RGPD et RH : obligations de l'employeur

Les services RH traitent chaque jour des données parmi les plus sensibles de l’entreprise : bulletins de paie, évaluations de performance, arrêts maladie, données bancaires. En cas de contrôle CNIL, c’est souvent le premier périmètre examiné. Voici comment structurer la conformité RGPD de votre gestion du personnel — concrètement, étape par étape.

Quelles données RH sont concernées par le RGPD ?

Le RGPD s’applique à tout traitement de données personnelles relatif aux salariés, candidats, stagiaires et anciens collaborateurs. En pratique, cela couvre l’ensemble du cycle de vie de la relation de travail.

Les données collectées au recrutement

Lors du recrutement, l’employeur collecte des CV, lettres de motivation, résultats de tests, notes d’entretien et parfois des données issues des réseaux sociaux professionnels. Le principe de minimisation (Art. 5(1)© RGPD) impose de ne collecter que les informations strictement nécessaires à l’évaluation de la candidature. Concrètement, il est interdit de demander le numéro de sécurité sociale avant l’embauche, d’interroger sur la situation familiale ou les convictions religieuses, ou d’exiger une photographie sur le CV.

La CNIL a publié un référentiel spécifique au recrutement qui détaille les données autorisées à chaque étape du processus. Pour les entreprises qui utilisent des outils d’IA dans le recrutement, des obligations supplémentaires s’ajoutent, notamment en matière de transparence algorithmique.

Les données de gestion du personnel

Une fois le salarié embauché, le volume de données explose : état civil complet, coordonnées bancaires (RIB), numéro de sécurité sociale, données de paie, historique des congés, évaluations annuelles, données de formation, badgeage, géolocalisation des véhicules de fonction. Chacune de ces catégories doit être justifiée par une base légale appropriée.

Les données sensibles au sens de l’Art. 9

Certaines données RH relèvent de la catégorie des données sensibles : données de santé (arrêts maladie, aptitude médicale, handicap), appartenance syndicale (fichier des heures de délégation), données biométriques (contrôle d’accès par empreinte digitale). Leur traitement est interdit par principe (Art. 9(1) RGPD), sauf exceptions limitées — notamment l’exécution des obligations en matière de droit du travail et de protection sociale (Art. 9(2)(b)).

Les bases légales applicables en contexte RH

L’erreur la plus fréquente consiste à considérer que le consentement du salarié suffit à légitimer tous les traitements RH. Or, la CNIL et le Comité européen de la protection des données (EDPB) rappellent constamment que le consentement est rarement valable dans la relation employeur-salarié, en raison du déséquilibre de pouvoir (considérant 43 du RGPD).

En pratique, les bases légales mobilisées en RH sont les suivantes :

L’exécution du contrat de travail (Art. 6(1)(b)) couvre la gestion de la paie, l’administration des congés, la fourniture d’équipements de travail et l’ensemble des obligations découlant directement du contrat.

L’obligation légale (Art. 6(1)©) fonde les déclarations sociales (DSN), la tenue du registre unique du personnel, la conservation des bulletins de paie pendant 5 ans (Art. L3243-4 du Code du travail) et les déclarations fiscales.

L’intérêt légitime de l’employeur (Art. 6(1)(f)) peut justifier la vidéosurveillance des locaux (hors surveillance permanente des salariés), la gestion des habilitations informatiques ou l’organisation des évaluations annuelles — sous réserve d’une mise en balance documentée avec les droits des salariés.

Le référentiel CNIL pour la gestion RH

La CNIL a publié un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel. Ce document est la boussole de tout DPO en matière RH. Il couvre 16 finalités de traitement, du recrutement à la gestion des fins de contrat, en passant par la paie, la formation et le suivi du temps de travail.

Les 16 finalités du référentiel

Le référentiel identifie les finalités suivantes comme légitimes : le recrutement, la gestion administrative du personnel, la gestion des rémunérations et la réalisation des bulletins de paie, la mise à disposition d’outils de travail, la gestion des déclarations sociales et des relations avec les organismes sociaux, les actions de formation, la gestion des aides sociales, la réalisation d’audits et de statistiques, la gestion des contentieux et précontentieux, et le suivi des habilitations et des accès aux locaux et outils informatiques.

Pour chaque finalité, le référentiel précise les données collectables, les durées de conservation recommandées et les destinataires légitimes. C’est un guide opérationnel à suivre — pas un simple texte de référence théorique.

Durées de conservation des données RH

La durée de conservation est l’un des points les plus contrôlés en matière RH. Le référentiel CNIL et le cadre légal imposent des durées précises :

Les bulletins de paie doivent être conservés 5 ans (Art. L3243-4 du Code du travail). Le registre unique du personnel doit être conservé 5 ans après le départ du salarié. Les données de candidats non retenus doivent être supprimées au bout de 2 ans maximum après le dernier contact, sauf consentement du candidat pour une durée plus longue. Les données de badgeage et de contrôle d’accès sont conservées 3 mois en base active. Les données de vidéosurveillance sont conservées 1 mois maximum (30 jours selon la recommandation CNIL). Les documents relatifs aux accidents du travail sont conservés 5 ans.

Au-delà de ces durées, les données doivent être supprimées ou anonymisées. La simple « archive » ne suffit pas — il faut un processus de purge documenté.

Information des salariés : une obligation souvent négligée

L’Art. 13 du RGPD impose d’informer les salariés de manière claire et complète sur l’utilisation de leurs données. Cette obligation d’information est distincte du consentement — elle s’applique quelle que soit la base légale utilisée.

Les mentions obligatoires

L’information des salariés doit inclure l’identité du responsable de traitement (l’entreprise), les coordonnées du DPO le cas échéant, les finalités et bases légales de chaque traitement, les catégories de destinataires des données, les durées de conservation, les droits des salariés (accès, rectification, effacement, portabilité, opposition), le droit d’introduire une réclamation auprès de la CNIL, et l’existence éventuelle de transferts hors UE.

Les supports d’information

Dans mon expérience de conseil, les entreprises les plus efficaces utilisent une combinaison de supports : une annexe au contrat de travail détaillant les traitements principaux, une politique de confidentialité interne accessible sur l’intranet, des mentions spécifiques lors de la mise en place de nouveaux traitements (vidéosurveillance, géolocalisation, outil IA), et une note d’information affichée dans les locaux pour la vidéosurveillance.

L’absence d’information des salariés est l’un des manquements les plus fréquemment relevés lors des contrôles CNIL, et peut à elle seule justifier une sanction.

Droits des salariés sur leurs données

Les salariés bénéficient de l’ensemble des droits prévus par le RGPD. En pratique, deux droits sont exercés régulièrement en contexte RH.

Le droit d’accès (Art. 15)

Le salarié peut demander une copie de l’ensemble des données détenues à son sujet. L’employeur dispose d’un mois pour répondre (Art. 12(3) RGPD). Ce droit couvre les données de paie, les évaluations, les échanges d’emails professionnels le concernant, les données de badgeage et les notes de service. Pour structurer votre réponse, consultez notre guide pratique du droit d’accès.

Ayant travaillé 6 ans au sein de la DCSSI, je constate que les demandes d’accès en contexte RH surviennent souvent dans des situations de contentieux prud’homal. L’employeur doit y répondre dans les délais, même en cas de litige en cours — le refus constituerait un manquement supplémentaire.

Le droit à l’effacement (Art. 17)

Le droit à l’effacement est limité en contexte RH par les obligations légales de conservation. L’employeur peut légitimement refuser l’effacement des bulletins de paie (obligation légale de 5 ans), du registre unique du personnel et des documents nécessaires à la défense de ses intérêts en cas de contentieux. En revanche, les données qui ne sont plus nécessaires doivent être effectivement supprimées — par exemple, les notes d’entretien annuel d’un salarié parti depuis plus de 3 ans.

Sous-traitants RH et RGPD

Les services RH externalisent de nombreux traitements : paie (ADP, PayFit, Sage), recrutement (LinkedIn, Indeed, ATS), formation (LMS), médecine du travail. Chaque prestataire ayant accès aux données des salariés est un sous-traitant au sens du RGPD et doit être encadré par un contrat conforme à l’Art. 28 du RGPD.

Les points de vigilance

Le contrat de sous-traitance doit préciser les finalités, la nature du traitement, les catégories de données, les mesures de sécurité et les obligations en cas de violation de données. Attention particulière aux prestataires cloud américains : les données RH hébergées aux États-Unis posent la question du transfert hors UE et nécessitent des garanties appropriées (clauses contractuelles types, évaluation d’impact du transfert).

Le registre des traitements doit lister l’ensemble de ces sous-traitants RH avec les catégories de données transférées.

Cas pratiques fréquents

Vidéosurveillance des locaux

La vidéosurveillance est légale dans les locaux professionnels, mais ne peut pas filmer en continu les postes de travail des salariés. Les conditions cumulatives sont les suivantes : information préalable des salariés et du CSE, finalité légitime (sécurité des biens et des personnes), durée de conservation limitée à 30 jours, pas de caméra dans les vestiaires, salles de pause ou locaux syndicaux. La CNIL sanctionne régulièrement les employeurs qui ne respectent pas ces règles — notamment l’absence d’information des salariés.

Télétravail et surveillance à distance

Le développement du télétravail a multiplié les outils de surveillance : keyloggers, captures d’écran automatiques, surveillance de l’activité Teams ou Slack. La position de la CNIL est claire : la surveillance permanente et systématique des salariés en télétravail est disproportionnée. Les outils de contrôle doivent être proportionnés à l’objectif poursuivi, et les salariés doivent en être informés préalablement.

Géolocalisation des véhicules

La géolocalisation des véhicules de fonction est encadrée par une recommandation spécifique de la CNIL. Elle ne peut servir qu’à des finalités limitées (optimisation des tournées, sécurité, respect des obligations légales) et ne doit pas permettre un suivi continu des déplacements du salarié en dehors de ses heures de travail.

Les sanctions en matière de données RH

Les manquements au RGPD en matière RH font l’objet de sanctions régulières de la CNIL. Les motifs les plus fréquents sont le défaut d’information des salariés, la conservation excessive de données, l’absence de contrat de sous-traitance avec les prestataires de paie, la vidéosurveillance non conforme et le traitement de données sensibles sans base légale valable.

Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83 RGPD). Mais au-delà de l’amende, c’est le risque prud’homal qui est le plus concret : un salarié peut invoquer un manquement au RGPD dans le cadre d’un contentieux de licenciement ou de harcèlement pour obtenir l’écartement de preuves ou renforcer ses demandes indemnitaires.

Plan d’action : 7 étapes pour la conformité RH

Pour structurer votre mise en conformité, voici les 7 étapes essentielles :

Cartographiez vos traitements RH en listant tous les traitements de données personnelles liés au personnel dans votre registre. Vérifiez vos bases légales en vous assurant que chaque traitement repose sur une base légale valide — pas sur le consentement par défaut. Auditez vos durées de conservation en confrontant vos pratiques actuelles au référentiel CNIL et au Code du travail. Informez vos salariés en rédigeant une politique de confidentialité RH complète et en la diffusant effectivement. Encadrez vos sous-traitants en vérifiant que chaque prestataire dispose d’un contrat conforme à l’Art. 28. Sécurisez l’accès aux données en limitant l’accès aux données RH aux seules personnes habilitées — le manager n’a pas besoin de voir le RIB du salarié. Formez vos équipes RH en sensibilisant les personnes qui manipulent quotidiennement ces données aux bonnes pratiques.

C’est précisément ce type de travail de structuration que Legiscope permet d’automatiser — de la cartographie initiale au suivi continu de la conformité.

Ce qu’il faut retenir

• Le consentement du salarié est rarement une base légale valable en RH en raison du déséquilibre de pouvoir — privilégiez l’exécution du contrat, l’obligation légale ou l’intérêt légitime.
• Le référentiel CNIL pour la gestion du personnel couvre 16 finalités et constitue la référence opérationnelle pour tout DPO.
• Les durées de conservation sont strictement encadrées : 5 ans pour les bulletins de paie, 2 ans pour les données de candidats non retenus, 30 jours pour la vidéosurveillance.
• L’information des salariés est obligatoire quelle que soit la base légale — son absence est l’un des premiers motifs de sanction CNIL.
• Chaque prestataire RH (paie, recrutement, formation) doit être encadré par un contrat de sous-traitance conforme à l’Art. 28 du RGPD.

FAQ

L’employeur peut-il consulter les emails professionnels d’un salarié ?

L’employeur peut accéder aux emails envoyés et reçus depuis la messagerie professionnelle, sauf ceux identifiés comme « personnels » ou « privés ». La jurisprudence de la Cour de cassation (Cass. soc., 2 oct. 2001, Nikon) protège la correspondance privée du salarié, même sur le lieu de travail. L’ouverture de messages identifiés comme personnels nécessite la présence du salarié ou une autorisation judiciaire.

Le CSE doit-il être consulté avant la mise en place d’un outil de surveillance ?

Oui, le Code du travail (Art. L2312-38) impose la consultation du CSE avant toute mise en place d’un dispositif de contrôle de l’activité des salariés. Cela couvre la vidéosurveillance, la géolocalisation, les outils de monitoring informatique et les dispositifs biométriques. L’absence de consultation constitue un délit d’entrave.

Combien de temps peut-on conserver le dossier d’un salarié après son départ ?

Le référentiel CNIL recommande de conserver les données administratives du salarié 5 ans après son départ (prescription des actions en matière de droit du travail). Les données de paie suivent leur propre régime de conservation (5 ans minimum). Au-delà, seules les données nécessaires pour répondre à un contentieux en cours peuvent être conservées, et elles doivent être archivées dans un espace à accès restreint.

Le salarié peut-il refuser la géolocalisation de son véhicule de fonction ?

Le salarié ne peut pas s’opposer à la géolocalisation si elle est justifiée par une finalité légitime et proportionnée. En revanche, la géolocalisation doit être désactivable en dehors des heures de travail, et elle ne peut pas être utilisée pour contrôler le respect des limitations de vitesse (sauf obligation légale spécifique). Le salarié doit être informé individuellement avant la mise en place du dispositif.