Nous contacter
Nous contacter
RGPD et RH : protéger les données des salariés - Blog DMOuvrard
RGPD et RH : protéger les données des salariés. Open space RH, avec un DRH avec des contrats et CV en vracs sur son bureau.

RGPD et RH : données des salariés

RGPD et RH : protéger les données des salariés est essentiel pour toute entreprise. Ce guide explique les obligations légales, les principes à respecter et les actions pratiques que doivent mener les services RH.

Pourquoi c’est essentiel

La protection des données des salariés est une obligation légale et un levier de confiance. Le RGPD doit être intégré au processus RH pour protéger les données des salariés, dès leur recrutement et tout au long de leur contrat de travail. Le principe de limitation de la conservation impose aussi de ne garder les données que le temps nécessaire à la finalité du traitement.

Principes clés du RGPD appliqués aux RH

  • Finalité déterminée et légitime : chaque traitement (recrutement, vivier de CV, paie, contrôle d’accès, etc.) doit avoir une finalité claire, documentée et portée à la connaissance des personnes.
  • Base légale appropriée : choisir et documenter la base légale (exécution du contrat, obligation légale, intérêt légitime, mission d’intérêt public ou consentement – mais la question du consentement se pose rarement en RH).
  • Durée de conservation limitée : conservez les données seulement le temps nécessaire.
  • Minimisation et proportionnalité : ne collecter que les données strictement nécessaires à la finalité (ex. : le permis de conduire n’est requis que si le poste l’exige).
  • Transparence et information : information individuelle et/ou collective des personnes (mentions, Politique interne de confidentialité, registre, DPO si existant, accusé de réception pour alertes).
  • Droits des personnes : accès, rectification, effacement (selon conditions), limitation, opposition, portabilité (selon base légale).
  • Sécurité : mesures techniques et organisationnelles (authentification, habilitations, journalisation, chiffrement, sauvegardes, procédures d’incident).

Spécificités par thème (points clés et recommandations pratiques)

Recrutement

  • Finalités autorisées : apprécier la capacité à occuper l’emploi et mesurer les aptitudes professionnelles ; toute autre finalité doit être justifiée.
  • Minimisation des données : ne demandez que les informations indispensables au recrutement. La demande de documents supplémentaires qui s’avèreraient nécessaires (permis de conduire pour un poste de chauffeur) peut se faire dans un second temps. Évitez les questions non pertinentes sur la vie privée.
  • CV‑thèque / vivier : durée recommandéejusqu’à 2 ans en base active à compter du dernier contact, sauf consentement contraire ; conservation probatoire possible 5 ans pour actions en discrimination.
  • Données sensibles (santé, biométrie, appartenance syndicale) : ne collecter ces données que si une exception légale s’applique (ex. vérifications obligatoires pour certains postes).

Gestion du personnel et paie

  • Dossier du salarié : conserver pendant la durée de la relation de travail ; archivage intermédiaire possible selon obligations légales ou besoins probatoires.
  • Bulletins de paie : base active 1 mois ; archivage intermédiaire 5 ans (papier) ; si dématérialisé, règles spécifiques.
  • Sécurité des données : protéger tout particulièrement les bulletins de paie, RIB et numéros de sécurité sociale.

Durées de conservation (repères CNIL)

  • CV non retenu : jusqu’à 2 ans (vivier) ; 5 ans pour preuve en cas de discrimination.
  • Registre unique du personnel : pendant la présence dans les effectifs ; archivage 5 ans après départ.
  • Images vidéosurveillance : au maximum 1 mois (extraction et conservation séparées si procédure disciplinaire/pénale).

Alertes professionnelles (DAP)

  • Finalités : réception, vérification, enquête, protection des personnes, suites (disciplinaires/juridiques).
  • Anonymat : le système doit permettre le signalement anonyme ; ne pas tenter de réidentifier un lanceur anonyme sauf obligation légale.
  • Externalisation possible mais encadrée : définir statuts (responsable / sous‑traitant / coresponsable) et contractualiser garanties et obligations.

Vidéosurveillance

  • Zones autorisées : entrées/sorties, zones de circulation, lieux de stockage de biens de valeur ; interdit de filmer en continu les espaces de pause, toilettes, locaux syndicaux.
  • Audio : interdit en règle générale (car les microphones associés aux caméras sont très intrusifs).
  • Information : panneau visible + information individuelle des salariés ; accès restreint et journalisé.
  • Conservation des images de vidéosurveillance quelques jours et au maximum 1 mois, sauf extraction liée à une procédure.

Externalisation et responsabilités

  • Qualifier les acteurs (responsable de traitement / sous‑traitant / coresponsable de traitement) au cas par cas et documenter la justification.
  • Contrats avec sous‑traitants : inclure clauses RGPD (sécurité, restitution/destruction, audits, assistance AIPD).
  • Garanties : vérifier les garanties techniques et organisationnelles du prestataire (audits, certifications, chiffrement, localisation des données).

Checklist opérationnelle rapide (priorités immédiates)

  1. Cartographier tous les traitements RH (recrutement, paie, viviers, vidéosurveillance, géolocalisation, DAP) + tenir à jour un registre des traitements RH.
  2. Documenter finalités + base légale + durée de conservation + destinataires + mesures de sécurité.
  3. Informer : mentions d’information visibles et individuelles (recrutement, vidéosurveillance, DAP).
  4. Paramétrer l’effacement à l’échéance et la pseudonymisation pour archivage statistique.
  5. Vérifier l’externalisation : contrats conformes RGPD avec les sous‑traitants ; garanties RGPD des prestataires RH (à auditer).
  6. Mettre en place des habilitations appropriées pour limiter les accès avec des mots de passe forts, une journalisation des accès, un chiffrement des fichiers sensibles, des sauvegardes et une procédure de notification d’incident.
  7. Évaluer si une AIPD est nécessaire (elle l’est généralement en cas de profilage, de surveillance systématique, de données sensibles, de traitement à grande échelle).
  8. Former les RH et les managers sur les droits RGPD des salariés (droits d’accès, de rectification, d’opposition) et sur la manière d’y répondre.

Droits des salariés et transparence

Les salariés ont un droit d’accès, de rectification, et, dans certains cas, d’effacement de leurs données. Informez-les clairement et facilitez l’exercice de ces droits.

Points de vigilance et risques à éviter :

  • Collecte excessive de données lors du recrutement (ex. demander NIR avant une embauche définitive).
  • Conservation trop longue de ces données sans justification (viviers de candidature, images vidéosurveillance).
  • Réidentification d’un lanceur anonyme dans un DAP (interdit sauf obligation légale).
  • IA ou microphones associés aux caméras : pratique sanctionnée par la CNIL.

Besoin d’un expert en protection des données personnelles pour protéger vos donnée RH ? Contactez-nous pour un pré-diagnostic RGPD-RH gratuit via https://dmouvrard.com/nous-contacter/ ou prenez rendez-vous sur https://meet.brevo.com/mickael-ouvrard/diagnostic-flash .

Découvrez également ici l’ensemble de nos services et l’ensemble de nos formations.

Retrouvez moi sur LinkedIn