Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/PayFit et RGPD : guide de conformité 2026
RGPD

PayFit et RGPD : guide de conformité 2026

PayFit est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : PayFit comme sous-traitant
  2. Analyse du DPA PayFit
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée
  6. Points d’attention spécifiques à PayFit
  7. FAQ

PayFit est la solution de gestion de paie et des ressources humaines la plus utilisée en France, avec plus de 300 000 entreprises clientes. Fondée à Paris en 2015, la plateforme couvre un spectre fonctionnel large : édition des bulletins de paie, gestion des congés et absences, notes de frais, onboarding des nouveaux collaborateurs, génération des documents RH et déclarations sociales (DSN). PayFit s’adresse principalement aux PME françaises qui souhaitent internaliser la gestion de paie sans recourir à un cabinet comptable externe.

Du point de vue du RGPD, un outil de paie comme PayFit traite les données les plus sensibles qui existent en entreprise. Au-delà des données d’identité classiques, PayFit accède aux coordonnées bancaires (IBAN) pour le virement des salaires, au numéro de sécurité sociale, aux arrêts maladie et certificats médicaux, aux informations sur la mutuelle et la prévoyance, à la situation familiale pour le calcul des congés et avantages. Ces données relèvent pour partie de l’article 9 du RGPD relatif aux données sensibles, notamment les données de santé (arrêts maladie, handicap) et potentiellement l’affiliation syndicale.

La bonne nouvelle : PayFit est une entreprise française, hébergée en Union européenne, avec un positionnement historiquement fort sur la conformité RGPD. Le risque n’est pas dans l’outil lui-même, mais dans la façon dont vous le configurez et dont vous documentez votre conformité en tant qu’employeur. C’est ce que ce guide détaille.

Consultez également nos analyses de Personio et RGPD, Silae et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dédiée au RGPD et ressources humaines.

Qualification juridique : PayFit comme sous-traitant

Lorsque vous utilisez PayFit pour gérer la paie de vos salariés, PayFit agit en qualité de sous-traitant (processor) au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui déterminez les finalités (gestion de la paie, administration du personnel, gestion des congés) et les moyens essentiels du traitement. PayFit fournit l’infrastructure technique et exécute le traitement selon vos instructions.

Cette qualification est claire et sans ambiguïté pour l’ensemble des fonctionnalités de PayFit : calcul et édition des bulletins de paie, génération des DSN, gestion des absences, onboarding. PayFit ne décide pas des finalités du traitement – c’est l’employeur qui le fait.

Catégories de données traitées

Les données RH traitées par PayFit sont d’une sensibilité particulière. Voici les catégories principales :

  • Données d’identité : nom, prénom, date de naissance, lieu de naissance, nationalité, numéro de sécurité sociale, photo d’identité
  • Données de contact : adresse postale, email personnel, téléphone
  • Données bancaires : IBAN pour le virement des salaires
  • Données de rémunération : salaire brut et net, primes, avantages en nature, historique de paie
  • Données de santé : arrêts maladie, accidents du travail, reconnaissance de handicap (RQTH), certificats médicaux
  • Données familiales : situation matrimoniale, nombre d’enfants à charge, attestations pour congés parentaux
  • Données contractuelles : type de contrat, date d’embauche, poste, classification conventionnelle, période d’essai
  • Données syndicales : le cas échéant, heures de délégation (donnée sensible au sens de l’Art. 9)

Personnes concernées : salariés, anciens salariés, stagiaires, éventuellement prestataires externes gérés dans PayFit.

Rappelons que la CNIL a infligé une amende de 32 millions d’euros à Amazon France Logistique en 2024 pour surveillance excessive des salariés via des outils de gestion RH. Le traitement de données salariés n’est pas anodin – il exige une documentation rigoureuse dans votre registre des traitements avec la base légale appropriée (exécution du contrat de travail pour la paie, obligation légale pour les déclarations sociales, intérêt légitime pour certaines évaluations).

Analyse du DPA PayFit

Le Data Processing Agreement (DPA) de PayFit est intégré aux conditions générales de service et disponible dans votre espace client. En tant qu’entreprise française, PayFit propose un DPA conforme aux standards européens. Voici notre évaluation au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 Couverture PayFit Commentaire
Objet, durée, nature du traitement Oui Défini par les services souscrits (paie, RH, congés)
Instructions documentées du RT Oui PayFit traite uniquement sur instructions documentées
Confidentialité du personnel Oui Engagement de confidentialité des employés PayFit
Mesures de sécurité (Art. 32) Oui Annexe sécurité détaillée, chiffrement, contrôles d’accès
Sous-traitants ultérieurs Oui Liste publiée, notification préalable, droit d’objection
Assistance droits des personnes Oui PayFit aide le RT à répondre aux demandes d’exercice de droits
Suppression/restitution en fin de contrat Oui Restitution des données et suppression après résiliation
Audits Oui Rapports SOC 2 Type II et ISO 27001 disponibles
Transferts hors UE Non applicable Hébergement 100% UE, pas de transfert hors UE

Points forts du DPA PayFit : la couverture est complète et conforme aux exigences de l’article 28. PayFit étant une entreprise française, le DPA est rédigé dans une logique de conformité européenne native, sans les compromis que l’on observe parfois chez les éditeurs américains. La liste des sous-traitants ultérieurs est publiée et mise à jour avec un mécanisme de notification.

Point d’attention : comme pour tout outil SaaS, vérifiez que le DPA est effectivement signé et actif dans votre compte. En cas d’audit de la CNIL, c’est le premier document qui sera demandé. Conservez une copie archivée avec votre registre des traitements.

Transferts internationaux et TIA

Hébergement des données

PayFit héberge l’intégralité des données de ses clients en Union européenne, sur des infrastructures AWS (Francfort, Allemagne) et OVH (France). Aucun transfert de données personnelles n’est effectué vers des pays tiers dans le cadre du fonctionnement normal de la plateforme.

C’est un avantage significatif par rapport aux solutions américaines comme BambooHR ou Workday, qui nécessitent une analyse d’impact sur les transferts hors UE et la mise en place de garanties supplémentaires (DPF, clauses contractuelles types).

Absence de risque lié au CLOUD Act

PayFit étant une société française, elle n’est pas soumise au CLOUD Act américain ni au FISA Section 702. Les autorités françaises peuvent bien entendu accéder aux données dans le cadre de réquisitions judiciaires, mais ce cadre est encadré par le droit français et européen, ce qui est conforme au RGPD.

TIA : non nécessaire

Dans la mesure où PayFit ne procède à aucun transfert de données hors de l’Union européenne, une analyse d’impact sur les transferts (Transfer Impact Assessment) n’est pas requise. C’est un point de simplification considérable pour votre documentation de conformité.

Néanmoins, vérifiez la liste des sous-traitants ultérieurs de PayFit. Si l’un d’entre eux est situé hors UE (par exemple un prestataire de monitoring ou de support), un transfert indirect pourrait exister. Dans ce cas, assurez-vous que les garanties appropriées sont en place.

Sécurité informatique

Les données RH traitées par PayFit exigent le niveau de sécurité le plus élevé. La combinaison de données bancaires (IBAN), de données de santé (arrêts maladie) et du numéro de sécurité sociale crée un risque de préjudice majeur en cas de violation de données. Un bulletin de paie qui fuite, c’est à la fois l’identité complète du salarié, son salaire, ses coordonnées bancaires et potentiellement ses arrêts maladie.

Certifications PayFit

PayFit dispose des certifications suivantes :

  • SOC 2 Type II : audit indépendant des contrôles de sécurité, disponibilité, intégrité et confidentialité
  • ISO 27001 : certification du système de management de la sécurité de l’information

Ces certifications attestent d’un niveau de maturité élevé en matière de sécurité de l’information.

Mesures techniques

PayFit met en œuvre les mesures de sécurité suivantes :

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : chiffrement AES-256 des données stockées
  • Contrôles d’accès : authentification forte, gestion des rôles et permissions
  • Journalisation : logs d’accès et d’activité pour la traçabilité
  • Tests de pénétration : audits de sécurité réguliers par des tiers indépendants
  • Sauvegarde et continuité : plans de reprise d’activité documentés

Responsabilité partagée

PayFit assure la sécurité de l’infrastructure, mais la sécurité de l’accès à votre espace PayFit relève de votre responsabilité. Des identifiants compromis côté employeur exposent l’ensemble des données salariales.

Configuration recommandée

Voici les étapes de configuration indispensables pour utiliser PayFit en conformité avec le RGPD :

  1. Vérifier la signature du DPA. Assurez-vous que le contrat de sous-traitance est signé et archivé. Conservez-en une copie dans votre documentation RGPD.

  2. Configurer les niveaux d’accès par rôle. Définissez des profils d’accès différenciés : le dirigeant n’a pas besoin des mêmes accès que le responsable RH, et les managers ne doivent pas accéder aux données bancaires ou médicales de leurs équipes. Le principe de minimisation (Art. 5(1)©) s’applique pleinement.

  3. Activer l’authentification forte. Activez le MFA (authentification multi-facteurs) pour tous les utilisateurs ayant accès à PayFit. Les données de paie justifient cette mesure sans discussion.

  4. Définir les durées de conservation. Configurez les règles de rétention conformément aux obligations légales : bulletins de paie (5 ans minimum, recommandé 50 ans pour les droits à la retraite), contrats de travail (5 ans après la fin de la relation contractuelle), données médicales (durées spécifiques selon la nature). Consultez notre guide sur la durée de conservation des données.

  5. Documenter dans le registre des traitements. Ajoutez les traitements PayFit dans votre registre : gestion de la paie, gestion des congés, gestion des absences maladie, onboarding, chacun avec sa base légale, ses catégories de données et ses durées de conservation.

  6. Informer les salariés. Rédigez une notice d’information conforme aux articles 13 et 14 du RGPD, indiquant que leurs données sont traitées via PayFit, les finalités du traitement, les durées de conservation et leurs droits (droit d’accès, droit de rectification, droit d’effacement dans les limites légales). Cette notice peut être intégrée au règlement intérieur ou à la charte informatique.

  7. Configurer la gestion des départs. Définissez un processus de désactivation des comptes et d’archivage des données lors du départ d’un salarié. Les données ne doivent pas être supprimées immédiatement (obligations légales de conservation), mais l’accès actif doit être révoqué.

  8. Évaluer la nécessité d’une AIPD. Si vous utilisez PayFit pour des évaluations systématiques des salariés (suivi de performance, gestion des objectifs), une analyse d’impact relative à la protection des données peut être requise au titre de l’article 35 du RGPD.

Points d’attention spécifiques à PayFit

Données de santé

PayFit traite nécessairement des données de santé au sens de l’article 9 du RGPD : arrêts maladie, mi-temps thérapeutiques, accidents du travail, reconnaissance de handicap. La base légale pour ce traitement est l’article 9(2)(b) – le traitement est nécessaire aux fins de l’exécution des obligations en matière de droit du travail et de sécurité sociale. Néanmoins, ces données doivent bénéficier de mesures de protection renforcées : accès restreint aux seules personnes habilitées (typiquement le service RH), pas d’accès pour les managers aux motifs d’absence médicale.

Bulletin de paie électronique

PayFit génère des bulletins de paie dématérialisés. Conformément à l’article L. 3243-2 du Code du travail, la remise du bulletin de paie sous forme électronique est possible sauf opposition du salarié. Assurez-vous que vos salariés ont été informés de cette modalité et qu’un mécanisme d’opposition existe.

DSN et flux vers les organismes sociaux

Les données transmises par PayFit aux organismes sociaux (URSSAF, caisses de retraite, mutuelles) via la DSN constituent des transmissions à des tiers destinataires. Ces transmissions sont fondées sur des obligations légales et doivent être documentées dans votre registre des traitements.

Intégration avec d’autres outils

Si vous connectez PayFit à d’autres logiciels (comptabilité, ERP, SIRH), chaque flux de données doit être documenté et chaque nouveau sous-traitant identifié dans votre registre. Les exports de paie PayFit alimentent généralement un logiciel comptable comme Sage – ce transfert de données salariales constitue un traitement à documenter.

FAQ

PayFit est-il conforme au RGPD ? Oui. PayFit est une entreprise française, hébergée en Union européenne (AWS Francfort et OVH France), certifiée SOC 2 Type II et ISO 27001, avec un DPA conforme aux exigences de l’article 28 du RGPD. PayFit a un positionnement natif sur la conformité européenne. Néanmoins, la conformité finale dépend aussi de la configuration que vous mettez en place en tant qu’employeur : niveaux d’accès, durées de conservation, information des salariés.

Mon employeur peut-il accéder à toutes mes données dans PayFit ? Non. Le RGPD impose le principe de minimisation : seules les personnes ayant un besoin légitime doivent accéder à vos données. Le service RH accède aux données nécessaires à la gestion de la paie et des absences, mais votre manager n’a pas à connaître votre IBAN, votre numéro de sécurité sociale ou le motif médical de vos arrêts maladie. En tant que salarié, vous disposez d’un droit d’accès à l’ensemble de vos données personnelles détenues dans PayFit.

Faut-il réaliser une AIPD pour PayFit ? Une analyse d’impact (AIPD) n’est pas systématiquement requise pour la simple gestion de la paie. En revanche, si vous utilisez PayFit pour du suivi systématique des performances, de la gestion des évaluations à grande échelle, ou si vous traitez des données de santé à grande échelle, une AIPD est recommandée voire obligatoire au titre de l’article 35 du RGPD et des critères publiés par la CNIL.

Combien de temps PayFit conserve-t-il les données des salariés ? Les durées de conservation sont définies par vos paramètres et par les obligations légales. Les bulletins de paie doivent être conservés 5 ans minimum (obligation employeur), mais il est recommandé de les conserver 50 ans pour les droits à la retraite. Les contrats de travail doivent être conservés 5 ans après la fin de la relation contractuelle. Les données médicales suivent des durées spécifiques. Consultez notre guide sur la durée de conservation des données pour un tableau complet.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min