HR Engagement in Data Protection: A Strategic and Legal Imperative

Human Resources (HR) are at the core of a company’s operations. And equally… at the core of personal data.

‍

CVs, payslips, sick leave certificates, performance reviews, disciplinary actions—everything flows through HR.

‍

The result? HR departments are on the front line when it comes to complying with both labor law and the GDPR. Their role is no longer purely administrative: they have become guardians of digital trust within the organization.

‍

‍

Key definitions

‍

‍

HR Personal Data

• Any information that can identify an employee or a candidate: CVs, email addresses, social security numbers, diplomas…
• In HR, almost everything qualifies as personal data.

‍

Sensitive Data

• Health, trade union membership, biometric data, criminal records—these touch the very core of private life.
• Their processing is strictly regulated under the GDPR.

‍

Data Controller

• The employer = data controller
• Payroll provider, recruitment agency, HRIS vendor = data processors

‍

‍

HR Obligations under Labor Law

‍

‍

Well before the GDPR, labor law had already established strict rules:

‍

• Confidentiality: employee records must not circulate freely; only authorized personnel can access them.
• Retention periods: payslips = 5 years; employment contracts = 5 years after termination; CVs = 2 years maximum.
• Security: obligation to protect information from loss, unauthorized access, or accidental exposure (e.g., forgotten files in an open cabinet).
• Employee access: every employee has the right to access their file, evaluations, and payslips.

‍

Even at this stage, poorly managed HR processes can generate legal risks.

‍

‍

RGPD : ce qui change pour les RH

‍

‍

Avec le RGPD, les obligations sont montées d’un cran :

‍

Transparence et information

‍

• Dire au salarié pourquoi ses données sont collectées
  
• Expliquer combien de temps elles sont conservées
  
• Nommer les destinataires : internes (paie, managers) et externes (prestataire paie, mutuelle)
  
  

Droits des personnes

‍

• Accès : un salarié a le droit d’obtenir une copie de ses données
  
• Rectification : corriger une erreur administrative immédiatement
  
• Effacement : supprimer les données à la fin du délai légal
  
• Opposition : un candidat peut refuser la réutilisation de son CV
  
  

Registre des traitements

‍

• Tous les traitements RH doivent apparaître dans le registre RGPD : recrutement, paie, formation, santé
  
• Rien ne doit être oublié
  
  

Sécurité et confidentialité

‍

• Cloisonner les données sensibles
  
• Restreindre les accès (RH ≠ managers)
  
• Mettre en place des procédures en cas de fuite (mail envoyé au mauvais destinataire par ex.)
  
  

‍

Cas d’usage concrets

‍

‍

Recrutement :

‍
Une pile de CV reçus. Le réflexe RH pour être en conformité ?
✅ Conserver uniquement les CV retenus pour le poste
✅ Supprimer ou anonymiser les autres après 2 ans

Paie :

‍
Un cabinet de paie traite vos données. Le contrat doit prévoir :
✅ Confidentialité
✅ Sécurité
✅ Notification en cas de fuite

Santé :

‍
Arrêts maladie ou certificats médicaux ?
✅ Accès limité au service paie, pas aux managers
✅ Secret médical respecté
‍

‍

Bonnes pratiques pour les RH

‍

‍

Pour les équipes RH au quotidien

‍

• Cartographier tous vos traitements RH
  
• Planifier la suppression des données selon les durées légales
  
• Informer clairement les salariés et les candidats : formulaires avec mentions d’informations, intranet, clauses contractuelles
  
• Former les équipes RH à la sécurité des données
  
• Interdire l’envoi de bulletins par mail non sécurisé
  
  

Pour les DPO et RSSI qui accompagnent les RH

‍

• Inclure les RH dans le registre des traitements, leur donner un accès direct à votre registre pour les rendre autonome dans la complétude, avoir un logiciel peut vous aider
  
• Réaliser un PIA (analyse d’impact) pour les traitements sensibles (ex. vidéosurveillance, outils de suivi de performance)
  
• Sensibiliser régulièrement aux risques : mails mal envoyés, fichiers non chiffrés, archives trop longues
  
• Choisir un SIRH conforme au RGPD : chiffrement, accès limités, traçabilité
  ‍

‍

Pour conclure, les RH ne sont pas qu’un service support : ce sont des acteurs clés de la confiance numérique dans l’entreprise

‍

‍

Ils manipulent les données les plus sensibles.
Ils peuvent aussi bien être la cause d’une sanction CNIL… ou la preuve de la maturité RGPD de l’organisation.
Ils doivent être accompagnés par les DPO et RSSI pour transformer la contrainte en avantage compétitif.

Pour les CEO, c’est une évidence : la mobilisation des métiers RH en matière de privacy est une condition stratégique de réputation et de compétitivité.

‍

‍

FAQ – RH et protection des données

‍

‍

Quelles données peuvent être traitées par les RH ?

CV, bulletins de paie, contrats, absences, évaluations, données de santé…

‍

Combien de temps conserver un CV ? 

Le RGPD recommande une durée maximale de 2 ans après le dernier contact avec le candidat, sauf accord explicite pour une conservation plus longue. L’organisme peut également faire le choix de ne pas conserver plus de 6 mois les CV. Une durée inférieure déclarée devra dans tous les cas être respectée.

‍

Un salarié peut-il demander la suppression immédiate de ses données RH ?

Non, tant que les délais légaux de conservation s’appliquent une demande de suppression n’est pas systématique, les durées légales (provenant du code du travail par exemple) sont supérieures et doivent être respectées.

‍

Quels outils choisir ?

Un SIRH conforme au RGPD, avec chiffrement, accès restreints et traçabilité.

‍

Le DPO doit-il accompagner les RH ?

‍Oui. Les RH font partie des services les plus sensibles, un accompagnement est indispensable. Le travail collaboratif permettra de débloquer de nombreuses situations.

‍

Peut-on transmettre des arrêts maladie aux managers ?

Non. Les arrêts maladie contiennent des données de santé, qui sont des données sensibles. Ils ne doivent être traités que par les personnes habilitées (RH/paie).

‍

Est-il obligatoire de chiffrer les bulletins de paie ?

Oui, il est fortement recommandé. Les bulletins doivent être transmis via un canal sécurisé (portail RH, coffre-fort numérique), et non par simple email.

‍

Quels droits les salariés peuvent exercer auprès des RH ?

• Accès : demander l’ensemble de leurs données RH
  
• Rectification : corriger une erreur (adresse, numéro de sécu, RIB)
  
• Effacement : suppression après départ, quand la conservation n’est plus obligatoire
  
• Limitation : suspension temporaire du traitement
  
• Opposition : ex. à certaines statistiques internes
  
  

Quelles sont les obligations légales de conservation des données RH ?

• Bulletins de paie : Article L3243-4 du Code du travail : l’employeur doit conserver un double des bulletins de paie pendant 5 ans
  
• Documents liés aux contrats de travail : Article 2224 du Code civil : prescription de droit commun de 5 ans pour les actions relatives à l’exécution ou la rupture du contrat de travail
  
• Données de paie pour retraite : Article D.123-5 du Code de commerce : les pièces comptables (incluant bulletins et documents de paie nécessaires pour la retraite) doivent être conservées pendant 50 ans ou jusqu’aux 75 ans du salarié
  
• Dossiers disciplinaires : Article L1332-5 du Code du travail : une sanction disciplinaire est effacée du dossier du salarié au bout de 3 ans si aucune nouvelle sanction n’a été prononcée

‍

Ces obligations légales doivent être croisées avec le principe du RGPD de limitation de la conservation (article 5.1.e), pour éviter les excès : on conserve ce qui est obligatoire, pas plus.

‍

Les RH doivent-ils former leurs équipes au RGPD ?

Oui. La sensibilisation des collaborateurs RH est une exigence de la CNIL et une bonne pratique essentielle pour éviter les erreurs humaines (envoi au mauvais destinataire, stockage excessif, etc.).

‍

Quels outils RH sont considérés comme conformes au RGPD ?

Les outils doivent intégrer :

‍

• L'hébergement en UE ou équivalent
  
• Des paramétrages sur la confidentialité des données et les droits d’accès
  
• Des durées de conservation automatiques
  
• Un registre des actions (traçabilité)
  
  

Que faire en cas de fuite de données RH ?

• Informer la DPO / RSSI immédiatement
  
• Évaluer le risque pour les salariés concernés
  
• Notifier la CNIL sous 72h si nécessaire
  
• Prévenir les salariés si la fuite présente un risque élevé (ex. divulgation des RIB