RGPD en RH : Traitement des Données des Collaborateurs

La gestion des ressources humaines génère, chaque jour, un volume considérable de données personnelles : contrats de travail, bulletins de salaire, données de santé, évaluations de performance, coordonnées bancaires… Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les directions RH sont devenues des acteurs centraux de la conformité au sein des organisations. Pourtant, selon le rapport d'activité 2024 de la CNIL, le secteur des ressources humaines reste l'un des trois domaines les plus souvent mis en cause lors de contrôles. Cet article vous guide à travers les obligations clés, les bonnes pratiques et les outils disponibles pour traiter les données de vos collaborateurs en toute conformité.

Quelles données personnelles les RH traitent-elles ?

Les catégories de données courantes

Les services RH manipulent un spectre très large de données personnelles. On distingue deux grandes familles :

Les données ordinaires, collectées dans le cadre du contrat de travail : nom, prénom, adresse, numéro de sécurité sociale, RIB, CV, diplômes, historique professionnel, évaluations annuelles, horaires de travail, données de présence et d'absence.

Les données sensibles, soumises à des restrictions renforcées au sens de l'article 9 du RGPD : données de santé (arrêts maladie, déclarations d'accident du travail, restrictions médicales), données syndicales (appartenance à un syndicat, mandats représentatifs), données relatives à des condamnations pénales dans certains contextes de recrutement.

Ces dernières ne peuvent être traitées que sous réserve d'une exception explicite prévue par le règlement — comme l'exécution des obligations légales en matière de droit du travail, ou le consentement explicite de la personne concernée.

Le cas particulier du recrutement

La phase de recrutement génère des traitements spécifiques, souvent mal encadrés. La collecte de CV, lettres de motivation et résultats de tests implique des durées de conservation précises : selon les recommandations de la CNIL, les données des candidats non retenus doivent être supprimées ou anonymisées dans un délai maximum de deux ans après le dernier contact. Conserver des CVs indéfiniment dans un répertoire partagé non sécurisé constitue une violation caractérisée.

Le recours à des outils de tracking dans les ATS (Applicant Tracking Systems) ou à des algorithmes d'analyse comportementale doit faire l'objet d'une mention explicite dans la politique de confidentialité transmise aux candidats, conformément aux articles 13 et 14 du RGPD.

Les bases légales du traitement en contexte RH

Identifier la bonne base légale

Le RGPD impose que tout traitement de données personnelles repose sur l'une des six bases légales définies à l'article 6. En contexte RH, trois bases sont principalement mobilisées :

1. L'exécution du contrat de travail (art. 6.1.b) : justifie le traitement des données nécessaires à la gestion de la paie, des congés ou de la formation.
2. L'obligation légale (art. 6.1.c) : s'applique aux déclarations sociales obligatoires (DSN), aux registres du personnel ou au suivi des accidents du travail.
3. L'intérêt légitime (art. 6.1.f) : peut être invoqué pour des traitements comme la gestion des badges d'accès ou la vidéosurveillance, sous réserve d'un test de mise en balance rigoureux.

Le consentement (art. 6.1.a) est en revanche une base légale fragile en contexte de travail : la CNIL et le Comité européen de la protection des données (CEPD) rappellent que le déséquilibre structurel entre l'employeur et le salarié rend difficile la preuve d'un consentement libre. Il ne doit être utilisé qu'en dernier recours.

Le registre des traitements, obligation incontournable

Toute organisation employant au moins 250 personnes — ou traitant des données sensibles à plus petite échelle — doit tenir un registre des activités de traitement (art. 30 du RGPD). En RH, ce registre doit documenter, pour chaque traitement : la finalité, les catégories de données, les destinataires, les durées de conservation, et les mesures de sécurité mises en œuvre.

Ce document, tenu à la disposition de la CNIL en cas de contrôle, est aussi un outil de pilotage précieux. Combiné à une solution de signature électronique dédiée aux RH, il permet de tracer et d'horodater chaque étape du cycle de vie d'un document RH, renforçant ainsi l'auditabilité des processus.

Droits des collaborateurs et obligations de l'employeur

Informer les salariés : une obligation immédiate

L'article 13 du RGPD impose d'informer les personnes concernées au moment de la collecte de leurs données. En pratique, les RH doivent fournir aux salariés — idéalement dès la signature du contrat de travail — une notice d'information RGPD détaillant : l'identité du responsable de traitement, les finalités et bases légales, la durée de conservation, les droits disponibles et les coordonnées du DPO (Délégué à la Protection des Données) si l'entreprise en dispose.

Numériser et sécuriser cet échange est essentiel. Le recours à la signature électronique en entreprise pour la remise de cette notice garantit une preuve de délivrance horodatée et incontestable, alignée avec les exigences du règlement eIDAS.

Les droits des salariés à respecter impérativement

Les collaborateurs disposent de droits étendus sur leurs données :

• Droit d'accès (art. 15) : tout salarié peut demander une copie de l'ensemble des données le concernant traitées par l'employeur.
• Droit de rectification (art. 16) : correction d'une donnée inexacte (ex. : adresse postale, RIB).
• Droit à l'effacement (art. 17) : applicable dans certains cas, notamment après la fin du contrat et l'écoulement des délais légaux de conservation.
• Droit d'opposition (art. 21) : le salarié peut s'opposer à un traitement fondé sur l'intérêt légitime.
• Droit à la limitation (art. 18) : gel temporaire d'un traitement contesté.

L'employeur dispose d'un délai d'un mois pour répondre à toute demande d'exercice de droits, extensible à trois mois en cas de complexité (art. 12 du RGPD).

Sécurité des données RH et gestion des sous-traitants

Mesures techniques et organisationnelles

L'article 32 du RGPD impose la mise en œuvre de mesures de sécurité « appropriées au risque ». Pour les données RH, les bonnes pratiques incluent :

• Chiffrement des fichiers contenant des données sensibles (bulletins de salaire, dossiers médicaux).
• Contrôle des accès : principe du moindre privilège — un gestionnaire de paie n'a pas accès aux données disciplinaires.
• Journalisation des accès aux systèmes RH (SIRH, outils de paie).
• Plan de réponse aux violations : en cas de fuite de données, l'employeur dispose de 72 heures pour notifier la CNIL (art. 33), et potentiellement les personnes concernées si le risque est élevé (art. 34).

Un audit complet via le guide de la signature électronique peut aider les équipes RH à identifier les traitements non sécurisés persistant sur support papier et à les digitaliser de manière conforme.

Encadrer les prestataires RH par des DPA

Les services RH font appel à de nombreux sous-traitants : logiciels de paie, plateformes de formation, outils de gestion des temps. Chaque prestataire accédant à des données personnelles doit faire l'objet d'un accord de traitement des données (Data Processing Agreement — DPA), conformément à l'article 28 du RGPD. Ce contrat doit préciser les instructions de traitement, les garanties de sécurité, les modalités de restitution ou destruction des données, et les obligations en cas de violation.

Sélectionner des prestataires hébergeant leurs infrastructures dans l'Union Européenne, ou encadrés par des clauses contractuelles types (CCT) approuvées par la Commission, reste une exigence fondamentale pour éviter tout transfert illicite hors UE.

Durées de conservation : un enjeu structurant

Les durées légales applicables au dossier salarié

La durée de conservation des données RH est encadrée par un empilement de textes : le RGPD (principe de limitation de la conservation, art. 5.1.e), le Code du travail, et diverses dispositions fiscales et sociales. En pratique, les principaux délais à respecter sont :

| Type de document | Durée de conservation minimale | |---|---| | Bulletin de paie | 5 ans (prescription sociale) | | Contrat de travail | 5 ans après la fin du contrat | | Données de paie (DSN) | 3 ans (contrôle URSSAF) | | Registre du personnel | 5 ans après départ du salarié | | Données disciplinaires | Durée proportionnelle à la mesure | | Dossier médical (médecine du travail) | 50 ans (réglementation spécifique) |

Mise en place d'une politique d'archivage et de purge automatisée dans le SIRH, couplée à des workflows de signature électronique qui horodatent la création des documents, constitue aujourd'hui la meilleure pratique pour démontrer la conformité à la CNIL.

Les pièges à éviter

Les erreurs les plus fréquentes observées lors des contrôles CNIL en matière de données RH sont : la conservation indéfinie de CV de candidats non retenus, le maintien des accès informatiques d'anciens salariés, l'absence de chiffrement des fichiers de paie exportés, et la non-suppression des données de badgeage au-delà des délais réglementaires. Pour sécuriser ces points, consulter le comparatif des solutions de signature électronique permet d'identifier les outils intégrant nativement des fonctions d'archivage probant et de gestion du cycle de vie des documents.

Cadre légal applicable au traitement des données RH

Le traitement des données personnelles des collaborateurs s'inscrit dans un cadre normatif dense, articulant plusieurs niveaux de réglementation.

Le Règlement (UE) 2016/679 — RGPD constitue la pierre angulaire. Ses articles 5 à 11 définissent les principes fondamentaux (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité). L'article 9 établit les conditions strictes applicables aux catégories particulières de données, dont les données de santé et syndicales, particulièrement fréquentes en RH. L'article 83 prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial en cas de violation grave.

La loi Informatique et Libertés modifiée (loi n° 78-17 du 6 janvier 1978), dans sa version consolidée, adapte le RGPD au droit français. Elle confère à la CNIL ses pouvoirs de contrôle et de sanction, et prévoit notamment des dérogations sectorielles pour les données de santé en médecine du travail.

Le Code du travail encadre les traitements liés à la surveillance des salariés (art. L. 1121-1 sur le respect de la vie privée), à la consultation des représentants du personnel sur les outils numériques (art. L. 2312-38), et aux registres obligatoires.

Le Règlement eIDAS (n° 910/2014), complété par eIDAS 2.0 (Règlement UE 2024/1183), régit la valeur juridique des signatures électroniques apposées sur les documents RH. Une signature électronique qualifiée (SEQ), conforme à l'annexe I d'eIDAS et aux normes ETSI EN 319 132 et ETSI EN 319 122, offre la présomption d'équivalence à la signature manuscrite au sens de l'article 1367 du Code civil français.

L'article 1366 du Code civil pose que « l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Cette disposition est directement applicable aux contrats de travail, avenants, accords de confidentialité et autres documents RH dématérialisés.

La directive NIS2 (UE 2022/2555), transposée en droit français par la loi du 26 février 2025, impose aux entités essentielles et importantes (notamment les grandes entreprises industrielles et les opérateurs de services numériques) des exigences renforcées en matière de gestion des risques liés à la sécurité de l'information, incluant la protection des données RH sensibles.

Les sanctions prononcées par la CNIL sont en forte hausse : en 2024, le montant total des amendes dépasse 100 millions d'euros, avec plusieurs décisions impliquant directement des manquements dans la gestion des données salariés. Le non-respect des durées de conservation, l'absence de DPA avec les sous-traitants RH, et l'insuffisance des mesures de sécurité figurent parmi les griefs les plus fréquemment retenus.

Scénarios d'usage : la conformité RGPD en RH en pratique

Scénario 1 — Une ETI industrielle de 450 salariés digitalise ses processus d'onboarding

Une entreprise industrielle de taille intermédiaire, répartie sur trois sites en France, gérait ses contrats de travail et avenants sur support papier. Les dossiers des entrants n'étaient transmis au service paie qu'après un délai moyen de 12 jours ouvrés, générant des erreurs de paie dans environ 8 % des cas. Par ailleurs, aucune notice RGPD n'était remise de manière formelle aux nouveaux entrants : l'information figurait uniquement en bas du règlement intérieur, non signé séparément.

Après déploiement d'une solution de signature électronique intégrée à son SIRH, avec remise simultanée d'une notice RGPD co-signée par le salarié et le DRH, l'entreprise a réduit le délai d'onboarding documentaire à 2 jours ouvrés (réduction de 83 %). Les erreurs de paie liées à des données manquantes ont chuté à moins de 1 %. Chaque document signé est archivé avec horodatage qualifié, fournissant une preuve opposable en cas de contrôle CNIL ou de contentieux prud'homal.

Scénario 2 — Un groupe de distribution de 1 200 collaborateurs met en conformité sa politique de conservation

Un groupe opérant dans la distribution spécialisée a subi un contrôle CNIL à la suite d'une réclamation d'un ancien salarié. L'inspection a révélé que des fichiers Excel contenant des données de paie de salariés partis depuis plus de 8 ans étaient encore accessibles sur un serveur partagé non sécurisé, sans chiffrement. Un avertissement formel a été prononcé, assorti d'une injonction de mise en conformité sous 3 mois.

Le groupe a alors entrepris un audit complet de ses traitements RH, cartographié ses 23 activités de traitement, et mis en place un plan de purge automatisée déclenché par le SIRH. Les documents signés électroniquement ont été migrés vers un coffre-fort numérique avec des durées de rétention configurées selon les obligations légales. Le DPO a produit un registre des traitements RH complet, présenté lors d'un second contrôle CNIL 18 mois plus tard, qui s'est conclu sans suite. Le coût de la mise en conformité a été estimé à moins de 60 % du montant d'une amende potentielle.

Scénario 3 — Un cabinet de conseil RH de 35 personnes sécurise les données de ses propres consultants et de ses clients

Un cabinet spécialisé en ressources humaines gère à la fois les données de ses propres consultants et celles des candidats et salariés de ses entreprises clientes (dans le cadre de missions d'assessment ou d'outplacement). Il se retrouve ainsi dans une double posture : responsable de traitement pour ses propres RH, et sous-traitant (voire coresponsable) pour les données de tiers.

Le cabinet a mis en œuvre une architecture documentaire différenciée : signatures électroniques simples pour les échanges internes courants, signatures avancées pour les contrats de mission avec les clients, et accords de traitement des données (DPA) systématiquement intégrés aux lettres de mission. Les consultants ont tous reçu une charte RGPD actualisée, signée électroniquement et conservée dans un registre dédié. Cette organisation a permis au cabinet d'afficher sa conformité comme argument commercial auprès de grands comptes soumis à des audits fournisseurs stricts, réduisant le délai moyen de contractualisation de 7 à 2 semaines.

Conclusion

Le RGPD impose aux directions des ressources humaines une transformation profonde de leurs pratiques : identification rigoureuse des bases légales, information effective des collaborateurs, gestion des droits, encadrement contractuel des sous-traitants, sécurisation des données et respect des durées de conservation. Ces obligations ne sont pas de simples formalités administratives — elles conditionnent la capacité de l'entreprise à éviter des sanctions pouvant atteindre plusieurs millions d'euros et à maintenir la confiance de ses équipes.

La digitalisation des processus RH, via des solutions de signature électronique conformes eIDAS, constitue l'un des leviers les plus efficaces pour concilier efficacité opérationnelle et conformité réglementaire. Certyneo accompagne les équipes RH dans cette transition, de la signature du contrat d'embauche à l'archivage sécurisé des dossiers salariés.

Découvrez comment Certyneo peut sécuriser vos processus RH en consultant notre offre dédiée aux équipes RH ou en démarrant gratuitement pour tester la solution sans engagement.