BambooHR et RGPD : guide de conformite 2026

BambooHR est une plateforme américaine de gestion des ressources humaines fondée en 2008 à Lindon (Utah). L’outil cible principalement les PME et couvre les fonctionnalités classiques d’un SIRH : gestion des dossiers du personnel, suivi des congés et absences (PTO), onboarding, évaluation des performances, reporting RH et suivi des candidatures. BambooHR est utilisé par des entreprises dans le monde entier, y compris en France, notamment par des filiales de groupes anglo-saxons ou des PME internationalisées.

Du point de vue du RGPD, BambooHR pose une problématique que les solutions européennes comme PayFit ou Personio n’ont pas : c’est une entreprise américaine qui héberge ses données principalement aux États-Unis. Stocker les données salariales de vos employés français – incluant le numéro de sécurité sociale, les coordonnées bancaires, les arrêts maladie et la rémunération – sur des serveurs américains soumis au CLOUD Act et au FISA Section 702 soulève des questions sérieuses en matière de transferts de données hors UE.

Cela ne signifie pas que BambooHR est interdit par le RGPD. Mais cela signifie que son utilisation exige une analyse plus approfondie et des garanties supplémentaires par rapport à une solution européenne. C’est précisément ce que ce guide détaille.

Consultez également nos analyses de PayFit et RGPD, Personio et RGPD, Silae et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dédiée au RGPD et ressources humaines.

Qualification juridique : BambooHR comme sous-traitant

Lorsque vous utilisez BambooHR pour gérer vos processus RH, BambooHR agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui déterminez les finalités (gestion du personnel, suivi des absences, recrutement, évaluation) et les moyens essentiels du traitement.

La qualification est claire pour les fonctionnalités principales de la plateforme. BambooHR stocke et traite les données de vos salariés sur vos instructions et pour votre compte.

Catégories de données traitées

Un SIRH comme BambooHR centralise des données personnelles hautement sensibles :

• Données d’identité : nom, prénom, date de naissance, nationalité, numéro de sécurité sociale, photo
• Données de contact : adresse postale, email personnel, téléphone
• Données bancaires : coordonnées bancaires pour les virements de salaire
• Données de rémunération : salaire, primes, avantages, historique de paie
• Données de santé : arrêts maladie, accidents du travail, handicap, informations médicales
• Données familiales : situation matrimoniale, personnes à charge
• Données contractuelles : contrat, poste, ancienneté, classification
• Données d’évaluation : performances, objectifs, feedbacks
• Données de recrutement : CV, candidatures, notes d’entretien

Personnes concernées : salariés, anciens salariés, candidats, stagiaires.

Ces données incluent des données sensibles au sens de l’article 9 du RGPD : données de santé (arrêts maladie, handicap) et potentiellement affiliation syndicale. Le fait de stocker ces données aux États-Unis renforce la nécessité d’une analyse rigoureuse.

Documentez chaque traitement dans votre registre avec la base légale appropriée : exécution du contrat de travail pour la gestion du personnel, obligation légale pour les déclarations sociales, intérêt légitime pour les évaluations de performance.

Analyse du DPA BambooHR

BambooHR propose un Data Processing Agreement (DPA) accessible dans sa documentation contractuelle. Voici notre évaluation au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28	Couverture BambooHR	Commentaire
Objet, durée, nature du traitement	Oui	Défini par référence aux services souscrits
Instructions documentées du RT	Oui	BambooHR traite sur instructions documentées
Confidentialité du personnel	Oui	Engagement de confidentialité des employés
Mesures de sécurité (Art. 32)	Oui	Mesures de sécurité documentées
Sous-traitants ultérieurs	Oui	Liste disponible, notification préalable
Assistance droits des personnes	Oui	BambooHR aide le RT à répondre aux demandes
Suppression/restitution en fin de contrat	Oui	Export et suppression après résiliation
Audits	Partiel	Via rapports SOC 2, pas d’audit sur site
Transferts hors UE	Oui	DPF + CCT comme mécanismes de transfert

Points forts : le DPA couvre les exigences formelles de l’article 28. BambooHR est certifié au Data Privacy Framework (DPF), ce qui fournit une base légale pour les transferts vers les États-Unis.

Points d’attention : le DPA de BambooHR est rédigé dans une logique juridique américaine. Vérifiez attentivement les clauses relatives aux droits d’audit (souvent limités aux rapports de certification), aux sous-traitants ultérieurs (sont-ils tous soumis aux mêmes garanties ?) et aux conditions de suppression des données en fin de contrat. Pour les entreprises ayant des exigences élevées, une négociation du DPA peut être nécessaire – mais BambooHR, ciblant les PME, offre généralement moins de flexibilité contractuelle que les solutions enterprise comme Workday.

Transferts internationaux et TIA

C’est le point critique de l’analyse RGPD de BambooHR. En tant qu’entreprise américaine hébergeant les données aux États-Unis, l’utilisation de BambooHR implique un transfert de données personnelles vers un pays tiers au sens du chapitre V du RGPD.

Hébergement des données

BambooHR héberge ses données principalement aux États-Unis. À la date de rédaction de ce guide, BambooHR ne propose pas d’option standard de résidence des données dans l’Union européenne. Toutes les données salariales (identité, rémunération, coordonnées bancaires, arrêts maladie) sont donc stockées sur des serveurs américains.

Mécanismes de transfert

BambooHR s’appuie sur les mécanismes suivants pour encadrer les transferts :

1. EU-US Data Privacy Framework (DPF). BambooHR est certifié au DPF. La décision d’adéquation de la Commission européenne du 10 juillet 2023 fournit une base légale pour les transferts vers les entreprises américaines certifiées. Tant que cette certification est maintenue et que la décision d’adéquation n’est pas invalidée, le transfert dispose d’une base légale.

2. Clauses contractuelles types (CCT). Le DPA intègre les CCT de la Commission européenne (version 2021) comme mécanisme supplémentaire.

Risques liés au CLOUD Act et FISA 702

BambooHR, en tant qu’entreprise américaine, est soumise au CLOUD Act et potentiellement au FISA Section 702. Cela signifie que les autorités américaines peuvent exiger l’accès aux données, y compris les données de salariés européens, sans que les personnes concernées en soient informées et sans contrôle juridictionnel équivalent aux standards européens.

Pour des données RH – qui incluent des données de santé, des coordonnées bancaires et le numéro de sécurité sociale – ce risque est particulièrement significatif.

TIA : obligatoire

L’utilisation de BambooHR nécessite une analyse d’impact sur les transferts (TIA) conforme aux recommandations du CEPD (Comité européen de la protection des données). Cette TIA doit évaluer :

• La législation américaine applicable (CLOUD Act, FISA 702, Executive Order 14086)
• La probabilité d’accès par les autorités américaines aux données de vos salariés
• Les mesures supplémentaires mises en place (chiffrement, pseudonymisation)
• L’adéquation du DPF comme base légale

Documentez cette TIA et conservez-la avec votre documentation de conformité. Rappelons que l’arrêt Schrems II de la CJUE (2020) a invalidé le Privacy Shield pour insuffisance de garanties. Le DPF est censé corriger ces insuffisances via l’Executive Order 14086, mais sa pérennité fait débat.

Alternative : envisager une solution europeenne

Pour les données RH, qui sont parmi les plus sensibles traitées par une entreprise, la question mérite d’être posée : est-il préférable d’utiliser une solution européenne comme PayFit, Personio ou Silae qui n’implique aucun transfert hors UE ? Du strict point de vue du RGPD, l’absence de transfert international simplifie considérablement la conformité.

Sécurité informatique

Les données RH dans BambooHR – identité, salaire, IBAN, données de santé – exigent un niveau de sécurité maximal. Le fait que ces données soient stockées aux États-Unis ajoute une dimension supplémentaire à l’analyse de sécurité.

Certifications BambooHR

• SOC 2 Type II : audit indépendant des contrôles de sécurité, disponibilité et confidentialité

À noter : à la date de rédaction, BambooHR ne dispose pas de la certification ISO 27001. C’est un écart par rapport à des concurrents européens comme PayFit ou Personio qui disposent des deux certifications.

Mesures techniques

• Chiffrement en transit : TLS pour les communications
• Chiffrement au repos : chiffrement des données stockées
• Contrôles d’accès : gestion des rôles et permissions
• Authentification : support du SSO et de l’authentification multi-facteurs
• Journalisation : logs d’accès et d’activité
• Sauvegardes : plans de sauvegarde et de continuité

Mesures supplémentaires pour les transferts

Dans le cadre de votre TIA, évaluez si les mesures de chiffrement de BambooHR sont suffisantes. Le chiffrement en transit et au repos est un minimum, mais la question est de savoir si BambooHR (ou les autorités américaines) ont accès aux clés de déchiffrement. Si oui, le chiffrement ne constitue pas une mesure supplémentaire effective au sens des recommandations du CEPD.

Configuration recommandée

Voici les étapes indispensables pour utiliser BambooHR en conformité avec le RGPD :

1. Signer et archiver le DPA. Assurez-vous que le contrat de sous-traitance est signé, qu’il intègre les CCT et que vous en conservez une copie. Vérifiez que la certification DPF de BambooHR est active.

2. Réaliser et documenter une TIA. C’est l’étape critique. Documentez votre analyse d’impact sur les transferts hors UE : législation américaine applicable, probabilité d’accès gouvernemental, mesures supplémentaires, conclusion motivée sur l’acceptabilité du transfert.

3. Configurer les niveaux d’accès par rôle. Définissez des profils d’accès stricts : le service RH accède aux données de paie, les managers uniquement aux informations nécessaires à la gestion de leur équipe (congés, objectifs). Les données bancaires et médicales doivent être restreintes au strict nécessaire.

4. Activer l’authentification forte. MFA obligatoire pour tous les utilisateurs. SSO si disponible dans votre entreprise. Les données RH hébergées aux États-Unis justifient d’autant plus une authentification renforcée.

5. Définir les durées de conservation. Configurez les règles de rétention conformément aux obligations légales françaises : bulletins de paie (5 ans minimum), contrats (5 ans après fin de relation), données médicales (durées spécifiques). Consultez notre guide sur les durées de conservation.

6. Documenter dans le registre. Ajoutez BambooHR dans votre registre des traitements en précisant explicitement le transfert vers les États-Unis, le mécanisme de transfert (DPF + CCT), et la référence à votre TIA.

7. Informer les salariés du transfert hors UE. La notice d’information aux salariés (Art. 13 et 14 du RGPD) doit mentionner explicitement que leurs données sont transférées aux États-Unis, le mécanisme de transfert utilisé, et les risques associés. C’est une obligation spécifique aux transferts internationaux.

8. Évaluer la nécessité d’une AIPD. Au-delà de la TIA sur les transferts, une AIPD peut être requise si vous utilisez les modules d’évaluation des performances ou si le volume de données de santé traitées est significatif.

9. Mettre en place une veille sur le DPF. La pérennité du Data Privacy Framework n’est pas garantie. Si le DPF était invalidé (comme l’a été le Privacy Shield), vous devriez réagir rapidement. Mettez en place une veille juridique ou consultez régulièrement les actualités sur notre page transferts de données hors UE.

Points d’attention spécifiques à BambooHR

Absence de résidence des données en UE

C’est le point le plus critique. Contrairement à Workday qui propose des centres de données européens, BambooHR ne propose pas d’option standard de résidence des données dans l’UE. Pour des données RH incluant des données de santé et des coordonnées bancaires, cette absence est problématique. Posez explicitement la question à BambooHR : une option de résidence EU est-elle disponible ou prévue ?

Données de santé sur des serveurs américains

Le stockage de données de santé (arrêts maladie, handicap) sur des serveurs américains soumis au CLOUD Act est une situation que de nombreux DPO considèrent comme à risque élevé. Les données de santé bénéficient d’une protection renforcée sous l’article 9 du RGPD, et leur transfert vers les États-Unis doit être justifié par des garanties particulièrement solides.

Intégration avec des outils européens

Si vous utilisez BambooHR dans un écosystème mixte (par exemple avec un outil de paie français comme PayFit ou Silae), documentez soigneusement les flux de données entre les outils. Chaque transfert de données entre BambooHR (US) et vos outils européens constitue un flux transfrontière qui doit être encadré.

Contexte post-Schrems II

L’arrêt Schrems II (CJUE, 2020) a invalidé le Privacy Shield et impose une évaluation au cas par cas des transferts vers les États-Unis. Le DPF est censé répondre aux insuffisances identifiées par la Cour, mais l’organisation NOYB de Max Schrems a déjà annoncé des contestations. La stabilité à long terme du DPF n’est pas acquise.

FAQ

BambooHR est-il conforme au RGPD ? BambooHR dispose d’un DPA couvrant les exigences de l’article 28 et est certifié au Data Privacy Framework (DPF) pour les transferts vers les États-Unis. Néanmoins, la conformité est plus complexe qu’avec une solution européenne : l’hébergement aux États-Unis nécessite une analyse d’impact sur les transferts (TIA), une information spécifique des salariés et une veille sur la pérennité du DPF. BambooHR n’est pas “non conforme”, mais son utilisation exige un travail de conformité significativement plus lourd.

Mon employeur peut-il accéder à toutes mes données dans BambooHR ? Non. Le principe de minimisation du RGPD impose des restrictions d’accès. Seules les personnes ayant un besoin légitime doivent accéder à vos données. Le service RH accède aux données nécessaires à la gestion du personnel, mais votre manager ne devrait pas accéder à vos coordonnées bancaires, votre numéro de sécurité sociale ou vos informations médicales. En tant que salarié, vous disposez d’un droit d’accès complet. Vos données étant stockées aux États-Unis, vous pouvez également interroger votre employeur sur les garanties mises en place pour les transferts internationaux.

Faut-il une AIPD pour BambooHR ? Une AIPD est recommandée voire obligatoire dans plusieurs cas : utilisation des modules d’évaluation des performances (évaluation systématique des salariés), traitement à grande échelle de données de santé, et transfert de données sensibles vers les États-Unis. Indépendamment de l’AIPD au sens de l’article 35, une TIA (Transfer Impact Assessment) est dans tous les cas obligatoire pour le transfert vers les États-Unis.

Existe-t-il des alternatives européennes à BambooHR ? Oui. PayFit (France) et Personio (Allemagne) offrent des fonctionnalités comparables avec un hébergement 100% européen, sans transfert hors UE. Pour la paie spécifiquement, Silae (France) est la référence pour les cabinets comptables. Du strict point de vue du RGPD, une solution européenne élimine la problématique des transferts internationaux et simplifie considérablement votre documentation de conformité.