Nom, prénom, adresse, numéro de sécurité sociale, salaire, situation familiale, arrêts maladie, sanctions disciplinaires, évaluations de performance. Le service des ressources humaines manipule quotidiennement les données les plus sensibles de l'entreprise. Elles ne peuvent être protégées que si elles sont centralisées dans un référentiel sécurisé. Et pourtant, dans beaucoup d'organisations, ces données dorment dans des tableurs Excel partagés — dont les failles RGPD sont souvent ignorées, des dossiers papier mal fermés ou des boîtes mail accessibles à demi-douzaine de personnes.
Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis mai 2018, encadre strictement le traitement de ces données. Six ans après, le constat est sans appel : une majorité de PME-ETI ne sont pas pleinement conformes sur le volet RH. Non par mauvaise volonté, mais par méconnaissance des obligations spécifiques et par manque d'outillage adapté.
Cet article fait le point sur les obligations RGPD appliquées aux données RH, les risques concrets de non-conformité, et le rôle central du coffre-fort numérique dans une stratégie de sécurisation.
RGPD et données RH : les obligations que vous devez connaître
Le RGPD s'applique à tout traitement de données personnelles, y compris dans le cadre de la relation employeur-salarié. Et les données RH ne sont pas des données comme les autres : certaines relèvent des catégories particulières (données de santé, appartenance syndicale, origine ethnique) et bénéficient d'une protection renforcée.
Les 6 principes fondamentaux appliqués aux RH
| Principe RGPD | Application aux données RH | Exemple concret |
|---|---|---|
| Licéité | Chaque traitement doit reposer sur une base légale | Le contrat de travail justifie le traitement de la paie ; le consentement ne suffit pas (lien de subordination) |
| Finalité | Les données ne peuvent être utilisées que pour l'objectif déclaré | Les données de géolocalisation d'un véhicule professionnel ne peuvent pas servir à contrôler les horaires |
| Minimisation | Ne collecter que les données strictement nécessaires | Demander la religion ou l'orientation politique dans un dossier d'embauche est interdit |
| Exactitude | Les données doivent être tenues à jour | L'adresse, la situation familiale et le RIB doivent être actualisés par le salarié |
| Limitation de conservation | Les données ne peuvent être conservées au-delà du nécessaire | Les candidatures non retenues doivent être supprimées sous 2 ans maximum |
| Sécurité | Des mesures techniques et organisationnelles appropriées | Chiffrement, contrôle d'accès, traçabilité, sauvegarde |
Les bases légales en contexte RH
Un point souvent mal compris : en contexte RH, le consentement du salarié est rarement une base légale valable. La CNIL considère que le lien de subordination entre l'employeur et le salarié ne permet pas un consentement "libre" au sens du RGPD. Les bases légales les plus courantes en RH sont :
- L'exécution du contrat de travail - pour la gestion de la paie, des congés, des absences
- L'obligation légale - déclarations sociales, document unique, registre du personnel
- L'intérêt légitime de l'employeur - gestion de la mobilité interne, évaluations de performance (sous conditions)
Les durées de conservation spécifiques aux RH
La CNIL a publié un référentiel détaillé des durées de conservation en matière de gestion du personnel. Voici les principales :
- Bulletins de paie - 5 ans en base active (obligation employeur), 50 ans ou jusqu'à la liquidation de la retraite pour le salarié
- Contrats de travail - 5 ans après la fin de la relation contractuelle
- Registre du personnel - 5 ans après le départ du salarié
- Données de candidature - 2 ans après le dernier contact avec le candidat
- Données relatives aux sanctions disciplinaires - 3 ans à compter de la sanction
- Données de vidéosurveillance - 1 mois maximum
Les risques concrets de la non-conformité RGPD en RH
"On est une PME, la CNIL ne viendra jamais chez nous." C'est la phrase la plus dangereuse qu'un DRH puisse prononcer. La réalité des contrôles CNIL en 2024-2025 montre une tendance claire : les PME sont de plus en plus dans le viseur.
Les sanctions financières
Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En France, la CNIL a prononcé 471 millions d'euros de sanctions en 2024, un record. Et les manquements liés aux données des salariés figurent régulièrement dans les décisions :
- En 2023, une entreprise de nettoyage a été sanctionnée à hauteur de 200 000 euros pour traitement excessif de données de salariés (collecte de pièces d'identité non nécessaires, conservation au-delà des durées légales)
- En 2024, un groupe de distribution a reçu une amende de 150 000 euros pour défaut de sécurité sur les dossiers du personnel (accès non restreint aux données de santé)
- Plusieurs mises en demeure publiques ont ciblé des entreprises utilisant des outils de surveillance des salariés non conformes
Les risques au-delà des amendes
Les sanctions financières ne sont que la partie visible. Les conséquences d'une non-conformité RGPD en RH incluent aussi :
- Atteinte à la marque employeur - une sanction CNIL rendue publique impacte directement la capacité à recruter
- Contentieux prud'hommaux - un salarié dont les données ont été mal protégées peut engager la responsabilité de l'employeur
- Perte de confiance interne - les collaborateurs qui découvrent que leurs données médicales ou disciplinaires sont accessibles à n'importe qui perdent toute confiance en leur employeur
- Risque cyber - des données RH mal protégées sont une cible privilégiée pour les cyberattaques (usurpation d'identité, chantage, revente de données)
Le cas spécifique des arrêts maladie et des données de santé
Les données de santé bénéficient d'une protection renforcée au titre de l'article 9 du RGPD. En pratique, cela signifie que :
- L'employeur n'a pas à connaître le motif médical d'un arrêt maladie - seules les dates d'absence et l'aptitude/inaptitude sont nécessaires
- Les dossiers médicaux doivent être conservés séparément des dossiers administratifs du personnel
- L'accès aux données de santé doit être strictement limité aux personnes habilitées (médecin du travail, gestionnaire paie pour le traitement des IJSS)
Le coffre-fort numérique : la réponse technique aux exigences RGPD
Le coffre-fort numérique n'est pas un simple espace de stockage. Au sens du décret n-2018-418 du 30 mai 2018, c'est un service de stockage numérique hautement sécurisé qui répond à des exigences techniques précises : intégrité des documents, traçabilité des accès, durabilité du stockage et confidentialité.
Ce qui distingue un vrai coffre-fort numérique d'un simple drive
Déposer les bulletins de paie sur un Google Drive ou un dossier partagé ne constitue pas un coffre-fort numérique. Voici les différences fondamentales :
| Critère | Dossier partagé / Cloud générique | Coffre-fort numérique conforme |
|---|---|---|
| Chiffrement | Variable, souvent en transit uniquement | Chiffrement en transit ET au repos (AES-256) |
| Contrôle d'accès | Partage par lien, permissions larges | Accès individuel strict, authentification renforcée |
| Traçabilité | Logs basiques ou absents | Journal d'accès complet et inaltérable |
| Intégrité | Fichiers modifiables par les personnes ayant accès | Documents scellés, non modifiables après dépôt |
| Durée de conservation | Aucune gestion automatisée | Politiques de rétention configurables avec suppression automatique |
| Hébergement | Souvent aux États-Unis (non conforme RGPD sans garanties) | Hébergement en France ou en Europe garanti |
| Portabilité | Export manuel | Le salarié peut récupérer tous ses documents à tout moment |
Le coffre-fort numérique Lyfh : sécurité et simplicité
Le coffre-fort numérique de Lyfh a été conçu spécifiquement pour les besoins RH. Il répond aux exigences du décret de 2018 et aux obligations du RGPD :
- Dépôt automatisé des bulletins de paie - chaque mois, les bulletins sont générés et déposés directement dans l'espace personnel du salarié, sans manipulation manuelle
- Archivage des contrats et avenants - les documents contractuels sont stockés avec horodatage et garantie d'intégrité
- Accès self-service - le salarié consulte, télécharge et exporte ses documents 24h/24, depuis n'importe quel appareil. Plus besoin d'appeler le service RH pour retrouver un bulletin de paie de 2022
- Gestion des droits d'accès - chaque document est accessible uniquement par son propriétaire et les personnes explicitement habilitées. Les droits sont paramétrables par rôle (RH, manager, salarié)
- Politiques de conservation - les durées de rétention sont configurées par type de document, avec alertes avant expiration et suppression automatique si paramétrée
- Portabilité - en cas de départ, le salarié conserve l'accès à son coffre-fort pendant la durée légale de conservation, conformément à l'obligation de portabilité
Bonnes pratiques RGPD pour les services RH
Au-delà du coffre-fort numérique, voici les bonnes pratiques que tout service RH devrait mettre en oeuvre pour assurer la conformité RGPD. La transparence salariale introduit de nouvelles obligations qui renforcent cet impératif. sur l'ensemble de ses traitements.
1. Cartographier les traitements
L'article 30 du RGPD impose la tenue d'un registre des traitements. Pour le service RH, cela implique de lister exhaustivement : les données collectées, les finalités, les bases légales, les destinataires, les durées de conservation et les mesures de sécurité. C'est un exercice fastidieux mais indispensable - et il révèle souvent des traitements "fantômes" dont personne n'avait conscience.
2. Limiter les accès
Le principe du moindre privilège est crucial en RH. Chaque personne ne doit avoir accès qu'aux données strictement nécessaires à sa mission :
- Le gestionnaire paie accède aux données de rémunération, pas aux évaluations de performance
- Le manager accède aux évaluations de son équipe, pas aux dossiers disciplinaires gérés par le RH
- Le responsable formation accède à l'historique de formation, pas aux données médicales
Un SIRH comme Lyfh permet de configurer ces niveaux d'accès de manière granulaire. Chaque profil utilisateur (salarié, manager, RH, direction) dispose de droits spécifiques, et toute tentative d'accès non autorisée est journalisée.
3. Gérer les droits des salariés
Le RGPD confère aux salariés des droits qu'ils exercent de plus en plus : droit d'accès (obtenir une copie de toutes les données détenues), droit de rectification, droit à l'effacement (dans les limites des obligations légales de conservation) et droit à la portabilité. L'employeur a un mois pour répondre à une demande. Sans outil centralisé, ce délai est difficile à respecter.
4. Former les équipes
La première cause de fuite de données n'est pas le piratage informatique - c'est l'erreur humaine. Un bulletin de paie envoyé au mauvais destinataire, un dossier disciplinaire laissé sur une imprimante partagée, un mot de passe collé sur un post-it. La formation régulière des équipes RH (et des managers qui manipulent des données sensibles) est une mesure de sécurité aussi importante que le chiffrement.
5. Anticiper les violations de données
L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données susceptible de présenter un risque pour les droits et libertés des personnes. En cas de risque élevé, les personnes concernées doivent aussi être informées. Avoir un plan de réponse aux incidents est indispensable. Et ce plan commence par savoir où sont vos données - d'où l'importance de la centralisation dans un SIRH.
La protection des données RH n'est pas un sujet technique réservé au DSI. C'est un sujet stratégique qui engage la responsabilité de l'employeur, la confiance des collaborateurs et la réputation de l'entreprise. Le coffre-fort numérique de Lyfh est un élément central de cette stratégie : il sécurise les documents les plus sensibles, automatise la conformité (durées de conservation, traçabilité, portabilité) et libère le service RH de la gestion manuelle des fichiers. Parce que la meilleure protection, c'est celle qui fonctionne sans y penser.
