Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Personio et RGPD : guide de conformité 2026
RGPD

Personio et RGPD : guide de conformité 2026

Personio est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : Personio comme sous-traitant
  2. Analyse du DPA Personio
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée
  6. Points d’attention spécifiques à Personio
  7. FAQ

Personio est une plateforme de gestion des ressources humaines fondée à Munich en 2015, positionnée comme l’alternative européenne aux solutions américaines de SIRH. La plateforme couvre l’ensemble du cycle de vie du salarié : recrutement et gestion des candidatures (ATS), onboarding, gestion du personnel, suivi des absences et congés, gestion de la paie, évaluation des performances et reporting RH. Personio croît rapidement sur le marché français et attire les PME et ETI qui cherchent une solution RH complète avec un ancrage européen.

Du point de vue du RGPD, un SIRH comme Personio centralise des données personnelles d’une sensibilité élevée. Les données de recrutement (CV, lettres de motivation, notes d’entretien) s’ajoutent aux données salariales classiques (identité, rémunération, coordonnées bancaires, numéro de sécurité sociale) et aux données de santé (arrêts maladie, handicap). Le module de performance ajoute une dimension supplémentaire : les évaluations individuelles des collaborateurs, qui constituent un traitement systématique de données personnelles au sens de l’article 35 du RGPD.

L’avantage de Personio est son origine allemande. L’Allemagne a une tradition de protection des données personnelles antérieure au RGPD – le Bundesdatenschutzgesetz (BDSG) impose depuis des décennies des exigences strictes, notamment en matière de données des salariés. Les éditeurs allemands ont donc une culture de conformité native qui se traduit généralement dans la qualité de leur DPA et de leurs mesures techniques.

Consultez également nos analyses de PayFit et RGPD, Silae et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dédiée au RGPD et ressources humaines.

Qualification juridique : Personio comme sous-traitant

Lorsque vous utilisez Personio pour gérer vos processus RH, Personio agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise est le responsable de traitement : c’est vous qui déterminez les finalités (recrutement, gestion du personnel, paie, évaluation des performances) et les moyens essentiels du traitement.

La qualification est sans ambiguïté pour les fonctionnalités principales : stockage des dossiers du personnel, gestion des absences, génération des bulletins de paie, gestion des candidatures. Personio exécute le traitement sur vos instructions et pour votre compte.

Le cas du module de recrutement (ATS)

Le module de recrutement de Personio mérite une attention particulière. Les données des candidats (CV, lettres de motivation, notes d’entretien, évaluations) sont des données personnelles dont le traitement est soumis au RGPD. La base légale est généralement les mesures précontractuelles (Art. 6(1)(b)) pour les candidatures en cours, et le consentement pour la constitution d’un vivier de candidats (conservation au-delà du processus de recrutement).

La CNIL recommande une durée de conservation maximale de 2 ans pour les données de candidats non retenus, sauf consentement pour une durée plus longue.

Catégories de données traitées

  • Données d’identité : nom, prénom, date de naissance, nationalité, numéro de sécurité sociale, photo
  • Données de contact : adresse, email, téléphone
  • Données bancaires : IBAN pour les virements de salaire
  • Données de rémunération : salaire, primes, avantages, historique de paie
  • Données de santé : arrêts maladie, accidents du travail, handicap (RQTH), certificats médicaux
  • Données familiales : situation matrimoniale, enfants à charge
  • Données contractuelles : contrat, poste, ancienneté, classification
  • Données de recrutement : CV, lettres de motivation, notes d’entretien, évaluations de candidature
  • Données d’évaluation : objectifs, évaluations de performance, feedbacks, plans de développement
  • Données syndicales : le cas échéant, heures de délégation

Personnes concernées : salariés, anciens salariés, candidats, stagiaires.

Chaque activité de traitement (paie, recrutement, évaluation, gestion des absences) doit être documentée séparément dans votre registre des traitements avec sa propre base légale, ses catégories de données et ses durées de conservation.

Analyse du DPA Personio

Le DPA de Personio est disponible dans la documentation contractuelle et répond aux standards allemands, qui tendent à dépasser les exigences minimales de l’article 28 du RGPD. Le BDSG allemand impose en effet des obligations supplémentaires en matière de protection des données des salariés (Section 26 BDSG).

Exigence Art. 28 Couverture Personio Commentaire
Objet, durée, nature du traitement Oui Détaillé par module (RH, paie, recrutement, performance)
Instructions documentées du RT Oui Traitement exclusivement sur instructions documentées
Confidentialité du personnel Oui Engagement de confidentialité renforcé (standard allemand)
Mesures de sécurité (Art. 32) Oui Annexe technique détaillée, mesures techniques et organisationnelles (TOM)
Sous-traitants ultérieurs Oui Liste publiée, notification préalable, droit d’objection
Assistance droits des personnes Oui Personio aide le RT à répondre aux demandes
Suppression/restitution en fin de contrat Oui Export des données et suppression après résiliation
Audits Oui Rapports SOC 2 Type II et ISO 27001, possibilité d’audit sur dossier
Transferts hors UE Non applicable Hébergement 100% UE

Points forts du DPA Personio : la description des mesures techniques et organisationnelles (TOM) est particulièrement détaillée, ce qui est typique des éditeurs allemands. Le document couvre explicitement les différents modules (RH, paie, recrutement, performance), ce qui facilite la documentation dans votre registre. Le standard allemand en matière de protection des données des salariés est historiquement élevé, et cela se reflète dans la qualité du DPA.

Point d’attention : vérifiez que le DPA couvre explicitement le module de recrutement si vous l’utilisez. Les données de candidats ont un cycle de vie différent des données salariales (durée de conservation plus courte, base légale différente) et doivent être traitées en conséquence.

Transferts internationaux et TIA

Hébergement des données

Personio héberge l’intégralité des données de ses clients dans l’Union européenne, sur l’infrastructure AWS à Francfort (Allemagne). L’entreprise étant allemande avec un siège à Munich, il n’y a pas de transfert de données vers des pays tiers dans le cadre du fonctionnement standard de la plateforme.

C’est un avantage décisif par rapport aux solutions américaines. Contrairement à BambooHR ou Workday, Personio n’est pas soumise au CLOUD Act américain ni au FISA Section 702. Les données de vos salariés restent sous juridiction européenne.

Sous-traitants ultérieurs

La liste des sous-traitants ultérieurs de Personio doit être examinée pour vérifier qu’aucun d’entre eux ne procède à des transferts hors UE. Si un sous-traitant ultérieur est situé hors de l’Union européenne (par exemple pour des services d’infrastructure ou de monitoring), les garanties appropriées (clauses contractuelles types, décision d’adéquation) doivent être en place.

TIA : non nécessaire pour le flux principal

Dans la mesure où Personio ne procède à aucun transfert de données hors de l’Union européenne pour les traitements principaux, une analyse d’impact sur les transferts (TIA) n’est pas requise. C’est un point de simplification considérable par rapport aux transferts de données hors UE que nécessitent les solutions américaines.

Sécurité informatique

Les données RH centralisées dans Personio – identité, salaire, coordonnées bancaires, données de santé, évaluations – exigent le niveau de protection le plus élevé. Une violation de données sur un SIRH expose simultanément l’identité complète des salariés, leur rémunération, leurs coordonnées bancaires et potentiellement leur état de santé.

Certifications Personio

  • ISO 27001 : certification du système de management de la sécurité de l’information
  • SOC 2 Type II : audit indépendant des contrôles de sécurité et de confidentialité

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : chiffrement des données stockées dans les bases de données
  • Contrôles d’accès : gestion granulaire des rôles et permissions par module
  • Authentification : support du SSO (SAML 2.0) et de l’authentification multi-facteurs
  • Journalisation : logs d’audit pour la traçabilité des accès et modifications
  • Tests de sécurité : programme de bug bounty et audits de sécurité réguliers
  • Disponibilité : infrastructure redondante avec plan de reprise d’activité

Responsabilité de l’employeur

Personio fournit l’infrastructure sécurisée, mais c’est à vous de configurer les droits d’accès correctement. Un paramètre mal configuré qui donne accès à tous les managers aux données bancaires ou médicales de leurs équipes constitue une violation du principe de minimisation, et c’est votre responsabilité en tant que responsable de traitement.

Configuration recommandée

Voici les étapes essentielles pour configurer Personio en conformité avec le RGPD :

  1. Archiver le DPA signé. Conservez une copie du contrat de sous-traitance dans votre documentation RGPD. En cas de contrôle de la CNIL, c’est le premier document demandé conformément à l’article 28 du RGPD.

  2. Configurer les rôles et permissions par module. Personio permet une gestion granulaire des accès : définissez des profils séparés pour la direction, le service RH, les managers et les collaborateurs. Les managers ne doivent accéder qu’aux données nécessaires à la gestion de leur équipe (congés, objectifs), pas aux données bancaires ni aux motifs d’absence médicale.

  3. Activer l’authentification forte. Activez le SSO si votre entreprise dispose d’un fournisseur d’identité (Azure AD, Okta, Google Workspace) ou à défaut le MFA natif. Les données RH justifient une authentification renforcée.

  4. Paramétrer les durées de conservation. Configurez les règles de rétention différenciées : bulletins de paie (5 ans minimum), contrats (5 ans après fin de relation), données de candidats non retenus (2 ans maximum selon les recommandations CNIL), évaluations de performance (durée proportionnée). Notre guide sur la durée de conservation des données détaille les obligations par type de document.

  5. Configurer le module de recrutement. Si vous utilisez l’ATS de Personio, paramétrez la suppression automatique des candidatures non retenues après 2 ans. Prévoyez un mécanisme de consentement pour conserver les profils dans un vivier de candidats au-delà de cette période.

  6. Documenter dans le registre des traitements. Inscrivez chaque module Personio comme un traitement distinct dans votre registre : gestion de la paie, gestion du personnel, recrutement, évaluation des performances, gestion des absences. Chacun avec sa base légale, ses catégories de données et ses durées de conservation.

  7. Informer les salariés et les candidats. Rédigez deux notices d’information distinctes : une pour les salariés (traitement de leurs données RH via Personio) et une pour les candidats (traitement de leurs données de candidature). Ces notices doivent être conformes aux articles 13 et 14 du RGPD et mentionner les droits des personnes (droit d’accès, rectification, effacement).

  8. Évaluer la nécessité d’une AIPD. Si vous utilisez le module d’évaluation des performances de Personio, une analyse d’impact (AIPD) est vraisemblablement requise. L’évaluation systématique des salariés figure dans la liste des traitements nécessitant une AIPD publiée par la CNIL.

Points d’attention spécifiques à Personio

Module de performance et AIPD

Le module de gestion de la performance de Personio permet des évaluations systématiques des collaborateurs : objectifs, revues de performance, 360 feedbacks. Ce type de traitement figure explicitement dans la liste des traitements nécessitant une analyse d’impact publiée par la CNIL (évaluation systématique de personnes physiques fondée sur un traitement automatisé). Réalisez une AIPD avant de déployer ce module et documentez les mesures d’atténuation des risques.

Données de recrutement et droit à l’oubli

Les candidats non retenus disposent d’un droit à l’effacement. Personio doit être configuré pour supprimer automatiquement les dossiers de candidature après la durée de conservation définie. Vérifiez régulièrement que cette purge fonctionne effectivement.

Portail salarié et exercice des droits

Personio propose un portail salarié en self-service. C’est un atout pour l’exercice du droit d’accès : les salariés peuvent consulter directement une partie de leurs données. Néanmoins, le portail ne couvre pas nécessairement toutes les données (notes d’évaluation internes, par exemple). Prévoyez un processus pour répondre aux demandes d’accès portant sur des données non visibles dans le portail.

Convention collective et spécificités françaises

Si vous utilisez Personio pour la paie en France, vérifiez que la plateforme gère correctement les spécificités du droit social français : conventions collectives, primes conventionnelles, DSN, calcul des congés payés selon la méthode du maintien de salaire ou du dixième. Personio étant d’origine allemande, la couverture des spécificités françaises peut varier selon la maturité du module paie France.

FAQ

Personio est-il conforme au RGPD ? Oui. Personio est une entreprise allemande, hébergée en Union européenne (AWS Francfort), certifiée ISO 27001 et SOC 2 Type II, avec un DPA qui répond aux standards allemands en matière de protection des données. L’Allemagne ayant une tradition de protection des données particulièrement stricte, Personio bénéficie d’une culture de conformité native. Votre responsabilité en tant qu’employeur est de configurer correctement les accès, les durées de conservation et l’information des salariés.

Mon employeur peut-il accéder à toutes mes données dans Personio ? Non. Le principe de minimisation du RGPD impose que chaque utilisateur n’accède qu’aux données strictement nécessaires à ses fonctions. Le service RH accède aux données de paie et de gestion du personnel, mais un manager ne devrait accéder qu’aux informations nécessaires à la gestion de son équipe (congés, objectifs). Les données bancaires, le numéro de sécurité sociale et les motifs médicaux d’absence ne doivent pas être accessibles aux managers. Vous disposez d’un droit d’accès pour obtenir l’intégralité de vos données détenues dans Personio.

Faut-il une AIPD pour utiliser Personio ? Une AIPD n’est pas requise pour la simple gestion administrative du personnel (paie, congés, absences). En revanche, si vous utilisez le module d’évaluation des performances, une AIPD est vraisemblablement obligatoire : l’évaluation systématique de salariés fondée sur un traitement automatisé figure dans la liste des traitements nécessitant une AIPD publiée par la CNIL. De même, si vous utilisez le module de recrutement avec des critères de tri automatisés, une AIPD est recommandée.

Personio transfère-t-il des données hors de l’UE ? Non pour les traitements principaux. Personio est une entreprise allemande qui héberge ses données dans l’Union européenne (AWS Francfort). Il n’y a pas de transfert vers des pays tiers dans le cadre normal de l’utilisation de la plateforme. Vérifiez néanmoins la liste des sous-traitants ultérieurs pour vous assurer qu’aucun flux indirect n’existe vers des pays hors UE. C’est un avantage significatif par rapport aux solutions américaines comme BambooHR ou Workday.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min