RGPD et SIRH : comment sécuriser les données RH sensibles, maîtriser les durées de conservation, les bases légales, les transferts hors UE et le droit d’accès des salariés.
RGPD et données RH : les cinq non-conformités que votre DPO ne voit pas dans le SIRH

Pourquoi le RGPD appliqué aux données RH reste l’angle mort des SIRH

Dans la plupart des entreprises, le RGPD appliqué aux données RH reste moins prioritaire que la conformité marketing. Pourtant, les données personnelles issues du SIRH concentrent un volume massif d’informations sensibles sur le travail, la paie et le recrutement, avec des risques juridiques supérieurs pour chaque personne concernée. Tant que la direction des ressources humaines ne traite pas la conformité des traitements RH comme un sujet de gouvernance SIRH à part entière, la protection globale des données de l’entreprise restera fragile.

Les éditeurs comme Workday, SAP SuccessFactors, Cegid ou Lucca fournissent un système puissant de gestion des ressources humaines, mais la responsabilité du traitement des données reste chez le responsable de traitement interne au sens de l’article 4 du RGPD. Le DPO peut cadrer la protection des données et la conformité, cependant il ne maîtrise pas toujours les activités de traitement détaillées dans chaque module SIRH, ni les durées de conservation réelles appliquées aux dossiers salariés numériques. Ce décalage entre la théorie du registre des traitements et la pratique du système RH crée un angle mort que la CNIL sanctionne de plus en plus souvent, comme l’illustrent plusieurs décisions récentes visant des entreprises pour conservation excessive de données de candidats ou défaut d’information des salariés (par exemple délibération SAN-2022-021 du 10 novembre 2022 et SAN-2023-008 du 20 juillet 2023).

Le sujet dépasse largement la seule paie ou la DSN, car les données collectées couvrent la santé, la performance, les sanctions disciplinaires et les informations de recrutement. Chaque donnée à caractère personnel stockée dans le système doit être reliée à une base légale, une durée de conservation et un périmètre clair de personnes autorisées, ce qui suppose une gestion rigoureuse des droits d’accès et des logs. Sans cette discipline, le SIRH devient un empilement de données RH mal gouvernées, où la protection repose davantage sur la confiance que sur des preuves d’audit exploitables en cas de contrôle, de demande d’accès ou de contentieux prud’homal.

Durées de conservation : le talon d’Achille des dossiers salariés numériques

La première non conformité massive concerne la durée de conservation des données RH dans les dossiers salariés numériques. Dans de nombreuses entreprises, les CV de candidats non retenus restent dans le système de recrutement plus de cinq ans, alors que la CNIL recommande des durées de conservation beaucoup plus courtes pour ce type de données collectées, généralement de l’ordre de deux ans après le dernier contact. Quand les équipes de gestion des ressources humaines découvrent l’ampleur de ces conservations de données, elles réalisent que le SIRH a été configuré pour l’archivage illimité plutôt que pour l’application stricte des principes de limitation prévus à l’article 5 du RGPD.

Les solutions comme Payfit, Eurecia ou Cegid Paie gèrent correctement la conservation des bulletins de paie, mais les autres modules de gestion conservent souvent les données personnelles sans politique claire. Les informations de travail, les évaluations, les sanctions ou les données de santé restent accessibles bien au delà des durées de conservation nécessaires aux activités de traitement, ce qui fragilise la conformité et la sécurité des dossiers salariés. Un audit sérieux doit cartographier chaque donnée à caractère personnel, vérifier les règles de conservation des données paramétrées et aligner ces règles sur les recommandations de la CNIL, sur les obligations légales sectorielles et sur les prescriptions du Code du travail et du Code de la sécurité sociale, avec des durées types (par exemple 5 ans pour les documents liés au contrat de travail, 3 ans pour les sanctions disciplinaires, 2 ans pour les données de recrutement).

Pour un chef de projet SIRH, la priorité opérationnelle consiste à transformer ces principes en règles techniques dans le système, avec des purges automatiques et des anonymisations planifiées. La transition vers une gestion RH sans papier ne doit pas se limiter à la dématérialisation des dossiers salariés, mais intégrer la gouvernance des durées de conservation et des durées de conservation différenciées selon les catégories de données. Concrètement, cela passe par un paramétrage par module (recrutement, formation, temps, disciplinaire) et par type de document, avec des règles de purge comme « supprimer les CV 730 jours après le dernier contact » ou « anonymiser les évaluations de performance 36 mois après la campagne », afin que le registre des traitements ne soit plus un document théorique, mais le reflet fidèle des données système réellement stockées et des risques encourus par chaque personne concernée.

Bases légales et consentement : quand le SIRH collecte plus que nécessaire

La deuxième non conformité fréquente touche la base légale des traitements de données RH, en particulier dans les modules de performance et de talent management. De nombreuses entreprises laissent les managers saisir des notes libres sur les collaborateurs dans le système, sans information claire au salarié ni justification de ce traitement de données personnelles. Ces informations à caractère personnel deviennent alors des données collectées sans base légale solide, exposant le responsable de traitement à un risque direct en cas de contrôle ou de demande d’effacement.

Dans un SIRH comme Workday ou SAP SuccessFactors, la granularité des champs et des commentaires facilite la collecte de données très sensibles sur le travail quotidien, les opinions ou la santé, parfois sans consentement explicite ni information transparente. La conformité impose pourtant de distinguer ce qui relève de l’exécution du contrat de travail, de l’obligation légale, de l’intérêt légitime ou du consentement, et d’ajuster les activités de traitement en conséquence. Quand la protection des données n’est pas intégrée dès la conception des écrans et des workflows, la conformité des modules RH devient un exercice cosmétique, limité à quelques mentions d’information génériques dans les politiques internes, au lieu de s’appuyer sur des écrans contextualisés, des champs obligatoires justifiés et des mentions d’information accessibles directement depuis les formulaires clés.

Le DPO doit donc challenger les équipes de gestion des ressources humaines sur chaque finalité de traitement, et pas seulement sur les modules de paie ou de recrutement. La transformation numérique de la fonction RH, portée par la dématérialisation RH, doit intégrer la protection des données dès la phase de RFP et de paramétrage, en limitant les champs libres et en encadrant strictement le consentement explicite quand il est utilisé. Un SIRH mature sur la protection des données ne collecte que les informations nécessaires, les relie à une base légale documentée dans le registre et permet à chaque personne concernée de comprendre clairement le caractère personnel des informations enregistrées, via des mentions d’information accessibles depuis les écrans clés et des modèles de clauses d’information standardisés pour les campagnes d’évaluation, les enquêtes internes ou les dispositifs de suivi de la performance.

Sous traitants SIRH hors UE et transferts : la bombe à retardement contractuelle

La troisième non conformité majeure se niche dans la chaîne de sous traitance SIRH, notamment lorsque les données personnelles sont hébergées ou supportées hors de l’Union européenne. De nombreuses entreprises signent avec des éditeurs américains ou des intégrateurs offshore sans vérifier l’actualisation des clauses contractuelles types ni la réalité des mesures de protection des données. Le DPO se contente parfois d’une annexe standard, alors que les transferts de données vers des pays tiers exigent une analyse de risque approfondie, un Data Transfer Impact Assessment et des garanties supplémentaires depuis l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE, 16 juillet 2020, aff. C‑311/18).

Les grands éditeurs comme Workday ou SAP SuccessFactors proposent des engagements contractuels solides, mais les couches de sous traitants techniques, de support ou de maintenance restent souvent opaques pour la direction des ressources humaines. Chaque système connecté au SIRH, chaque API et chaque module de gestion des ressources doit être analysé comme un traitement de données personnelles distinct, avec un responsable de traitement ou un sous traitant clairement identifié et des durées de conservation adaptées. Sans cette cartographie précise des données système et des flux, la conformité repose sur des déclarations d’éditeurs plutôt que sur une maîtrise réelle des activités de traitement et des transferts internationaux, ce qui complique la réalisation d’analyses d’impact et la production de rapports de conformité en cas de contrôle.

Pour sécuriser ces enjeux, les équipes SIRH doivent intégrer la question des transferts internationaux dans la renégociation contractuelle périodique avec les éditeurs. Une checklist de clôture semestrielle SIRH, comme celle proposée pour la renégociation des contrats SIRH, peut servir de support pour vérifier la conformité, les engagements de protection des données et la mise à jour des clauses contractuelles types. La règle est simple pour un chef de projet SIRH expérimenté : pas de transfert de données à caractère personnel hors UE sans visibilité complète sur les sous traitants, les durées de conservation des données et les mécanismes de contrôle effectifs, y compris les audits, les rapports de sécurité fournis par les prestataires et un suivi d’indicateurs comme le pourcentage de sous traitants couverts par des clauses types actualisées ou le nombre de revues contractuelles réalisées chaque année.

Droit d’accès, logs et transparence salariale : le stress test final du SIRH

Les quatrième et cinquième non conformités touchent le cœur opérationnel du RGPD dans les SIRH : le droit d’accès des salariés et la traçabilité des consultations de dossiers. Beaucoup de systèmes ne permettent pas d’exporter facilement l’intégralité des données personnelles d’une personne concernée, obligeant les équipes RH à reconstituer manuellement les informations à partir de plusieurs modules. Cette incapacité technique à fournir une vision complète des données collectées en temps utile constitue un risque direct de non conformité en cas de demande formelle fondée sur les articles 12 à 15 du règlement, surtout lorsque le délai de réponse dépasse les 30 jours recommandés ou que les exports sont incomplets.

Les logs d’accès sont souvent lacunaires, ne permettant pas de savoir précisément qui a consulté quel dossier salarié et à quel moment, ce qui complique la démonstration de la protection des données en cas d’incident. Avec l’arrivée de la directive sur la transparence salariale, les systèmes de paie et de gestion des ressources humaines devront en plus traiter des données sensibles sur les écarts de rémunération femmes hommes par poste, avec des exigences accrues sur la conservation des données et sur la justification des traitements. Les éditeurs comme Lucca, Payfit ou Cegid devront adapter leurs systèmes pour offrir des exports complets, des logs détaillés et des tableaux de bord de conformité exploitables par les DPO, les responsables de traitement et les représentants du personnel, avec des indicateurs comme le délai moyen de réponse aux demandes d’accès ou le taux de couverture des journaux d’audit.

Pour un chef de projet SIRH, le test décisif consiste à simuler une demande d’accès complète d’un salarié, incluant les données de recrutement, de paie, de formation et de performance, puis à mesurer le temps nécessaire pour produire un dossier fiable. Ce stress test révèle immédiatement les failles de gestion des données, les incohérences de conservation des données et les zones grises sur le caractère personnel de certaines informations. La maturité ne se mesure pas à la beauté des écrans, mais à la capacité du système à prouver, logs à l’appui, que chaque traitement de données personnelles est justifié, limité dans le temps, traçable et compréhensible pour la personne concernée, avec un objectif opérationnel clair : être capable de produire un export complet en moins de 30 jours, sans retraitements manuels lourds et avec une traçabilité des recherches effectuées par les équipes RH.

Feuille de route SIRH pour reprendre le contrôle sur les données RH

Face à ces cinq non conformités, la tentation est forte de lancer un grand projet de conformité RGPD théorique, sans ancrage dans le paramétrage réel du SIRH. La bonne approche consiste au contraire à bâtir une feuille de route pragmatique, pilotée par le chef de projet SIRH en lien étroit avec le DPO, la DSI et la direction des ressources humaines. Chaque trimestre, l’équipe doit traiter un bloc prioritaire : durées de conservation, bases légales, transferts internationaux, droit d’accès, puis logs et sécurité, avec des livrables concrets comme des règles de purge, des modèles de mentions d’information ou des clauses contractuelles mises à jour, et des objectifs chiffrés (par exemple 80 % des modules couverts par des règles de conservation d’ici 12 mois ou 90 % des demandes d’accès traitées dans les délais).

Concrètement, cela signifie d’abord d’aligner le registre des traitements de données avec les écrans et les workflows du système, module par module, en documentant pour chaque activité de traitement les données collectées, la finalité, la durée de conservation et les profils autorisés. Les outils de core HR comme Workday, SAP SuccessFactors, Cegid ou Eurecia permettent de configurer des règles fines de conservation des données et de gestion des droits, mais ces capacités restent souvent sous exploitées faute de pilotage. Une bonne pratique consiste à créer un extrait de registre par module (paie, recrutement, formation, temps, disciplinaire) et à le faire valider conjointement par le DPO, la DRH et le responsable SIRH avant tout changement majeur, puis à suivre régulièrement des indicateurs comme le volume de données purgées chaque trimestre ou le pourcentage de profils correctement restreints.

Enfin, la gouvernance doit être clarifiée : le responsable de traitement reste l’entreprise, le DPO définit le cadre de conformité et contrôle la protection des données, mais c’est bien le chef de projet SIRH qui orchestre la traduction de ces exigences dans le système. Les comités SIRH doivent intégrer systématiquement un point sur les données RH et la conformité, au même titre que la performance de la paie ou la qualité des données de travail. La règle à garder en tête pour tout décideur RH est simple et exigeante à la fois : pas la démo, mais l’usage à dix huit mois, avec des preuves tangibles de maîtrise des traitements et des risques associés, matérialisées par des rapports d’audit, des exports de tests de droit d’accès et des tableaux de bord de conformité partagés avec la direction.

FAQ sur le RGPD et les données RH dans le SIRH

Quelles sont les données RH les plus sensibles dans un SIRH au regard du RGPD ?

Les données RH les plus sensibles dans un SIRH sont celles relatives à la santé, aux sanctions disciplinaires, aux évaluations de performance détaillées et aux éléments de rémunération individuels. Ces données personnelles présentent un caractère personnel particulièrement fort et exigent des durées de conservation limitées, des droits d’accès restreints et une traçabilité fine des consultations. Les informations issues de la transparence salariale, comme les écarts de rémunération femmes hommes par poste, entrent aussi dans cette catégorie sensible et doivent être traitées comme des données à haut risque dans l’analyse d’impact, avec des mesures de pseudonymisation, des profils d’accès dédiés et des durées de conservation strictement encadrées.

Comment définir des durées de conservation conformes pour les dossiers salariés numériques ?

La définition de durées de conservation conformes repose sur un croisement entre les obligations légales, les recommandations de la CNIL et les besoins opérationnels de l’entreprise. Pour chaque activité de traitement, il faut documenter la finalité, identifier la durée de conservation strictement nécessaire, puis paramétrer le système pour automatiser la purge ou l’anonymisation. Les durées de conservation doivent être régulièrement revues, notamment lors des évolutions réglementaires, des changements d’organisation des ressources humaines ou des mises à jour des référentiels internes de gestion documentaire, avec un suivi d’indicateurs comme le nombre de règles de purge actives, le volume de données supprimées et le pourcentage de modules couverts par une politique de conservation formalisée.

Quel est le rôle concret du DPO dans un projet SIRH ?

Le DPO définit le cadre de conformité, valide les bases légales des traitements et contrôle la protection des données, mais il ne paramètre pas directement le SIRH. Son rôle consiste à challenger les choix de gestion des données, à vérifier la cohérence entre le registre des traitements et le système, et à s’assurer que les droits des personnes concernées sont techniquement applicables. Le chef de projet SIRH reste responsable de la traduction de ces exigences dans le système, en lien avec les éditeurs et la DSI, et doit remonter au DPO tout arbitrage ayant un impact significatif sur les données personnelles, notamment lors de l’activation de nouveaux modules, de la mise en place de connecteurs ou de la modification des règles de conservation.

Comment tester le respect du droit d’accès des salariés dans le SIRH ?

Pour tester le respect du droit d’accès, il faut simuler une demande complète d’un salarié et tenter d’extraire l’ensemble de ses données personnelles depuis tous les modules du SIRH. Le temps nécessaire, la qualité des exports et la capacité à expliquer chaque traitement de données révèlent immédiatement le niveau de maturité. Un système conforme doit permettre de produire un dossier complet, lisible et justifié sans développements spécifiques ni retraitements manuels lourds, avec une traçabilité des recherches effectuées par les équipes RH, et idéalement un indicateur de performance interne visant un délai moyen de réponse inférieur à 30 jours pour 95 % des demandes.

Quels indicateurs suivre pour piloter la conformité RGPD des données RH ?

Les indicateurs clés incluent le nombre de traitements cartographiés, le pourcentage de modules SIRH couverts par des règles de conservation des données, le délai moyen de réponse aux demandes d’accès et le volume de données purgées chaque trimestre. Il est utile de suivre aussi le nombre d’incidents liés aux droits d’accès, la fréquence de mise à jour des clauses contractuelles avec les sous traitants et le taux de couverture des logs d’accès. Ces KPI doivent être partagés en comité SIRH pour ancrer la conformité dans le pilotage opérationnel de la fonction RH et nourrir les arbitrages budgétaires sur l’évolution du système, en fixant par exemple un objectif de 100 % de modules critiques couverts par des logs détaillés et des règles de purge d’ici deux ans.

Publié le