Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Silae et RGPD : guide de conformité 2026
RGPD

Silae et RGPD : guide de conformité 2026

Silae est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202614 min de lecture
Sommaire
  1. Qualification juridique : la chaine de sous-traitance Silae
  2. Analyse du DPA Silae
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée
  6. Points d’attention spécifiques à Silae
  7. FAQ

Silae est le logiciel de paie de référence utilisé par les cabinets d’expertise comptable en France. Contrairement à PayFit, qui s’adresse directement aux entreprises, ou à Workday, qui cible les grands groupes, Silae se positionne sur un segment spécifique : la paie externalisée gérée par les cabinets comptables pour le compte de leurs clients. L’outil est spécialisé dans les spécificités du droit social français : éditions des bulletins de paie, génération des DSN (Déclaration Sociale Nominative), gestion des cotisations URSSAF, mutuelle obligatoire, prévoyance, congés payés, et l’ensemble des déclarations sociales.

Du point de vue du RGPD, Silae présente une particularité essentielle : le schéma de sous-traitance est plus complexe que celui d’un outil RH classique. Lorsque votre cabinet comptable utilise Silae pour gérer votre paie, la chaîne de traitement comporte trois maillons : votre entreprise (responsable de traitement), le cabinet comptable (sous-traitant), et Silae (sous-traitant ultérieur du cabinet). C’est l’application directe de l’article 28(2) et (4) du RGPD sur les sous-traitants ultérieurs, et c’est souvent un point aveugle de la conformité.

La bonne nouvelle : Silae est une entreprise française, hébergée en France, spécialisée dans la paie française. Il n’y a pas de problématique de transfert international. Le risque principal réside dans la documentation de la chaîne de sous-traitance et dans la répartition des responsabilités entre vous, votre cabinet comptable et Silae.

Consultez également nos analyses de PayFit et RGPD, Personio et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dédiée au RGPD et ressources humaines.

Qualification juridique : la chaine de sous-traitance Silae

Le schéma à trois niveaux

C’est la spécificité majeure de Silae par rapport aux autres outils RH. Voici la chaîne de traitement typique :

  1. Votre entreprise = responsable de traitement (RT). Vous déterminez les finalités (gestion de la paie de vos salariés) et confiez le traitement à votre cabinet comptable.

  2. Le cabinet d’expertise comptable = sous-traitant au sens de l’article 28 du RGPD. Le cabinet traite les données de paie de vos salariés sur vos instructions et pour votre compte.

  3. Silae = sous-traitant ultérieur (sub-processor) au sens de l’article 28(2) et (4) du RGPD. Silae fournit l’outil technique utilisé par le cabinet pour exécuter le traitement de paie.

Obligations liées à la sous-traitance ultérieure

L’article 28(2) du RGPD impose au sous-traitant (le cabinet comptable) d’obtenir l’autorisation écrite préalable du responsable de traitement (votre entreprise) avant de recourir à un sous-traitant ultérieur (Silae). Cette autorisation peut être :

  • Spécifique : vous autorisez explicitement votre cabinet à utiliser Silae pour la paie.
  • Générale : vous donnez une autorisation générale à votre cabinet de recourir à des sous-traitants ultérieurs, avec un mécanisme de notification et de droit d’objection.

L’article 28(4) précise que le sous-traitant ultérieur (Silae) doit être soumis aux mêmes obligations que celles imposées au sous-traitant (le cabinet) dans le contrat avec le responsable de traitement.

En pratique, cela signifie que trois contrats doivent être en place :

  • Un contrat de sous-traitance entre votre entreprise et le cabinet comptable (Art. 28)
  • Un contrat de sous-traitance ultérieure entre le cabinet comptable et Silae (Art. 28(4))
  • Une autorisation de votre entreprise pour le recours à Silae comme sous-traitant ultérieur (Art. 28(2))

Catégories de données traitées

Les données transitant dans la chaîne entreprise-cabinet-Silae sont les données de paie, parmi les plus sensibles :

  • Données d’identité : nom, prénom, date de naissance, lieu de naissance, nationalité, numéro de sécurité sociale
  • Données de contact : adresse postale
  • Données bancaires : IBAN pour le virement des salaires
  • Données de rémunération : salaire brut et net, primes, heures supplémentaires, avantages en nature
  • Données de santé : arrêts maladie, mi-temps thérapeutiques, accidents du travail, RQTH
  • Données familiales : situation matrimoniale, enfants à charge (pour les congés et la mutuelle)
  • Données contractuelles : type de contrat, convention collective, classification, ancienneté
  • Données sociales : affiliation mutuelle, prévoyance, cotisations sociales
  • Données syndicales : heures de délégation le cas échéant

Personnes concernées : salariés et anciens salariés de l’entreprise cliente.

Ces données incluent des données sensibles au sens de l’article 9 (données de santé, potentiellement affiliation syndicale). Elles doivent être inscrites dans votre registre des traitements avec l’identification de chaque acteur de la chaîne.

Analyse du DPA Silae

L’analyse du DPA pour Silae est doublement pertinente : il faut évaluer le contrat entre le cabinet comptable et Silae (DPA de sous-traitance ultérieure) et vérifier que votre propre contrat avec le cabinet comptable couvre le recours à Silae.

Contrat cabinet-Silae

Exigence Art. 28 Couverture Silae Commentaire
Objet, durée, nature du traitement Oui Défini par les services de paie souscrits
Instructions documentées Oui Silae traite selon les instructions du cabinet
Confidentialité du personnel Oui Engagement de confidentialité des employés Silae
Mesures de sécurité (Art. 32) Oui Mesures techniques et organisationnelles documentées
Sous-traitants ultérieurs de Silae Oui Liste des éventuels sous-traitants de Silae
Assistance droits des personnes Oui Silae aide le cabinet à répondre aux demandes transmises par le RT
Suppression/restitution en fin de contrat Oui Restitution des données et suppression après résiliation
Audits Oui Rapports de sécurité disponibles
Transferts hors UE Non applicable Hébergement 100% France

Contrat entreprise-cabinet

C’est souvent le maillon faible. Beaucoup de cabinets comptables ont des lettres de mission qui prédatent le RGPD et ne contiennent pas les clauses requises par l’article 28. Vérifiez que votre contrat avec le cabinet comptable contient :

  • La description du traitement confié (paie, déclarations sociales)
  • Les obligations du cabinet en tant que sous-traitant
  • L’autorisation de recourir à Silae comme sous-traitant ultérieur
  • Les mesures de sécurité imposées
  • Les modalités d’exercice des droits des salariés
  • Les conditions de restitution et suppression des données en fin de contrat

Si votre lettre de mission ne contient pas ces clauses, il est nécessaire de la compléter par un avenant ou un contrat de sous-traitance séparé conforme à l’article 28.

Transferts internationaux et TIA

Hébergement en France

Silae héberge l’intégralité des données de ses clients en France. L’entreprise étant française et spécialisée dans la paie française, il n’y a aucune raison technique ou commerciale de transférer des données hors du territoire national.

C’est le meilleur scénario possible en matière de transferts internationaux : pas de transfert, pas de TIA nécessaire, pas de risque lié au CLOUD Act ou au FISA 702.

Comparaison avec les solutions americaines

Par rapport à BambooHR (hébergement US) ou même Workday (entreprise US avec centres de données EU), Silae offre la situation la plus favorable du point de vue du RGPD pour les transferts. Les données de paie de vos salariés français restent en France, sous juridiction française et européenne, sans aucun accès possible par des autorités de pays tiers.

Flux vers les organismes sociaux

Les données transmises par Silae aux organismes sociaux français (URSSAF, caisses de retraite, mutuelles, prévoyance) via la DSN ne constituent pas des transferts hors UE. Ce sont des transmissions à des destinataires autorisés par la loi, fondées sur des obligations légales (Art. 6(1)© du RGPD).

Sécurité informatique

Les données de paie traitées par Silae exigent un niveau de sécurité maximal. Un bulletin de paie contient simultanément le numéro de sécurité sociale, l’IBAN, le salaire, et potentiellement des informations sur les arrêts maladie. Une violation de données sur un outil comme Silae aurait des conséquences graves pour les salariés concernés.

Mesures de securite

Silae met en oeuvre des mesures de sécurité adaptées à la sensibilité des données traitées :

  • Hébergement sécurisé : centres de données en France avec certifications appropriées
  • Chiffrement en transit : TLS pour les communications
  • Chiffrement au repos : chiffrement des données stockées
  • Contrôles d’accès : gestion des droits par cabinet et par dossier client
  • Authentification : contrôle d’accès sécurisé pour les utilisateurs des cabinets
  • Journalisation : traçabilité des accès et des opérations
  • Sauvegardes : plans de sauvegarde et de continuité d’activité

Responsabilité partagée à trois niveaux

La sécurité dans le schéma Silae est une responsabilité partagée à trois niveaux :

  1. Silae est responsable de la sécurité de l’infrastructure et de l’application.
  2. Le cabinet comptable est responsable de la sécurité de ses accès à Silae, de la configuration des droits de ses collaborateurs, et de la sécurité de son propre système d’information.
  3. L’entreprise cliente est responsable de la sécurité des données qu’elle transmet au cabinet (par quel canal ? email non chiffré ? plateforme sécurisée ?).

Un point de vigilance fréquent : les données de paie sont souvent transmises par email entre l’entreprise et le cabinet comptable. L’envoi de tableaux Excel contenant les variables de paie (salaires, primes, arrêts maladie, IBAN) par email non chiffré est une pratique à risque. Privilégiez un portail sécurisé ou un outil de transfert chiffré.

Configuration recommandée

Voici les étapes essentielles pour assurer la conformité RGPD de la chaîne entreprise-cabinet-Silae :

  1. Vérifier le contrat de sous-traitance avec votre cabinet. Assurez-vous que votre lettre de mission ou un avenant spécifique contient les clauses requises par l’article 28 du RGPD. Si le contrat prédate mai 2018, il est probablement incomplet.

  2. Vérifier l’autorisation de sous-traitance ultérieure. Votre contrat avec le cabinet doit autoriser explicitement (ou généralement avec notification) le recours à Silae comme sous-traitant ultérieur (Art. 28(2)). Demandez à votre cabinet la confirmation écrite que Silae est utilisé et qu’un contrat conforme à l’article 28(4) est en place entre le cabinet et Silae.

  3. Documenter la chaîne dans votre registre. Dans votre registre des traitements, identifiez clairement : le traitement (gestion de la paie), le sous-traitant (cabinet comptable), le sous-traitant ultérieur (Silae), les catégories de données, la base légale (exécution du contrat de travail + obligations légales), et les durées de conservation.

  4. Sécuriser les transferts de données vers le cabinet. Ne transmettez jamais de variables de paie par email non chiffré. Utilisez le portail sécurisé de votre cabinet s’il en propose un, ou un outil de transfert de fichiers chiffré. Les données transmises incluent des IBAN, des numéros de sécurité sociale et des informations médicales.

  5. Définir les durées de conservation. Clarifiez avec votre cabinet les règles de conservation : bulletins de paie (5 ans minimum côté employeur, recommandé 50 ans pour les droits à la retraite), données des salariés sortis (archivage puis suppression selon les obligations légales). Assurez-vous que Silae et le cabinet purgent les données conformément à ces durées.

  6. Informer les salariés. Votre notice d’information (Art. 13-14 RGPD) doit mentionner que la paie est gérée par votre cabinet comptable (sous-traitant) qui utilise Silae (sous-traitant ultérieur). Indiquez les finalités, les catégories de données, les durées de conservation, et les droits des salariés (droit d’accès, rectification, effacement dans les limites légales).

  7. Organiser la réponse aux droits des salariés. Quand un salarié exerce son droit d’accès, la demande est adressée à l’employeur (RT), qui la transmet au cabinet, qui interroge Silae si nécessaire. Ce circuit doit être organisé en amont pour respecter le délai de réponse d’un mois prévu par le RGPD.

  8. Évaluer la nécessité d’une AIPD. Pour la simple gestion de la paie, une AIPD n’est généralement pas requise. En revanche, si le cabinet utilise Silae pour un volume important de dossiers (des centaines d’entreprises), la question de l’AIPD se pose du côté du cabinet en tant que sous-traitant traitant des données de santé à grande échelle.

Points d’attention spécifiques à Silae

Le point aveugle de la chaîne de sous-traitance

C’est le risque principal. Beaucoup d’entreprises signent une lettre de mission avec leur cabinet comptable sans jamais se demander quel outil le cabinet utilise pour la paie. Elles ne savent pas que Silae est impliqué dans le traitement, n’ont pas autorisé le recours à un sous-traitant ultérieur, et n’ont pas documenté la chaîne dans leur registre. C’est une non-conformité fréquente et facilement détectable en cas de contrôle de la CNIL.

Changement de cabinet comptable

Lorsque vous changez de cabinet comptable, les données de paie doivent être transmises de l’ancien cabinet (et donc de l’ancien espace Silae) au nouveau. Ce transfert doit être encadré : restitution des données par l’ancien cabinet, suppression des données par l’ancien cabinet dans un délai raisonnable après la migration, vérification de l’intégrité des données reprises par le nouveau cabinet.

Accès direct du dirigeant à Silae

Certains cabinets comptables donnent un accès direct à Silae au dirigeant de l’entreprise cliente (consultation des bulletins de paie, saisie des variables). Cet accès doit être documenté et sécurisé : mot de passe robuste, accès limité aux seules fonctionnalités nécessaires, journalisation.

DSN et traitements automatisés

La génération de la DSN par Silae implique des transmissions automatisées de données personnelles vers les organismes sociaux (URSSAF, caisses de retraite, mutuelles). Ces transmissions sont fondées sur des obligations légales mais doivent être documentées dans votre registre des traitements comme transmissions à des destinataires tiers.

Les données de paie traitées par Silae sont exportées vers des logiciels comptables comme Sage, ajoutant un maillon à la chaîne de sous-traitance.

Responsabilité en cas de violation de données

En cas de violation de données impliquant Silae, la chaîne de notification est : Silae notifie le cabinet comptable, le cabinet notifie l’entreprise cliente, l’entreprise notifie la CNIL (dans les 72 heures) et les personnes concernées si le risque est élevé. Ce circuit doit être prévu contractuellement et testé en amont. Le délai de 72 heures court à compter de la connaissance de la violation par le responsable de traitement – pas par Silae.

FAQ

Silae est-il conforme au RGPD ? Oui, Silae est une entreprise française, hébergée en France, sans transfert de données hors UE. C’est la situation la plus favorable du point de vue des transferts internationaux. Néanmoins, la conformité globale dépend de l’ensemble de la chaîne : votre contrat avec le cabinet comptable doit être conforme à l’article 28, le contrat du cabinet avec Silae doit respecter l’article 28(4), et vous devez avoir autorisé le recours à Silae comme sous-traitant ultérieur.

Mon employeur peut-il accéder à toutes mes données dans Silae ? L’employeur, en tant que responsable de traitement, a un accès légitime aux données de paie de ses salariés dans la mesure nécessaire à la gestion de l’entreprise. Néanmoins, certaines données (motifs médicaux précis des arrêts maladie, par exemple) ne doivent pas être accessibles à tous les acteurs. En tant que salarié, vous disposez d’un droit d’accès à l’ensemble de vos données de paie. La demande doit être adressée à votre employeur, qui la transmettra si nécessaire au cabinet comptable.

Mon cabinet comptable a-t-il le droit d’utiliser Silae pour ma paie ? Oui, à condition que votre contrat avec le cabinet (lettre de mission ou avenant) autorise le recours à des sous-traitants ultérieurs. L’article 28(2) du RGPD exige cette autorisation préalable, sous forme spécifique (vous autorisez nommément Silae) ou générale (vous autorisez le cabinet à recourir à des sous-traitants avec un mécanisme de notification). Si cette autorisation n’existe pas dans votre contrat, c’est une non-conformité à corriger.

Combien de temps les données sont-elles conservées dans Silae ? Les durées de conservation des données de paie sont encadrées par le droit du travail et le droit social : bulletins de paie (5 ans minimum pour l’employeur, recommandé 50 ans pour les droits à la retraite), registre unique du personnel (5 ans après le départ du salarié), données de déclaration sociale (selon les organismes destinataires). Votre cabinet comptable doit appliquer ces durées dans Silae et purger les données à l’expiration. Consultez notre guide complet sur la durée de conservation des données.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min