Le service des ressources humaines est l’un des principaux points d’entrée du RGPD dans une organisation. Recrutement, gestion administrative, paie, formation, évaluations, discipline, départ… À chaque étape du parcours salarié, des données personnelles sont collectées, utilisées, parfois transmises, parfois conservées pendant des années.
Le RGPD ne s’applique pas “en plus” des obligations sociales : il encadre la manière dont ces données sont traitées. Pour les RH, il ne s’agit pas seulement de conformité juridique. Il s’agit de gestion des risques, de sécurité et de confiance.
Le service RH : premier gisement de données sensibles
Les données traitées par les RH sont nombreuses et parfois particulièrement sensibles. Identité, coordonnées, situation familiale, RIB, numéro de sécurité sociale, données disciplinaires, évaluations professionnelles, parfois données de santé, voire données relatives à des mandats syndicaux.
Certaines informations relèvent de catégories particulières de données au sens du RGPD, notamment les données de santé ou les données révélant l’appartenance syndicale. Leur traitement est strictement encadré.
La première question à se poser n’est pas “est-ce que je peux les collecter ?”, mais “sont-elles nécessaires ?”.
Le principe de minimisation impose de ne collecter que les données strictement utiles à la finalité poursuivie.
Le recrutement : une zone à risque sous-estimée
Le RGPD s’applique dès la réception d’un CV.
Cela implique plusieurs obligations :
Informer les candidats sur le traitement de leurs données (durée de conservation, destinataires, droits).
Limiter la collecte aux informations pertinentes pour le poste.
Définir une durée de conservation cohérente.
En pratique, les CV des candidats non retenus ne doivent pas être conservés indéfiniment. Une durée de deux ans après le dernier contact est généralement admise, sous réserve d’information préalable.
Les prises de références, les recherches sur les réseaux sociaux ou l’usage d’outils de scoring algorithmique doivent également être encadrés. Le recrutement automatisé peut déclencher des obligations spécifiques en matière de transparence.
La gestion du personnel : formaliser les traitements
Une fois le salarié recruté, les traitements se multiplient : gestion de la paie, des absences, des temps de travail, des formations, des avantages sociaux, des entretiens annuels.
Chaque traitement doit être inscrit dans le registre des activités de traitement. Ce registre n’est pas un document administratif abstrait : c’est la cartographie vivante des pratiques RH.
Il permet de vérifier :
la base légale du traitement (obligation légale, exécution du contrat, intérêt légitime…),
la durée de conservation,
les destinataires internes et externes (expert-comptable, prestataire paie, médecine du travail…),
les mesures de sécurité mises en place.
Sans registre à jour, impossible d’avoir une vision claire des risques.
Les durées de conservation : un point critique
Les services RH conservent souvent des dossiers salariés pendant des durées très longues, parfois sans tri.
Or le RGPD impose une conservation limitée dans le temps. Cela suppose :
une politique d’archivage claire,
des délais distincts selon la nature des documents,
une distinction entre archivage intermédiaire et suppression définitive.
Par exemple, certains documents liés à la paie doivent être conservés en raison d’obligations sociales ou fiscales. D’autres documents, comme les évaluations internes, n’ont pas vocation à être conservés indéfiniment.
La difficulté n’est pas juridique. Elle est organisationnelle.
Les droits des salariés : un test de maturité RGPD
Les salariés disposent de droits : droit d’accès, de rectification, d’effacement dans certains cas, droit à la limitation.
En pratique, les demandes d’accès aux dossiers RH sont de plus en plus fréquentes, notamment en contexte conflictuel (procédure disciplinaire, licenciement, contentieux prud’homal).
L’organisation doit être capable de :
identifier les données concernées,
répondre dans les délais (un mois en principe),
vérifier l’identité du demandeur,
occulter les données relatives à des tiers si nécessaire.
Un défaut de préparation transforme souvent une simple demande d’accès en tension juridique.
La sécurité des données RH : un enjeu majeur
Les dossiers RH concentrent des informations attractives pour les cyberattaques.
Les mesures attendues ne sont pas seulement techniques. Elles sont aussi organisationnelles :
limitation des accès aux seules personnes habilitées,
traçabilité des consultations,
cloisonnement des dossiers sensibles,
sécurisation des échanges avec les prestataires,
politique de mots de passe robuste,
sauvegardes régulières.
Un accès trop large au logiciel RH est l’une des failles les plus fréquentes.
Les relations avec les prestataires : attention à la sous-traitance
Logiciel SIRH, prestataire paie, cabinet de recrutement, hébergeur cloud… Les RH travaillent avec de nombreux sous-traitants.
Le RGPD impose la signature de contrats conformes à l’article 28. Ces contrats doivent encadrer :
la nature des traitements,
les mesures de sécurité,
l’assistance en cas d’exercice de droits,
la gestion des violations de données.
L’absence de clause conforme engage la responsabilité de l’employeur.
Les contrôles internes et la culture de conformité
La conformité RH ne repose pas uniquement sur le DPO. Elle repose sur une culture interne.
Former les équipes RH, sensibiliser les managers, formaliser les procédures d’accès aux dossiers, documenter les décisions sensibles : ce sont des leviers essentiels.
Le RGPD en RH n’est pas un projet ponctuel. C’est une discipline de gestion.
Pourquoi le RGPD est stratégique pour les RH
Au-delà de la sanction, le RGPD est un outil de gouvernance. Il permet :
de clarifier les pratiques,
de sécuriser les procédures disciplinaires,
d’anticiper les contentieux,
de renforcer la confiance des salariés.
Un service RH conforme inspire confiance. Un service RH approximatif crée du risque.
La question n’est pas “sommes-nous conformes ?”.
La vraie question est : “sommes-nous capables de démontrer notre conformité ?”.
C’est cette capacité de démonstration — documentation, traçabilité, procédure — qui fait la différence en cas de contrôle ou de litige.
