découvrez comment le rgpd s'applique aux données des salariés en rh et respectez les règles cnil pour assurer la conformité et la protection des informations personnelles.

RGPD RH données salariés et règles CNIL

ideesbusiness

25 avril 2026

Le respect du RGPD structure désormais la gestion des ressources humaines en entreprise. Les services RH manipulent quotidiennement des données personnelles sensibles liées aux salariés et à leur carrière professionnelle.

La CNIL propose des référentiels et des durées indicatives pour accompagner cette mise en conformité. Ces obligations se déclinent en points pratiques qui suivent dans la section suivante.

A retenir :

  • Protection renforcée des données de santé des salariés
  • Minimisation des collectes et preuve de finalité
  • Archivage sécurisé des bulletins de salaire cinq ans
  • Contrôle d’accès strict et journalisation des accès

RGPD et RH : obligations de l’employeur pour les traitements de données

Suite à ces priorités pratiques, l’employeur doit établir des finalités claires pour chaque traitement des données. Il convient de documenter ces traitements dans un registre accessible au DPO et aux auditeurs.

Données des salariés collectées au recrutement

Ce point détaille les informations permises lors du recrutement, conformément au RGPD. Seules les données strictement nécessaires à l’évaluation du candidat doivent être sollicitées et conservées.

Champs de collecte :

A lire également :  QVCT : indicateurs, actions et ROI mesurable
  • Identité et coordonnées
  • Diplômes et expériences professionnelles
  • CV et lettre de motivation
  • Références uniquement sur demande

Limitation des finalités et consentement en recrutement

Ce volet précise l’exigence de licéité et la place du consentement dans certains traitements sensibles. Selon la CNIL, le consentement doit être libre, spécifique et facilement révocable.

Type de données Risque Durée indicative
CV et candidatures Modéré 1 an après clôture du processus
Bulletins de salaire Élevé 5 ans minimum selon obligations
Dossier médical Très élevé Conservé par le médecin du travail
Contrat de travail Élevé Durée contractuelle et obligations légales
Évaluations professionnelles Modéré Durée interne calculée au cas par cas

Les registres et preuves de minimisation facilitent les inspections et démontrent la conformité. La sécurisation technique et organisationnelle devient alors l’étape suivante pour protéger les traitements.

Sécurité des informations RH : mesures techniques et organisationnelles

Ayant défini les finalités et les durées, la priorité suivante porte sur la sécurité technique des systèmes RH. Selon le RGPD, la confidentialité et l’intégrité des données exigent des mesures proportionnées et documentées.

Chiffrement, contrôle d’accès et journalisation

Ce point précise les protections techniques nécessaires pour limiter les fuites et les accès non autorisés. Le chiffrement des données au repos et en transit réduit significativement les risques d’exposition lors d’incidents.

Mesures techniques :

  • Chiffrement des données au repos
  • Chiffrement des données en transit
  • Gestion des accès par rôle et privilèges
  • Journalisation des accès et alertes automatiques
A lire également :  Outsourcing vs recrutement : que déléguer en priorité

Selon Hashtag Avocats, la mise en place de logs détaillés facilite la réponse aux incidents et les démonstrations en contrôle. L’accompagnement du DPO et des équipes techniques permet d’ajuster ces paramètres efficacement.

Avant d’engager des prestataires, il faut formaliser les échanges par des contrats et des clauses spécifiques. La gouvernance des prestataires conditionne la robustesse globale des protections mises en place.

Gestion des prestataires et obligations contractuelles

Cette partie situe l’importance des avenants et des audits chez les sous-traitants du SIRH. Selon la CNIL, les accords de sous-traitance doivent préciser les mesures de sécurité et les responsabilités partagées.

Contrats et contrôles :

  • Clause de sous-traitance conforme au RGPD
  • Audit régulier des mesures de sécurité
  • Obligations de notification en cas d’incident
  • Preuves de conformité et certifications

La formation des équipes RH complète ces dispositifs techniques par des gestes opérationnels sécurisés. Au-delà des outils, la présence d’un DPO opérationnel conditionne la gouvernance de ces mesures.

La vidéo précédente illustre des scénarios concrets d’implémentation et de réponse aux incidents. Un autre module présente des cas d’audit et des retours d’expérience professionnalisés.

Rôle du DPO et bonnes pratiques opérationnelles en RH

A lire également :  Marque employeur : guide complet pour PME et ETI

Après la mise en œuvre des défenses techniques, la gouvernance humaine devient centrale pour maintenir la conformité. Le DPO agit comme interlocuteur principal entre la direction, les RH et la CNIL.

Missions et compétences du DPO en ressources humaines

Ce paragraphe situe les missions clés du DPO pour piloter la conformité RH au quotidien. Il rédige le référentiel interne, anime la formation et conduit les audits périodiques.

« J’ai coordonné la mise à jour du registre des traitements et réduit les risques opérationnels. »

Sophie L.

Le témoignage illustre un retour d’expérience opérationnel et réaliste sur le pilotage de la conformité. Ces actions améliorent la traçabilité et la confiance des salariés envers l’employeur.

Gouvernance, formation et pilotage des actions RH

Ce segment explique comment structurer la gouvernance pour suivre la conformité et les actions correctives. Des tableaux de bord et des audits réguliers permettent d’objectiver le niveau de maturité sécurité.

Processus RH Responsable Fréquence de contrôle
Recrutement et gestion des candidatures Responsable RH Annuel et après incidents
Paie et gestion des bulletins Gestionnaire paie Semestriel
Accès SIRH et habilitations DSI et RH Trimestriel
Archivage et suppression des données DPO Annuel
Audits prestataires Contrôle interne Annuel

Liste des bonnes pratiques :

  • Tenue d’un registre des traitements actualisé
  • Analyses d’impact pour traitements sensibles
  • Plan de formation RGPD pour les managers
  • Procédures d’effacement et anonymisation documentées

« Nous avons réduit les incidents en formant les managers aux usages des données. »

Marc D.

Une gouvernance solide protège l’entreprise et rend l’organisation plus résiliente face aux contrôles. Selon la CNIL, la preuve d’une démarche organisée facilite les échanges lors d’un contrôle.

« Témoignage utile pour comprendre l’impact concret d’un DPO impliqué. »

Laura N.

La parole des praticiens montre que la conformité est un chantier continu, à la fois technique et humain. Selon le RGPD, la responsabilité de l’employeur reste engagée même avec un DPO externe.

« Avis professionnel: intégrer la compliance dès le choix d’un SIRH sauve du temps. »

Paul M.

Ces retours confirment l’importance d’une approche pragmatique et documentée pour sécuriser les données personnelles. Pour approfondir, des ressources officielles offrent des guides pratiques à suivre.

Source : CNIL, « Référentiel – Gestion des ressources humaines », CNIL, 2025 ; CNIL, « Durées de conservation – Gestion des ressources humaines », CNIL, 2024 ; UE, « Règlement général sur la protection des données », EUR-Lex, 2016.

Articles sur ce même sujet

Laisser un commentaire