-signeringslösning (AES) integrerad i sitt HR-informationssystem, med ett RGPD-kompatibelt DPA signerat med leverantören och en dokumenterad DPIA, minskade företaget denna tid till mindre än 24 timmar. Andelen ofullständiga dossier sjönk med 34 % (källor: sektorbenchmarks ANDRH 2024). Hosting av data i Frankrike valdes som avtalsvillkor, vilket eliminerade all risk för överföringar utanför EES. De anställda informeras om behandlingen via en informationsbanner integrerad i signeringssökvägen, vilket garanterar överensstämmelse med artikel 13 i RGPD.

Scenario 2: ett franchisenätverk för detaljhandel implementerar QES för dagarbetskonventioner

Ett distributionsnätverk med cirka sextio försäljningsställen och hundra chefer på dagarbete ställdes inför en arbetsdomstolsrisk som identifierats av juridister: flera dagarbetskonventioner kunde endast bevisas genom kopior av dålig kvalitet på papper. Högsta domstolen hade skärpt beviskraven för denna typ av konvention, och risken för rättstvist estimerades till flera hundratusentals euro.

Nätverket implementerade en kvalificerad signeringslösning (QES) för alla nya konventioner och erbjöd cheferna i tjänst att omunderteckna sina befintliga konventioner. Identitetsverifiering genom videoidentifiering valdes. Registret över behandlingsaktiviteter uppdaterades, och en extern DPO validerade RGPD-överensstämmelsen för processen. Inom 6 månader säkrades hela lagret av dagarbetskonventioner. Kostnaden för detta projekt (cirka 15 till 25 € per QES-signatur beroende på marknadsleverantörer) bedömdes vara långt mindre än den tvistrisken som täcktes.

Scenario 3: en kommunal myndighet demateriaiserar sina ändringar och teleworking-policys

En kommunal myndighet med cirka 1 200 permanenta anställda ville demateriaisera hanteringen av dess teleworking-ändringsavtal efter det nationella ramavtalet 2021 för teleworking inom den offentliga sektorn. Volymen att behandla var cirka 400 dokument per år, med specifika begränsningar: de anställda är offentliga personer vars uppgifter omfattas av särskilt reglerad behandling.

Myndigheten valde avancerade signaturer (AES), med suverän hosting hos en leverantör kvalificerad SecNumCloud av ANSSI. DPIA skickades till myndighetens DPO före implementering. De anställda informerades via ett servicebrev publicerat på intranätet och en informationsbanner i den digitala processen. HR-avdelningen estimerade en tidsvinst på 3 heldag-dagar per månad på administrativ hantering av ändringar, motsvarande en årlig besparing på cirka 35 000 € i direkta kostnader, konsistent med intervallen publicerade av Observatoriet för digital transformation av myndigheter (2025).

Slutsats

RGPD-överensstämmelse för e-signatur för HR-dokument är inte valfritt: det villkorar både det juridiska värdet av dina handlingar och skyddet av dina arbetstagarnas rättigheter. 2026 exponeras företag som ännu inte uppdaterat sitt behandlingsregister, signerat ett DPA med sin leverantör och anpassat signeringsnivån till varje dokumenttyp för en dubbelrisk — arbetsdomstol och administrativ — vars ekonomiska konsekvenser kan vara betydande.

De goda nyheterna: en välvald och väl konfigurerad lösning gör det möjligt att förena operationell smidighet, eIDAS-överensstämmelse och RGPD-efterlevnad utan friktioner för HR-teams eller de anställda.

Certyneo hjälper dig i denna process: eIDAS-kompatibel plattform, tillgängligt DPA, europeisk hosting och signeringsprocesser utformade för HR. Börja eller kontakta oss för mer information på några få klick.