Blog
GDPR compliance and best practices

La mobilisation des RH dans la protection des données : un enjeu stratégique et légal

Les RH gèrent quotidiennement des données sensibles et doivent respecter le Code du travail et le RGPD. Les risques incluent fuite de données, conservation abusive et perte de confiance. Avec Adequacy, elles sécurisent leurs traitements, respectent les durées légales et renforcent la confiance et la compétitivité.

By
Guillemette Songy
Share this article
Ressources Humaines focus sur l'humain analyse

Les Ressources Humaines sont au cœur de la vie d’une entreprise. Et aussi… au cœur des données personnelles.

CV, bulletins de paie, arrêts maladie, évaluations annuelles, sanctions disciplinaires : tout transite par ce service.

Résultat ? Les RH sont exposés en première ligne aux obligations du Code du travail et du RGPD. Leur rôle n’est pas seulement administratif : ils deviennent garants de la confiance numérique au sein de l’organisation.

Définitions clés

Données personnelles du service des Ressources Humaines (RH)

  • Toute information qui permet d’identifier un salarié ou un candidat : CV, email, numéro de sécurité sociale, diplôme…
  • Dans les données RH, tout ou presque relève de la donnée personnelle

Données sensibles

  • Santé, appartenance syndicale, données biométriques, infractions : ici, on touche au cœur de la vie privée
  • Leur traitement est strictement encadré par le RGPD

Responsable de traitement

  • L’employeur = responsable de traitement
  • Le prestataire paie, le cabinet de recrutement, l’éditeur du SIRH = sous-traitants

Les obligations pour les RH prévues par le Code du travail

Bien avant le RGPD, le Code du travail imposait déjà des règles :

  • Confidentialité : les dossiers salariés ne doivent pas circuler librement. Seules les personnes habilitées y accèdent
  • Durées légales : un bulletin de paie = 5 ans. Un contrat de travail = 5 ans après le départ. Un CV = 2 ans maximum
  • Sécurité : obligation de protéger les informations contre la perte, l’accès non autorisé, l’oubli dans une armoire ouverte
  • Accès salarié : chaque salarié peut consulter son dossier, ses évaluations, ses bulletins

Déjà ici, un RH mal organisé peut générer un risque juridique.

RGPD : ce qui change pour les RH

Avec le RGPD, les obligations sont montées d’un cran :

Transparence et information

  • Dire au salarié pourquoi ses données sont collectées
  • Expliquer combien de temps elles sont conservées
  • Nommer les destinataires : internes (paie, managers) et externes (prestataire paie, mutuelle)

Droits des personnes

  • Accès : un salarié a le droit d’obtenir une copie de ses données
  • Rectification : corriger une erreur administrative immédiatement
  • Effacement : supprimer les données à la fin du délai légal
  • Opposition : un candidat peut refuser la réutilisation de son CV

Registre des traitements

  • Tous les traitements RH doivent apparaître dans le registre RGPD : recrutement, paie, formation, santé
  • Rien ne doit être oublié

Sécurité et confidentialité

  • Cloisonner les données sensibles
  • Restreindre les accès (RH ≠ managers)
  • Mettre en place des procédures en cas de fuite (mail envoyé au mauvais destinataire par ex.)

Cas d’usage concrets

Recrutement :


Une pile de CV reçus. Le réflexe RH pour être en conformité ?
✅ Conserver uniquement les CV retenus pour le poste
✅ Supprimer ou anonymiser les autres après 2 ans

Paie :


Un cabinet de paie traite vos données. Le contrat doit prévoir :
✅ Confidentialité
✅ Sécurité
✅ Notification en cas de fuite

Santé :


Arrêts maladie ou certificats médicaux ?
✅ Accès limité au service paie, pas aux managers
✅ Secret médical respecté


Bonnes pratiques pour les RH

Pour les équipes RH au quotidien

  • Cartographier tous vos traitements RH
  • Planifier la suppression des données selon les durées légales
  • Informer clairement les salariés et les candidats : formulaires avec mentions d’informations, intranet, clauses contractuelles
  • Former les équipes RH à la sécurité des données
  • Interdire l’envoi de bulletins par mail non sécurisé

Pour les DPO et RSSI qui accompagnent les RH

  • Inclure les RH dans le registre des traitements, leur donner un accès direct à votre registre pour les rendre autonome dans la complétude, avoir un logiciel peut vous aider
  • Réaliser un PIA (analyse d’impact) pour les traitements sensibles (ex. vidéosurveillance, outils de suivi de performance)
  • Sensibiliser régulièrement aux risques : mails mal envoyés, fichiers non chiffrés, archives trop longues
  • Choisir un SIRH conforme au RGPD : chiffrement, accès limités, traçabilité


Pour conclure, les RH ne sont pas qu’un service support : ce sont des acteurs clés de la confiance numérique dans l’entreprise

Ils manipulent les données les plus sensibles.
Ils peuvent aussi bien être la cause d’une sanction CNIL… ou la preuve de la maturité RGPD de l’organisation.
Ils doivent être accompagnés par les DPO et RSSI pour transformer la contrainte en avantage compétitif.

Pour les CEO, c’est une évidence : la mobilisation des métiers RH en matière de privacy est une condition stratégique de réputation et de compétitivité.

FAQ – RH et protection des données

Quelles données peuvent être traitées par les RH ?

CV, bulletins de paie, contrats, absences, évaluations, données de santé…

Combien de temps conserver un CV ? 

Le RGPD recommande une durée maximale de 2 ans après le dernier contact avec le candidat, sauf accord explicite pour une conservation plus longue. L’organisme peut également faire le choix de ne pas conserver plus de 6 mois les CV. Une durée inférieure déclarée devra dans tous les cas être respectée.

Un salarié peut-il demander la suppression immédiate de ses données RH ?

Non, tant que les délais légaux de conservation s’appliquent une demande de suppression n’est pas systématique, les durées légales (provenant du code du travail par exemple) sont supérieures et doivent être respectées.

Quels outils choisir ?

Un SIRH conforme au RGPD, avec chiffrement, accès restreints et traçabilité.

Le DPO doit-il accompagner les RH ?

Oui. Les RH font partie des services les plus sensibles, un accompagnement est indispensable. Le travail collaboratif permettra de débloquer de nombreuses situations.

Peut-on transmettre des arrêts maladie aux managers ?

Non. Les arrêts maladie contiennent des données de santé, qui sont des données sensibles. Ils ne doivent être traités que par les personnes habilitées (RH/paie).

Est-il obligatoire de chiffrer les bulletins de paie ?

Oui, il est fortement recommandé. Les bulletins doivent être transmis via un canal sécurisé (portail RH, coffre-fort numérique), et non par simple email.

Quels droits les salariés peuvent exercer auprès des RH ?

  • Accès : demander l’ensemble de leurs données RH
  • Rectification : corriger une erreur (adresse, numéro de sécu, RIB)
  • Effacement : suppression après départ, quand la conservation n’est plus obligatoire
  • Limitation : suspension temporaire du traitement
  • Opposition : ex. à certaines statistiques internes

Quelles sont les obligations légales de conservation des données RH ?

  • Bulletins de paie : Article L3243-4 du Code du travail : l’employeur doit conserver un double des bulletins de paie pendant 5 ans
  • Documents liés aux contrats de travail : Article 2224 du Code civil : prescription de droit commun de 5 ans pour les actions relatives à l’exécution ou la rupture du contrat de travail
  • Données de paie pour retraite : Article D.123-5 du Code de commerce : les pièces comptables (incluant bulletins et documents de paie nécessaires pour la retraite) doivent être conservées pendant 50 ans ou jusqu’aux 75 ans du salarié
  • Dossiers disciplinaires : Article L1332-5 du Code du travail : une sanction disciplinaire est effacée du dossier du salarié au bout de 3 ans si aucune nouvelle sanction n’a été prononcée

Ces obligations légales doivent être croisées avec le principe du RGPD de limitation de la conservation (article 5.1.e), pour éviter les excès : on conserve ce qui est obligatoire, pas plus.

Les RH doivent-ils former leurs équipes au RGPD ?

Oui. La sensibilisation des collaborateurs RH est une exigence de la CNIL et une bonne pratique essentielle pour éviter les erreurs humaines (envoi au mauvais destinataire, stockage excessif, etc.).

Quels outils RH sont considérés comme conformes au RGPD ?

Les outils doivent intégrer :

  • L'hébergement en UE ou équivalent
  • Des paramétrages sur la confidentialité des données et les droits d’accès
  • Des durées de conservation automatiques
  • Un registre des actions (traçabilité)

Que faire en cas de fuite de données RH ?

  • Informer la DPO / RSSI immédiatement
  • Évaluer le risque pour les salariés concernés
  • Notifier la CNIL sous 72h si nécessaire
  • Prévenir les salariés si la fuite présente un risque élevé (ex. divulgation des RIB

The latest news

GDPR compliance and best practices

Is complying with the GDPR using Excel or dedicated software really an issue?

While Excel can help you get started with GDPR, only dedicated software can ensure long-term secure and collaborative compliance.

Stéphane Galois
Regulations and AI

AI Act: Everything you need to know about the new European law on artificial intelligence

The AI Act is a historic turning point for Europe. It promises to strengthen trust in AI and force organizations to reconsider how they use it and ensure compliance.

Rémy Bozonnet
GDPR compliance and best practices

GDPR processing activities log: obligations, content, and expert advice

A key GDPR tool, the processing log records the use of personal data, guiding organizations in their compliance efforts and helping them avoid heavy penalties.

Laurent Chollat-Namy

They have trusted us for years

Used by over 10,000 legal entities

Discover Adequacy

One of our experts introduces Adequacy to you in a real situation.
Request a quote