Conformité RGPD RH : Obligations Légales & Bonnes Pratiques
Conformité RGPD RH : obligations légales, données sensibles, baromètres sociaux et bonnes pratiques. Guide juridique DRH et PME.
Obligations RGPD appliquées aux données RH : cadre juridique
RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES (RGPD) — APPLICATION RH
Textes applicables : - Règlement UE 2016/679 (RGPD) : Applicable depuis 25 mai 2018 - Loi Informatique et Libertés modifiée : Décret n°2019-536 - Code du travail : Articles L1222-1 à L1222-5 (protection vie privée salariés) - Jurisprudence CNIL : Délibérations et recommandations sectorielles RH
Champ application RH :
Données personnelles collaborateurs (art. 4 RGPD) : - Identité : Nom, prénom, date naissance, lieu naissance, photo, signature - Coordonnées : Adresse postale, email, téléphone mobile/fixe - Vie professionnelle : Poste, salaire, évaluations, formations, parcours, promotions - Santé : Arrêts maladie, visites médecine travail, restrictions aptitude, handicap RQTH - Données sensibles (art. 9) : Origine, santé, appartenance syndicale, opinions politiques/religieuses (interdiction sauf exceptions strictes)
PRINCIPE 1 : LICÉITÉ DU TRAITEMENT (ART. 6 RGPD)
Bases légales applicables RH :
1. Exécution contrat travail (art. 6.1.b) : Gestion paie, planning, évaluations, formation obligatoire
2. Obligation légale (art. 6.1.c) : Déclarations sociales (URSSAF, retraite), médecine travail, DUER, registre personnel
3. Intérêt légitime employeur (art. 6.1.f) : Baromètres sociaux, recrutement, gestion carrières (sous réserve équilibre intérêts salarié)
4. Consentement (art. 6.1.a) : Diffusion photo intranet/externe, participation événements optionnels (consentement libre, éclairé, révocable)
PRINCIPE 2 : MINIMISATION DONNÉES (ART. 5.1.C)
Règle : Collecter uniquement données adéquates, pertinentes et limitées au nécessaire
Exemples conformes : ✅ Recrutement : Nom, formation, expériences, prétentions salariales ✅ Paie : RIB, situation familiale (fiscalité), enfants à charge ✅ Baromètre social : Équipe, ancienneté, fonction (aucun identifiant direct)
Exemples non conformes : ❌ Recrutement : Situation maritale, nb enfants (discrimination) ❌ Baromètre : Email nominatif, âge exact (ré-identification possible) ❌ SIRH : Photo CNI complète (seule copie titre séjour si étranger)
Sanction minimisation : Mise en demeure CNIL → Amende jusqu'à 10M€ ou 2% CA mondial
PRINCIPE 3 : LIMITATION CONSERVATION (ART. 5.1.E)
Durées légales maximales :
| Donnée | Durée conservation | Base légale | |--------|-------------------|-------------| | Dossier salarié actif | Durée contrat + 5 ans | Prescription prud'homale | | Bulletins paie | 5 ans (employeur) + illimité (salarié) | Code travail L3243-4 | | Registre personnel | 5 ans après départ | Code travail D1221-23 | | CV/candidatures refusées | 2 ans max | Recommandation CNIL | | Entretiens annuels | Durée contrat + 5 ans | Prescription | | Baromètres sociaux bruts | 24 mois (agrégations illimitées) | Intérêt légitime | | Données santé (médecine) | 40 ans après exposition | Code travail R4624-46 | | Badges/logs accès | 3 mois | Recommandation CNIL | | Vidéosurveillance | 30 jours | Durée proportionnée | | Emails archivés | 3-5 ans | Intérêt légitime + légal |
Obligation purge : Suppression automatique données périmées (audits annuels recommandés)
Sanction conservation excessive : 50-90K€ amendes CNIL (cas documentés 2022-2024)
PRINCIPE 4 : SÉCURITÉ & CONFIDENTIALITÉ (ART. 32)
Mesures techniques obligatoires :
✅ Chiffrement : Données sensibles (salaires, santé) chiffrées repos et transit (AES-256, TLS 1.3)
✅ Contrôle accès : Habilitations nominatives, principe moindre privilège (RH accès complet, managers équipe directe uniquement)
✅ Traçabilité : Logs accès/modifications horodatés, conservés 12 mois, audités
✅ Sauvegarde : Backup quotidien chiffré, stockage sécurisé déporté, tests restauration trimestriels
✅ Authentification forte : MFA (double facteur) accès SIRH, renouvellement mots de passe 90j
Mesures organisationnelles :
✅ Clauses confidentialité : Tous contrats (salariés, prestataires, DPO)
✅ Formation : 100% RH formés RGPD (recyclage annuel)
✅ Procédures violation : Plan réponse incident <72h notification CNIL si risque élevé (art. 33-34)
Sanctions défaut sécurité : 90K€ amende cas réel PME (vol laptop RH non chiffré)
PRINCIPE 5 : DROITS DES PERSONNES (ART. 12-22)
Droit accès (art. 15) : Copie données sous 1 mois gratuit, format lisible
Droit rectification (art. 16) : Correction données inexactes sous 1 mois
Droit effacement (art. 17) : Suppression si données plus nécessaires (SAUF obligations légales conservation)
Droit opposition (art. 21) : Refus traitement intérêt légitime (SAUF base légale impérieuse)
Droit portabilité (art. 20) : Export données format structuré (CSV, JSON)
Droit limitation (art. 18) : Gel traitement durant contestation
Procédure exercice droits : 1. Formulaire dédié (email DPO ou RH) 2. Vérification identité (copie CI + justificatif) 3. Traitement sous 1 mois (prolongation +2 mois si complexe, justifiée) 4. Réponse motivée écrite (accord ou refus argumenté) 5. Traçabilité (registre demandes)
Refus illégitime : Mise en demeure CNIL + condamnation prud'homale possible
PRINCIPE 6 : ACCOUNTABILITY (RESPONSABILITÉ) (ART. 5.2)
Obligations démontrer conformité :
☐ Registre activités traitement (art. 30) : Obligatoire >250 salariés OU traitement données sensibles - Contenu : Finalités, catégories données, destinataires, durées conservation, mesures sécurité - Format : Excel ou logiciel dédié, actualisé en continu
☐ Analyse impact (DPIA) (art. 35) : Obligatoire si risque élevé (ex: baromètre santé mentale, géolocalisation) - Contenu : Description traitement, nécessité/proportionnalité, risques libertés, mesures réduction risques - Validation : DPO consulté, CNIL informée si risque résiduel élevé
☐ DPO (Délégué Protection Données) (art. 37) : Obligatoire si >250 salariés OU traitement données sensibles régulier - Missions : Conseiller, auditer conformité, point contact CNIL, former équipes - Statut : Interne (salarié dédié) ou externe (prestataire), indépendance garantie
☐ Contrats sous-traitants (art. 28) : DPA (Data Processing Agreement) obligatoire SIRH/paie/baromètres - Contenu : Finalités, durées, sécurité, sous-traitance ultérieure, audits, restitution/suppression fin contrat
SANCTIONS RGPD
Niveau 1 : Avertissement, mise en demeure publique
Niveau 2 : Amende jusqu'à 10M€ ou 2% CA mondial (violations art. 5-11 : principes, bases légales)
Niveau 3 : Amende jusqu'à 20M€ ou 4% CA mondial (violations art. 12-22 : droits personnes)
Cas récents France RH : - 2024 : 90K€ défaut sécurité données RH PME (vol laptop) - 2023 : 50K€ conservation excessive CV (>5 ans) - 2022 : 120K€ absence base légale vidéosurveillance salariés
Cumul sanctions : CNIL + Prud'hommes (dommages-intérêts salarié lésé)
Baromètres sociaux et RGPD : garanties anonymat et conformité
CONFORMITÉ RGPD BAROMÈTRES SOCIAUX — CHECKLIST EXHAUSTIVE
BASE LÉGALE (ART. 6 RGPD)
Recommandation : Intérêt légitime employeur (art. 6.1.f) + Consentement implicite (participation volontaire)
Justification intérêt légitime : - Finalité : Améliorer conditions travail, prévenir risques psychosociaux (obligation employeur L4121-1) - Nécessité : Mesure objective climat social (vs ressenti subjectif) - Proportionnalité : Données anonymisées, agrégées, non utilisées individuellement
Mise en balance : Intérêt employeur (sécurité/santé) > Impact salarié (minime si anonymat garanti)
ANONYMAT TECHNIQUE OBLIGATOIRE
Architecture conforme :
1. Token unique : UUID v4 aléatoire (128 bits), 1 token = 1 salarié, mapping token↔identité séparé chiffré AES-256
2. Serveurs sécurisés UE : Hébergement France/UE (conformité art. 44-49 transferts), chiffrement transit TLS 1.3, chiffrement repos AES-256
3. Aucune collecte : IP, cookies tracking, métadonnées navigateur, géolocalisation
4. Destruction mapping : Suppression irréversible lien token-identité J+10 clôture, logs horodatés destruction
5. Seuil affichage : Minimum 5 répondants par segmentation (recommandé 10), fusion/masquage si <5
6. Anonymisation verbatims : Regex automatique + relecture manuelle (suppression noms, références identifiantes)
INFORMATION TRANSPARENTE (ART. 13-14)
Notice RGPD pré-baromètre obligatoire :
"NOTICE RGPD — BAROMÈTRE SOCIAL [Date]
Responsable traitement : [Entreprise], représentée par [DG], [adresse]
DPO : [Nom], [email DPO]
Finalité : Mesurer climat social, améliorer conditions travail, prévenir risques psychosociaux (obligation L4121-1 Code Travail)
Base légale : Intérêt légitime employeur (art. 6.1.f RGPD) + Consentement implicite (participation volontaire)
Données collectées : - Profil : Équipe/Service, Ancienneté, Fonction, Statut (aucun identifiant direct) - Réponses : Questionnaire engagement/bien-être/climat (échelles Likert 1-5) - Commentaires : Textes libres anonymisés
Données NON collectées : Nom, prénom, email, IP, cookies, géolocalisation
Destinataires : - DRH : Données brutes (accès restreint, habilitation nominative) - Direction : Agrégations si ≥5 répondants uniquement - Managers : Résultats équipe si ≥5 répondants uniquement - Prestataire : [Nom prestataire] (hébergement sécurisé UE, DPA signé)
Durée conservation : - Données brutes individualisées : 24 mois maximum - Mapping token-identité : Suppression J+10 clôture - Agrégations anonymisées : Conservation illimitée
Sécurité : Chiffrement AES-256, serveurs UE, accès restreints, logs audités, destruction mapping J+10
Droits : - Accès : Durant passation via token | Après J+10 impossible (anonymat total) - Rectification : Durant passation uniquement - Opposition : Ne pas répondre (aucune sanction) | Retrait réponse durant passation (<48h) - Suppression : Sur demande durant passation | Après anonymisation impossible - Portabilité : Export réponses format CSV durant passation - Limitation : Gel traitement sur demande motivée
Exercice droits : Email [DPO email] | Réponse sous 1 mois | Vérification identité
Réclamation : CNIL (www.cnil.fr), 3 Place de Fontenoy, 75007 Paris
Participation : Volontaire, aucune conséquence professionnelle refus"
CONSENTEMENT (SI APPLICABLE)
Cas consentement obligatoire : Données santé détaillées (au-delà échelle burnout MBI générique)
Critères consentement valide (art. 4.11) : - Libre : Aucune pression, aucune sanction refus - Éclairé : Information complète finalités, destinataires, durée - Spécifique : Consentement par finalité (pas global) - Univoque : Action positive claire (case cochée, clic bouton) - Révocable : Retrait simple, même canal qu'obtention
Preuve consentement : Horodatage, traçabilité (registre), conservation 3 ans
DPIA (ANALYSE D'IMPACT) (ART. 35)
Obligatoire si : Baromètre santé mentale détaillé OU Croisement données sensibles OU Profilage automatisé
Contenu DPIA : 1. Description traitement (questionnaire, infrastructure, destinataires) 2. Nécessité et proportionnalité (pourquoi baromètre ? alternatives ?) 3. Risques libertés/droits fondamentaux (ré-identification ? discrimination ?) 4. Mesures réduction risques (anonymat, chiffrement, destruction mapping) 5. Validation DPO + Avis CNIL si risque résiduel élevé
Template DPIA : Modèle CNIL disponible (cnil.fr)
CONTRAT PRESTATAIRE (DPA) (ART. 28)
Si prestataire externe (plateforme baromètre, hébergeur) : DPA obligatoire
Clauses obligatoires DPA : - Finalités traitement (uniquement baromètre, pas réutilisation commerciale) - Durée traitement (durée passation + analyse) - Nature/catégories données (réponses anonymisées, profil) - Obligations/droits responsable (audits, instructions) - Obligations sous-traitant : - Sécurité (chiffrement, accès restreints, logs) - Confidentialité (clauses salariés prestataire) - Sous-traitance ultérieure (autorisation préalable écrite) - Assistance exercice droits (<48h) - Notification violation données (<24h) - Suppression/restitution fin contrat (<30j) - Audits (sur demande, 1×/an) - Localisation données (UE obligatoire) - Sanctions contractuelles (pénalités défaut sécurité)
REGISTRE ACTIVITÉS TRAITEMENT (ART. 30)
Fiche registre "Baromètre social" :
| Champ | Contenu | |-------|--------| | Responsable traitement | [Entreprise] | | DPO | [Nom/email] | | Finalité | Mesure climat social, amélioration conditions travail | | Base légale | Intérêt légitime (art. 6.1.f) | | Catégories personnes | Salariés actifs | | Catégories données | Profil (équipe, ancienneté), Réponses (engagement, bien-être), Commentaires anonymisés | | Destinataires | DRH, Direction (agrégations), Managers (équipe si ≥5), Prestataire [Nom] | | Transferts hors UE | NON | | Durée conservation | 24 mois brutes, mapping supprimé J+10, agrégations illimitées | | Mesures sécurité | Chiffrement AES-256, serveurs UE, token unique, destruction mapping, seuil affichage ≥5 | | DPIA réalisée | OUI / NON (justifier) | | Date création fiche | [Date] | | Mise à jour | Annuelle ou modification traitement |
DROITS SALARIÉS SPÉCIFIQUES BAROMÈTRE
Droit accès : Durant passation OUI (via token) | Après J+10 NON (anonymat total prévaut, jurisprudence CNIL)
Droit rectification : Durant passation OUI (modifier réponses) | Après clôture NON
Droit opposition : Ne pas répondre (aucune sanction) | Retrait durant passation sur demande (<48h)
Droit suppression : Durant passation OUI (suppression réponse <48h) | Après anonymisation NON (données anonymes hors RGPD art. 2)
Communication salariés : Procédure exercice droits claire dans notice RGPD pré-baromètre
CONTRÔLES CONFORMITÉ
☐ Notice RGPD diffusée avant lancement (email + affichage)
☐ Anonymat technique vérifié (token, pas IP, destruction mapping J+10)
☐ Seuil affichage ≥5 respecté (paramétrage plateforme)
☐ DPA signé prestataire si externe
☐ Registre traitement à jour (fiche baromètre)
☐ DPIA réalisée si données santé détaillées
☐ DPO consulté (avis écrit tracé)
☐ Procédure exercice droits documentée
☐ Logs accès/modifications activés
☐ Formation RH conformité baromètre (1h)
SANCTIONS SPÉCIFIQUES BAROMÈTRES
Cas jurisprudence : - Défaut anonymat : 60K€ amende (ré-identification possible <5 répondants) - Absence notice RGPD : Mise en demeure publique + 25K€ - Conservation excessive : 35K€ (données brutes >3 ans) - Défaut DPA prestataire : 45K€
Checklist conformité RGPD RH : audit annuel obligatoire
CHECKLIST CONFORMITÉ RGPD RH — AUDIT ANNUEL PME
SECTION 1 : GOUVERNANCE (10 POINTS)
☐ 1.1 Responsable traitement identifié (DG/DRH) et connu équipes
☐ 1.2 DPO désigné si >250 salariés OU données sensibles régulières (santé, syndicat) - Si DPO : Coordonnées publiées (intranet, CNIL), indépendance garantie - Si pas DPO : Référent RGPD RH identifié
☐ 1.3 Registre activités traitement à jour (annuel minimum) - Fiches : Recrutement, SIRH, Paie, Baromètres, Évaluations, Formation, Médecine travail - Dernière mise à jour : <12 mois
☐ 1.4 Politique confidentialité RH rédigée et diffusée salariés (intranet, livret accueil)
☐ 1.5 Formation RGPD RH réalisée (100% équipe RH, recyclage annuel) - Date dernière formation : ___________ - Taux formation : _____%
☐ 1.6 Procédure violation données documentée (notification CNIL <72h si risque élevé)
☐ 1.7 DPIA réalisées traitements risque élevé (baromètres santé, géolocalisation, vidéosurveillance) - Nombre DPIA actives : _____
☐ 1.8 Audits conformité RGPD annuels planifiés (interne ou externe) - Date dernier audit : ___________
☐ 1.9 Budget RGPD RH alloué (outils, formation, DPO, audits) - Budget annuel : ______€
☐ 1.10 Veille juridique RGPD active (abonnement CNIL, jurisprudence)
SECTION 2 : BASES LÉGALES & MINIMISATION (8 POINTS)
☐ 2.1 Bases légales identifiées pour chaque traitement RH (registre) - Contrat travail, Obligation légale, Intérêt légitime, Consentement
☐ 2.2 Minimisation données appliquée (aucune donnée excessive collectée) - Recrutement : Pas situation maritale, orientation sexuelle, enfants (sauf justification) - SIRH : Pas photo CNI complète (seulement titre séjour si étranger)
☐ 2.3 Données sensibles (santé, syndicat, religion) : Collecte justifiée et sécurisée renforcée
☐ 2.4 Questionnaires recrutement/RH : Aucune question discriminatoire (test annuel)
☐ 2.5 Formulaires consentement (si applicable) : Critères RGPD respectés (libre, éclairé, spécifique, univoque, révocable)
☐ 2.6 Finalités traitements clairement définies et communiquées salariés
☐ 2.7 Compatibilité traitements avec finalités initiales vérifiée (pas détournement)
☐ 2.8 Réutilisation données à d'autres fins : Nouvelle base légale ou consentement
SECTION 3 : DURÉES CONSERVATION (6 POINTS)
☐ 3.1 Durées conservation définies et documentées par catégorie (registre)
☐ 3.2 Purges automatiques ou manuelles annuelles réalisées - Date dernière purge : ___________ - Volume données supprimées : _____ Go
☐ 3.3 CV candidats refusés : Suppression <2 ans
☐ 3.4 Dossiers salariés partis : Conservation max 5 ans après départ (puis archivage ou suppression)
☐ 3.5 Baromètres sociaux : Données brutes <24-36 mois, mapping supprimé J+10
☐ 3.6 Badges/logs accès : Suppression <3 mois
SECTION 4 : SÉCURITÉ & CONFIDENTIALITÉ (12 POINTS)
☐ 4.1 Chiffrement données sensibles (salaires, santé) : Repos AES-256 + Transit TLS 1.3
☐ 4.2 Contrôle accès SIRH/outils RH : Habilitations nominatives, moindre privilège - Revue habilitations : Annuelle minimum
☐ 4.3 Authentification forte activée (MFA double facteur) : SIRH, Paie, Baromètres
☐ 4.4 Mots de passe : Politique robuste (12+ caractères, complexité, renouvellement 90j)
☐ 4.5 Logs accès/modifications : Activés, conservés 12 mois, audités semestriellement
☐ 4.6 Sauvegardes : Quotidiennes, chiffrées, stockage déporté sécurisé, tests restauration trimestriels
☐ 4.7 Antivirus/pare-feu : À jour, scans automatiques, EDR si >50 salariés
☐ 4.8 Chiffrement postes nomades (laptops RH) : BitLocker, FileVault ou équivalent
☐ 4.9 Politique bureau propre (clean desk) : Aucun document RH visible, armoires fermées
☐ 4.10 Clauses confidentialité : 100% contrats (salariés, prestataires, intérimaires, stagiaires)
☐ 4.11 Destruction sécurisée supports (papier, disques) : Broyeur conforme, certificats destruction
☐ 4.12 Plan continuité activité (PCA) : Procédure backup RH, reprise <24h
SECTION 5 : DROITS SALARIÉS (8 POINTS)
☐ 5.1 Procédure exercice droits documentée et communiquée (intranet, livret) - Formulaire dédié : OUI / NON - Contact : [Email DPO/RH]
☐ 5.2 Délai réponse <1 mois respecté (prolongation +2 mois si complexe, justifiée)
☐ 5.3 Vérification identité demandeur systématique (copie CI + justificatif)
☐ 5.4 Traçabilité demandes : Registre (date, demandeur, type droit, réponse, délai) - Nombre demandes année écoulée : _____ - Taux réponse <1 mois : _____%
☐ 5.5 Droit accès : Copie données fournie format lisible (PDF, CSV), gratuit
☐ 5.6 Droit rectification : Correction données inexactes <1 mois, notification tiers si applicable
☐ 5.7 Droit effacement : Suppression si légalement possible (hors obligations conservation), justification refus
☐ 5.8 Droit opposition : Traitement arrêté si base légitime non impérieuse, justification refus
SECTION 6 : SOUS-TRAITANTS & TIERS (6 POINTS)
☐ 6.1 Inventaire sous-traitants RH à jour (SIRH, paie, baromètres, recrutement, formation) - Nombre sous-traitants actifs : _____
☐ 6.2 DPA (Data Processing Agreement) signés 100% sous-traitants - Taux DPA signés : _____%
☐ 6.3 Clauses DPA conformes (art. 28) : Sécurité, confidentialité, sous-traitance ultérieure, audits, restitution/suppression
☐ 6.4 Localisation données sous-traitants : UE uniquement (ou clauses contractuelles types si hors UE)
☐ 6.5 Audits sous-traitants : Annuels (questionnaire ou visite), certification ISO 27001 appréciée - Date dernier audit : ___________
☐ 6.6 Notification violations données : Procédure sous-traitant → responsable <24h
SECTION 7 : SPÉCIFICITÉS RH (10 POINTS)
☐ 7.1 Vidéosurveillance (si applicable) : Finalités légitimes (sécurité biens), information salariés, conservation <30j, pas surveillance continue postes
☐ 7.2 Géolocalisation véhicules (si applicable) : Justification (livraisons, interventions), information salariés, désactivation hors service
☐ 7.3 Badges/contrôle accès : Finalités limitées (sécurité, temps travail si justifié), logs <3 mois
☐ 7.4 Emails/internet professionnels : Charte informatique, respect vie privée (emails personnels tolérés mentionnés "privé"), pas surveillance abusive
☐ 7.5 Réseaux sociaux salariés : Pas surveillance systématique, recrutement via LinkedIn conforme (données publiques uniquement)
☐ 7.6 Tests/évaluations psychométriques : Pertinence démontrée, consentement éclairé, pas discrimination
☐ 7.7 Données santé (médecine travail) : Accès strictement limité (médecin, RH habilités), chiffrement renforcé, conservation 40 ans
☐ 7.8 Appartenance syndicale : Collecte interdite (sauf gestion légale heures délégation), ségrégation données
☐ 7.9 Whistleblowing (si >50 salariés Loi Sapin II) : Procédure alerte conforme RGPD, confidentialité garantie
☐ 7.10 Transferts données hors UE (expatriés) : Clauses contractuelles types ou BCR (Binding Corporate Rules)
SCORING GLOBAL
Total points : _____ / 60
Interprétation : - 55-60 points : Conformité excellente ✅ - 45-54 points : Conformité bonne, ajustements mineurs ⚠️ - 35-44 points : Conformité moyenne, plan d'action nécessaire 🟡 - <35 points : Conformité faible, risque élevé sanctions, urgence 🔴
PLAN ACTION POST-AUDIT
| # | Non-conformité | Gravité | Action corrective | Responsable | Deadline | Statut | |---|----------------|---------|-------------------|-------------|----------|--------| | 1 | [Description] | Haute/Moyenne/Faible | [Action] | [Nom] | [Date] | 🔴🟡🟢 |
Date prochain audit : ___________
Points cles
| Indicateur | Valeur | Source |
|---|---|---|
| Amendes RGPD maximales France données RH | 20M€ ou 4% CA | RGPD Art. 83 |
| PME françaises conformes RGPD données salariés | 48% | CNIL Baromètre 2024 |
| Conservation maximale CV candidats refusés | 2 ans | Recommandation CNIL |