Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Workday et RGPD : guide de conformité 2026
RGPD

Workday et RGPD : guide de conformité 2026

Workday est-il conforme au RGPD ? Analyse du DPA, des transferts, de la sécurité et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Workday comme sous-traitant
  2. Analyse du DPA Workday
  3. Transferts internationaux et TIA
  4. Sécurité informatique
  5. Configuration recommandée
  6. Points d’attention spécifiques à Workday
  7. FAQ

Workday est une plateforme enterprise de gestion du capital humain (HCM), de la paie, de la finance et du planning, fondée en 2005 à Pleasanton (Californie). C’est la solution de référence pour les grandes entreprises : de nombreuses sociétés du CAC 40, des ETI internationales et des administrations utilisent Workday pour centraliser la gestion de leurs effectifs. La plateforme couvre un spectre fonctionnel très large : gestion du personnel, recrutement, gestion des talents, formation, paie multi-pays, gestion financière, planning et analytics RH.

Du point de vue du RGPD, Workday présente un profil spécifique. D’un côté, c’est une entreprise américaine soumise au CLOUD Act, ce qui soulève les mêmes questions de transferts internationaux que pour BambooHR. De l’autre, Workday a une maturité de conformité incomparable avec une PME SaaS : centres de données européens (Dublin, Francfort, Amsterdam), DPA négociable, certifications multiples (ISO 27001, SOC 1, SOC 2, CSA STAR), et des équipes dédiées à la protection des données qui dialoguent quotidiennement avec des DPO d’entreprises du Fortune 500.

Le résultat est un outil utilisable en conformité avec le RGPD, mais dont la complexité des flux de données exige une documentation rigoureuse. C’est ce que ce guide détaille.

Consultez également nos analyses de PayFit et RGPD, Personio et RGPD, BambooHR et RGPD et Silae et RGPD, ainsi que notre guide RGPD par outil et notre page dédiée au RGPD et ressources humaines.

Qualification juridique : Workday comme sous-traitant

Lorsque vous utilisez Workday pour la gestion de vos ressources humaines, Workday agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise est le responsable de traitement : c’est vous qui déterminez les finalités (gestion du personnel, paie, recrutement, talent management, planning) et les moyens essentiels du traitement.

Complexité des flux dans un environnement enterprise

La qualification de Workday comme sous-traitant est claire pour les fonctionnalités principales. Néanmoins, dans un environnement enterprise, les flux de données sont plus complexes qu’avec un outil PME :

  • Multi-entités : Workday gère souvent les données de salariés répartis dans plusieurs entités juridiques, plusieurs pays. Chaque entité peut être responsable de traitement pour ses propres salariés.
  • Intégrations : Workday est rarement utilisé seul. Il est connecté à des outils de paie locaux, des ERP, des outils de formation, des plateformes de recrutement. Chaque intégration crée un flux de données à documenter.
  • Analytics et reporting : les modules de Workday Analytics et Prism Analytics traitent des données agrégées pour des finalités de pilotage RH. Ces traitements doivent être documentés séparément.

Catégories de données traitées

Workday centralise potentiellement l’ensemble des données RH d’une organisation :

  • Données d’identité : nom, prénom, date de naissance, nationalité, numéro de sécurité sociale, photo, pièce d’identité
  • Données de contact : adresse, email, téléphone (professionnel et personnel)
  • Données bancaires : IBAN, coordonnées bancaires pour la paie
  • Données de rémunération : salaire, primes, stock-options, avantages, historique complet de rémunération
  • Données de santé : arrêts maladie, accidents du travail, handicap (RQTH), aptitude médicale
  • Données familiales : situation matrimoniale, personnes à charge, congés parentaux
  • Données contractuelles : contrat, poste, classification, historique de mobilité, ancienneté
  • Données de carrière : évaluations de performance, objectifs, plans de succession, formation, compétences
  • Données de recrutement : CV, candidatures, notes d’entretien, offres
  • Données financières : notes de frais, cartes corporate, budgets RH

Personnes concernées : salariés, anciens salariés, candidats, intérimaires, prestataires externes, stagiaires.

La CNIL a rappelé dans sa sanction de 32 millions d’euros contre Amazon France Logistique (2024) que le traitement de données RH à grande échelle, combiné à des systèmes de suivi de la performance, peut constituer une surveillance excessive des salariés. Les organisations utilisant Workday pour du talent analytics doivent être particulièrement vigilantes.

Documentez chaque activité de traitement dans votre registre avec sa base légale spécifique.

Analyse du DPA Workday

Le DPA de Workday est un document enterprise négociable, ce qui est une différence majeure avec les DPA click-through des solutions PME. Les grandes organisations peuvent négocier des clauses spécifiques adaptées à leurs exigences réglementaires.

Exigence Art. 28 Couverture Workday Commentaire
Objet, durée, nature du traitement Oui Détaillé par module et par service souscrit
Instructions documentées du RT Oui Workday traite exclusivement sur instructions documentées
Confidentialité du personnel Oui Engagement de confidentialité des employés et sous-traitants
Mesures de sécurité (Art. 32) Oui Annexe sécurité très détaillée, mesures techniques et organisationnelles
Sous-traitants ultérieurs Oui Liste publiée, notification préalable avec délai d’objection
Assistance droits des personnes Oui Outils intégrés pour l’exercice des droits (export, suppression)
Suppression/restitution en fin de contrat Oui Export complet des données et suppression certifiée
Audits Oui Rapports SOC 1, SOC 2, ISO 27001 + possibilité d’audit négocié
Transferts hors UE Oui DPF + CCT + mesures supplémentaires documentées

Points forts du DPA Workday : c’est l’un des DPA les plus complets du marché SaaS. La description des mesures de sécurité est exhaustive. Les modalités d’audit sont plus flexibles que chez la plupart des éditeurs : au-delà des rapports de certification, Workday accepte des discussions d’audit détaillées avec les équipes sécurité. Pour les organisations soumises à des exigences réglementaires spécifiques (secteur financier, santé), des clauses supplémentaires sont négociables.

Point d’attention : la complexité du DPA Workday reflète la complexité de la plateforme. Assurez-vous que le périmètre du DPA couvre effectivement tous les modules que vous utilisez. Certains modules additionnels ou intégrations peuvent nécessiter des addendums spécifiques.

Transferts internationaux et TIA

Hébergement des données

Workday propose des centres de données dans l’Union européenne : Dublin (Irlande), Francfort (Allemagne) et Amsterdam (Pays-Bas). Les clients européens peuvent choisir d’héberger leurs données dans ces centres, ce qui limite considérablement les transferts vers les États-Unis.

C’est une différence significative avec BambooHR qui n’offre pas d’option de résidence européenne. Avec Workday, le flux principal de données peut rester dans l’UE.

Risques résiduels

Même avec un hébergement européen, Workday reste une entreprise américaine. Les risques suivants subsistent :

  1. CLOUD Act : le gouvernement américain peut théoriquement exiger l’accès aux données détenues par Workday, y compris celles stockées en Europe. L’Executive Order 14086 et le mécanisme de recours prévu par le DPF sont censés atténuer ce risque, mais leur effectivité fait débat.

  2. Accès administratif depuis les États-Unis : les équipes de support et d’ingénierie de Workday basées aux États-Unis peuvent avoir un accès technique aux données hébergées en Europe pour des raisons de maintenance. Ce flux constitue un transfert au sens du RGPD.

  3. Sous-traitants ultérieurs : certains sous-traitants ultérieurs de Workday peuvent être situés aux États-Unis. Vérifiez la liste et les garanties associées.

Mécanismes de transfert

Workday s’appuie sur :

  1. EU-US Data Privacy Framework (DPF) : Workday est certifié au DPF.
  2. Clauses contractuelles types (CCT) : intégrées au DPA comme mécanisme supplémentaire.
  3. Mesures supplémentaires : chiffrement, contrôles d’accès, procédures de réponse aux demandes gouvernementales documentées.

TIA : nécessaire mais structurée

Une analyse d’impact sur les transferts reste nécessaire pour documenter votre évaluation des risques. Néanmoins, la TIA pour Workday est plus favorable que pour BambooHR : hébergement européen disponible, certifications multiples, DPA négociable, équipes conformité dédiées. Documentez votre TIA et conservez-la avec votre registre des traitements.

Sécurité informatique

Workday dispose du profil de sécurité le plus robuste parmi les outils analysés dans cette série d’articles. C’est cohérent avec le positionnement enterprise de la plateforme.

Certifications

  • ISO 27001 : système de management de la sécurité de l’information
  • SOC 1 Type II : contrôles relatifs aux traitements financiers
  • SOC 2 Type II : contrôles de sécurité, disponibilité, intégrité, confidentialité
  • CSA STAR : certification Cloud Security Alliance pour la sécurité cloud
  • FedRAMP : certification pour les agences gouvernementales américaines (atteste d’un niveau de sécurité très élevé)

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 pour les données stockées
  • Gestion des clés : séparation des clés de chiffrement, option de Customer-Managed Encryption Keys (CMEK)
  • Contrôles d’accès : modèle RBAC granulaire, ségrégation des fonctions
  • Authentification : SSO (SAML 2.0, OpenID Connect), MFA, intégration avec les principaux fournisseurs d’identité
  • Journalisation : logs d’audit complets, détection des anomalies
  • Tests de sécurité : programme de bug bounty, tests de pénétration réguliers par des tiers
  • Continuité d’activité : infrastructure géo-redondante, RPO/RTO documentés

Customer-Managed Encryption Keys

Workday propose une option de clés de chiffrement gérées par le client (CMEK). Si vous activez cette option, Workday ne peut pas déchiffrer vos données sans votre clé. C’est une mesure supplémentaire significative dans le contexte des transferts internationaux et du CLOUD Act : même en cas de demande d’accès gouvernementale, les données resteraient chiffrées sans la clé que vous contrôlez.

Configuration recommandée

Voici les étapes pour configurer Workday en conformité avec le RGPD dans un environnement enterprise :

  1. Négocier et signer le DPA. Dans un contexte enterprise, le DPA doit être négocié avec les équipes juridiques de Workday. Intégrez les clauses spécifiques à vos exigences réglementaires (secteur financier, santé, etc.). Archivez le DPA signé avec votre documentation article 28.

  2. Choisir l’hébergement européen. Sélectionnez un centre de données européen (Dublin, Francfort ou Amsterdam) pour minimiser les transferts hors UE. C’est la première mesure de conformité à mettre en place.

  3. Réaliser et documenter une TIA. Même avec un hébergement européen, documentez votre analyse d’impact sur les transferts pour les accès résiduels depuis les États-Unis. Évaluez l’activation des CMEK comme mesure supplémentaire.

  4. Configurer le modèle d’accès RBAC. Workday dispose d’un modèle de rôles et permissions très granulaire. Exploitez-le pleinement : définissez des profils séparés pour les RH centraux, les RH locaux, les managers, les responsables paie, les auditeurs, les collaborateurs. Le principe de minimisation impose que chaque profil n’accède qu’aux données strictement nécessaires.

  5. Activer le SSO et le MFA. Intégrez Workday avec votre fournisseur d’identité (Azure AD, Okta, Ping) via SAML 2.0. Activez le MFA pour tous les utilisateurs. Désactivez l’authentification par mot de passe natif.

  6. Configurer les durées de conservation. Définissez les politiques de rétention par type de donnée : bulletins de paie (5 ans minimum), contrats (5 ans après fin de relation), données de candidats (2 ans), évaluations de performance (durée proportionnée). Workday permet de configurer des règles de purge automatiques. Consultez notre guide sur les durées de conservation.

  7. Documenter dans le registre des traitements. La complexité de Workday implique de documenter de nombreux traitements distincts dans votre registre : gestion du personnel, paie (par pays si multi-pays), recrutement, talent management, formation, analytics RH, notes de frais. Chacun avec sa base légale et ses durées de conservation.

  8. Informer les salariés. Rédigez une notice d’information complète mentionnant Workday comme sous-traitant, les catégories de données traitées, les finalités, les transferts éventuels vers les États-Unis et les droits des personnes (droit d’accès, rectification, effacement).

  9. Réaliser une AIPD. Pour un déploiement Workday enterprise avec des modules d’évaluation des performances, de talent analytics et de workforce planning, une AIPD est vraisemblablement obligatoire. L’évaluation systématique de salariés à grande échelle figure dans les critères de la CNIL.

  10. Mettre en place une gouvernance des intégrations. Documentez chaque intégration entre Workday et vos autres outils (ERP, paie locale, formation, recrutement). Chaque flux de données doit être identifié, chaque sous-traitant référencé dans le registre.

Points d’attention spécifiques à Workday

Complexité des flux de données

Workday est rarement un outil isolé. Il est intégré à un écosystème complexe : outils de paie locaux (comme Silae en France), ERP financier, plateformes de formation (LMS), outils de recrutement, portails employés. Chaque intégration crée un flux de données personnelles qui doit être documenté dans votre registre des traitements. C’est un exercice considérable dans un environnement enterprise multi-pays.

Talent Analytics et profilage

Les modules Workday Analytics et Prism Analytics permettent des analyses sophistiquées des données RH : prédiction du turnover, analyse des compétences, workforce planning. Ces traitements peuvent constituer du profilage au sens de l’article 22 du RGPD. Si des décisions affectant significativement les salariés sont prises ou influencées par ces analyses (promotion, mobilité, licenciement), les obligations de l’article 22 s’appliquent : information, droit d’obtenir une intervention humaine, droit de contester la décision.

Paie multi-pays

Si vous utilisez Workday pour la paie en France, assurez-vous que le module couvre les spécificités du droit social français : conventions collectives, DSN, calcul des cotisations sociales, mutuelle obligatoire, prévoyance. Workday propose des modules de paie adaptés par pays, mais leur maturité varie. Certaines organisations combinent Workday (HCM global) avec un outil de paie français local comme PayFit ou Silae.

Décommissionnement et portabilité

En cas de changement de SIRH, le volume de données stockées dans Workday rend la portabilité complexe. Négociez en amont les conditions d’export (formats, délais) et de suppression certifiée des données. L’article 28(3)(g) du RGPD impose au sous-traitant de supprimer ou restituer les données en fin de contrat.

FAQ

Workday est-il conforme au RGPD ? Oui, Workday dispose des certifications et des mécanismes nécessaires pour une utilisation conforme au RGPD : centres de données européens, DPA négociable et complet, certifications ISO 27001 et SOC 2, certification DPF pour les transferts, option de clés de chiffrement gérées par le client. La complexité réside dans la configuration et la documentation : un déploiement Workday enterprise implique des dizaines de traitements à documenter, des flux de données complexes et des intégrations multiples.

Mon employeur peut-il accéder à toutes mes données dans Workday ? Non. Workday dispose d’un modèle de contrôle d’accès granulaire (RBAC) qui permet de restreindre précisément les accès par rôle. Le service RH accède aux données de gestion du personnel, le service paie aux données salariales, les managers aux informations de gestion de leur équipe. Vos données bancaires, votre numéro de sécurité sociale et vos informations médicales ne doivent être accessibles qu’aux personnes strictement habilitées. En tant que salarié, vous disposez d’un droit d’accès à l’ensemble de vos données dans Workday.

Faut-il une AIPD pour Workday ? Dans un déploiement enterprise typique, oui. L’utilisation de Workday pour l’évaluation systématique des performances, le talent analytics, le workforce planning et la gestion de données de santé à grande échelle remplit plusieurs critères nécessitant une AIPD selon la CNIL. Une TIA (Transfer Impact Assessment) est également nécessaire si des données sont accessibles depuis les États-Unis, même avec un hébergement européen.

Workday transfère-t-il les données hors de l’UE ? Workday propose des centres de données européens (Dublin, Francfort, Amsterdam) qui permettent de stocker les données dans l’UE. Néanmoins, en tant qu’entreprise américaine, des transferts résiduels peuvent exister : accès de support depuis les États-Unis, sous-traitants ultérieurs américains. Workday est certifié au DPF et intègre les CCT dans son DPA. L’option de clés de chiffrement gérées par le client (CMEK) constitue une mesure supplémentaire significative. Comparez avec PayFit ou Personio qui, étant des entreprises européennes, éliminent cette problématique.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min