Conformité RGPD et RH : le guide de l'employeur pour sécuriser les données de ses salariés
Vous gérez des candidatures, des bulletins de paie, des badges d’accès, des outils de contrôle du temps, une messagerie professionnelle. À chaque étape, vous traitez des données personnelles de vos salariés. Le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, encadre strictement ces traitements, et la fonction RH en est le premier concerné.La difficulté est que le droit des données personnelles et le droit du travail sont indissociables. L’utilisation croissante des technologies au travail multiplie les points de friction : où s’arrête le contrôle légitime de l’activité, où commence l’atteinte à la vie privée ? Le salarié bénéficie même d’un statut protecteur particulier, en tant que personne considérée comme vulnérable dans la relation de subordination. Ce guide vous accompagne dans la mise en conformité RGPD de vos traitements RH : les principes à respecter, les droits de vos salariés, les traitements sensibles à sécuriser, votre feuille de route pratique et les risques encourus.

Par Maître Arnaud Sirven, Avocat en droit social Mis à jour le 4 juillet 2026
À retenir La conformité RGPD n’est pas une formalité informatique, c’est une obligation qui pèse directement sur la fonction RH. Chaque traitement de données de salariés (recrutement, paie, badges, vidéosurveillance, messagerie) doit reposer sur une base légale, poursuivre une finalité déterminée, se limiter aux données strictement nécessaires et respecter des durées de conservation définies. L’employeur, responsable de traitement, doit informer ses salariés, respecter leurs droits (accès, rectification, effacement, opposition), tenir un registre des traitements, réaliser une analyse d’impact pour les traitements à risque et, dans certains cas, désigner un délégué à la protection des données. Le non-respect expose à des sanctions administratives de la CNIL, à des sanctions pénales en cas de détournement de finalité, et fragilise les preuves que vous pourriez vouloir produire en justice. Ce guide vous donne la feuille de route.
Vous gérez des candidatures, des bulletins de paie, des badges d’accès, des outils de contrôle du temps, une messagerie professionnelle. À chaque étape, vous traitez des données personnelles de vos salariés. Le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, encadre strictement ces traitements, et la fonction RH en est le premier concerné.
La difficulté est que le droit des données personnelles et le droit du travail sont indissociables. L’utilisation croissante des technologies au travail multiplie les points de friction : où s’arrête le contrôle légitime de l’activité, où commence l’atteinte à la vie privée ? Le salarié bénéficie même d’un statut protecteur particulier, en tant que personne considérée comme vulnérable dans la relation de subordination. Ce guide vous accompagne dans la mise en conformité RGPD de vos traitements RH : les principes à respecter, les droits de vos salariés, les traitements sensibles à sécuriser, votre feuille de route pratique et les risques encourus.
Pourquoi le RGPD concerne directement la fonction RH
Le RGPD s’impose à l’employeur pour tout traitement de données de ses salariés, sans exception. Le règlement s’applique à toute opération portant sur des données à caractère personnel, qu’elle soit automatisée ou non. Cela vise vos logiciels de paie et de gestion des carrières, mais aussi vos dossiers papier dès lors qu’ils sont structurés : un classeur contenant les fiches de vos salariés entre dans le champ du RGPD.
La raison de cette omniprésence tient à la définition très large de la donnée personnelle. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Les données professionnelles, dès lors qu’elles permettent d’identifier une personne, sont donc soumises au règlement. Et parmi les personnes concernées, le salarié occupe une place à part, car le lien de subordination le rend vulnérable.
L’enjeu n’est pas théorique. Les sanctions administratives prévues par le RGPD sont dissuasives, des sanctions pénales peuvent s’ajouter, et le non-respect du règlement produit aussi des effets dans le contentieux prud’homal, où la régularité d’un traitement conditionne la valeur d’une preuve.
Cette obligation s’applique quelle que soit la taille de l’entreprise. Le RGPD ne prévoit pas de seuil d’effectif : une TPE qui gère des bulletins de paie et un fichier du personnel est soumise aux mêmes principes qu’un grand groupe. Les modalités sont proportionnées au risque, une petite structure n’ayant pas nécessairement à désigner un délégué à la protection des données, mais les principes de base et l’obligation de tenir un registre demeurent.
En clair : dès que vous manipulez une information qui permet d’identifier un salarié ou un candidat, vous êtes responsable d’un traitement de données personnelles. Que ce soit sur un serveur ou dans un classeur, le RGPD s’applique, et c’est à vous, employeur, de démontrer que vous le respectez.
Les données RH que vous manipulez sans toujours le savoir
La fonction RH traite des catégories de données dont certaines sont particulièrement encadrées. Toutes ne se valent pas au regard du RGPD, et confondre leurs régimes est une source fréquente de non-conformité.
Les données courantes concernent l’identité, la rémunération, la carrière, les coordonnées. Elles obéissent aux principes généraux du règlement. Les données sensibles, définies par l’article 9 du RGPD, font l’objet d’une protection renforcée : santé, appartenance syndicale, origine, opinions, données biométriques. Leur traitement suppose en principe le consentement, mais l’article 9, paragraphe 2, prévoit une exception lorsque le traitement est nécessaire à l’exécution des obligations propres au droit du travail et à la protection sociale, dans les conditions prévues par la loi ou une convention collective.
Deux catégories méritent une vigilance spécifique. Le numéro de sécurité sociale, ou NIR, est un identifiant unique dont l’usage est réservé à des cas précis, le plus souvent liés à la protection sociale, et suppose une autorisation par un texte spécifique. Inscrire le NIR sur le contrat de travail, sur une transaction ou dans le registre du personnel constitue une mauvaise pratique, exposant à des sanctions pénales et administratives. Les données relatives aux condamnations et aux infractions relèvent quant à elles d’un régime particulier, issu de la directive 2016/680 dite « Police-Justice », transposée dans la loi Informatique et libertés.
Exemple : Lors d’un recrutement, une entreprise demande le numéro de sécurité sociale du candidat et des informations sur son état de santé et son entourage familial. Ces collectes ne sont pas proportionnées à la finalité du recrutement et méconnaissent le RGPD. Le NIR ne pourra être collecté qu’une fois le salarié embauché, et pour les seules finalités autorisées, par exemple la déclaration sociale.
En clair : avant de collecter une donnée, posez-vous deux questions. Est-elle utile à la finalité poursuivie ? Relève-t-elle d’une catégorie particulière imposant des précautions renforcées ? Si vous ne savez pas répondre, vous n’êtes probablement pas en conformité.
Le cycle de vie des données RH : du recrutement à la sortie
Les traitements RH se déploient tout au long de la relation de travail, et chaque étape appelle sa propre vigilance. Raisonner par cycle de vie de la donnée aide à identifier les traitements à sécuriser et les données à supprimer une fois leur finalité atteinte.
Au recrutement, vous collectez des candidatures, des CV, des résultats de tests. La collecte doit se limiter à ce qui permet d’évaluer la capacité du candidat pour le poste. Les données des candidats non retenus ne peuvent être conservées indéfiniment : elles doivent être supprimées ou archivées dans un délai maîtrisé, sauf accord du candidat pour une conservation plus longue en vue d’un futur poste. Pendant l’exécution du contrat, la gestion administrative, la paie, la gestion des carrières, le suivi du temps de travail et les dispositifs de contrôle génèrent des traitements permanents, dont chacun doit reposer sur une base légale et une finalité claires. À la sortie du salarié, une partie des données doit être supprimée, une autre archivée pour répondre à des obligations légales ou à un éventuel contentieux, selon des durées définies à l’avance.
Exemple : Une entreprise conserve, plusieurs années après un recrutement infructueux, l’intégralité des CV et notes d’entretien des candidats écartés, sans information ni durée définie. Cette conservation est irrégulière. Il aurait fallu fixer une durée de conservation, informer les candidats et supprimer les données à l’échéance, sauf accord pour un maintien en vivier.
En clair : à chaque étape de la vie du salarié correspond un ensemble de traitements. Cartographier ces traitements, étape par étape, est le meilleur point de départ d’une mise en conformité RGPD réussie et le socle de votre registre.
Les grands principes à respecter pour chaque traitement
Tout traitement de données RH doit respecter les principes posés par l’article 5 du RGPD, sous peine d’irrégularité. Ces principes ne sont pas des recommandations : ils conditionnent la licéité de vos traitements et votre capacité à en démontrer la conformité.
Une base légale, et rarement le consentement
Tout traitement doit reposer sur l’une des bases légales prévues par l’article 6 du RGPD. Dans la relation de travail, le consentement du salarié n’est que très rarement une base valable. En effet, le déséquilibre de pouvoir entre l’employeur et le salarié prive généralement ce consentement de son caractère libre. L’employeur s’appuiera donc, selon les cas, sur d’autres fondements : l’obligation légale, la nécessité d’exécuter le contrat de travail, ou l’intérêt légitime. Lorsque l’intérêt légitime est invoqué, le traitement doit rester strictement nécessaire à la finalité et respecter la proportionnalité et la transparence.
En clair : ne fondez pas vos traitements RH sur une case « je consens » signée par le salarié. Ce consentement est fragile. Identifiez plutôt l’obligation légale, le contrat ou l’intérêt légitime qui justifie réellement le traitement.
Une finalité déterminée, explicite et légitime
Les données ne peuvent être collectées que pour un usage déterminé, explicite et légitime, et ne pas être ensuite utilisées d’une manière incompatible avec cette finalité. Le détournement de finalité est lourdement sanctionné. Un système de géolocalisation installé dans les véhicules de service ne peut pas servir à contrôler les horaires ou les trajets des salariés. Le fichier du personnel ou l’adresse électronique d’un salarié ne peuvent être utilisés à des fins de propagande politique. Au-delà des sanctions de la CNIL, le détournement de finalité est passible de cinq ans d’emprisonnement et de 300 000 euros d’amende, ce dernier montant étant multiplié par cinq pour les personnes morales.
Exemple : Une entreprise équipe ses véhicules d’un GPS pour optimiser les tournées de livraison. Si elle s’en sert ensuite pour reconstituer les heures de travail d’un salarié et le sanctionner, elle détourne la finalité initiale. Le traitement devient irrégulier et la preuve ainsi obtenue est fragilisée.
La minimisation et la proportionnalité
Vous ne devez collecter que les données strictement nécessaires à la finalité poursuivie. Ce principe de minimisation fait écho à l’article L. 1121-1 du Code du travail, qui interdit toute restriction aux droits des personnes qui ne serait pas justifiée par la nature de la tâche ni proportionnée au but recherché. Ainsi, une vidéosurveillance filmant en permanence un poste de travail n’est proportionnée que si un risque particulier et avéré pour la sécurité du salarié le justifie.
Des durées de conservation définies
Les données ne peuvent pas être conservées indéfiniment. Pour chaque catégorie de données, vous devez définir une durée de conservation n’excédant pas celle nécessaire à la finalité, puis procéder à la suppression. Cette règle vaut pour les fichiers informatiques comme pour les dossiers papier. En cas d’action contentieuse engagée dans le délai de prescription, les données peuvent être conservées jusqu’à l’épuisement des voies de recours.
En clair : une donnée qui ne sert plus doit être supprimée. Mais attention à l’excès inverse : supprimer trop tôt une donnée peut vous priver d’un moyen de preuve en cas de litige. La bonne durée est un arbitrage, à formaliser par catégorie de données.
La sécurité, la confidentialité et la transparence
L’employeur, responsable de traitement, doit garantir la sécurité et la confidentialité des données par des mesures techniques et organisationnelles appropriées. La CNIL sanctionne les manquements : elle a par exemple condamné une société à une amende de 20 000 euros pour absence d’authentification des salariés à leurs postes, politique de mots de passe insuffisante et défaut de traçabilité des accès (Délib. CNIL, 13 juin 2019, n° SAN-2019-006). Elle a également relevé le manquement à la sécurité en cas d’utilisation de mots de passe insuffisamment robustes ou de données réelles non anonymisées pour les phases de test et de développement. Le principe de transparence impose par ailleurs d’informer les salariés, en termes clairs et simples, des objectifs du traitement, de sa base juridique, des destinataires des données, des durées de conservation et de leurs droits. Le défaut d’information des salariés, notamment sur un dispositif de surveillance, est lui-même sanctionné.
Ces principes se combinent et se contrôlent ensemble. Un traitement peut reposer sur une base légale valable mais pécher par une finalité mal définie, ou respecter la finalité mais collecter trop de données. La conformité suppose de vérifier, traitement par traitement, que l’ensemble des principes est satisfait, et de pouvoir le démontrer.
Les droits de vos salariés sur leurs données
Vos salariés disposent des mêmes droits que toute autre personne concernée, et vous devez être en mesure d’y répondre. Le RGPD consacre un ensemble de droits que le salarié peut exercer directement auprès de vous, et l’article 88 permet même aux États d’adopter des règles spécifiques à l’emploi, faculté que la France n’a pas utilisée. Les salariés bénéficient donc strictement des droits de droit commun.
Le droit d’information est premier : au moment de la collecte, vous devez indiquer au salarié les finalités, la base juridique, les destinataires, les durées de conservation et l’existence de ses droits. Le droit d’accès, prévu par l’article 15, permet au salarié d’obtenir la confirmation qu’un traitement le concerne et la communication des données correspondantes. Ce droit est discrétionnaire : le salarié n’a pas à justifier d’un motif. Vous devez répondre dans les meilleurs délais, sans dépasser un mois, délai pouvant être prolongé de deux mois en cas de demande complexe. S’ajoutent le droit de rectification et d’effacement, le droit à la limitation du traitement, le droit à la portabilité et le droit d’opposition, ainsi que le droit d’introduire une réclamation auprès de la CNIL.
Le droit d’accès constitue, en pratique, l’un des principaux enjeux RH. Il est parfois exercé non pour vérifier la licéité d’un traitement, mais pour se constituer une preuve en vue d’un contentieux, par exemple pour obtenir des courriels professionnels. Cet usage détourné est discuté et suppose de votre part une gestion rigoureuse des demandes.
Le droit à la portabilité ne doit pas être confondu avec le droit d’accès. La portabilité vise à redonner au salarié les seules données qu’il a lui-même fournies, dans un format réutilisable, afin qu’il puisse les transmettre à un autre service, par exemple un futur employeur. Elle ne porte donc pas sur l’ensemble des données que vous détenez, mais sur celles que le salarié a activement communiquées. Il est utile de préciser aux salariés quels traitements ouvrent ce droit.
L’information due au salarié au moment de la collecte est détaillée. Elle porte notamment sur l’identité du responsable de traitement, les finalités et la base juridique, les destinataires des données, la durée de conservation ou les critères permettant de la déterminer, l’existence des droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité, le droit d’introduire une réclamation auprès de la CNIL, et, le cas échéant, l’existence d’une prise de décision automatisée. Cette information se fait par principe par écrit, y compris par voie électronique, et d’autant plus précisément que le traitement présente de risques pour les droits du salarié.
En clair : face à une demande d’accès, vous ne pouvez jamais opposer un refus non motivé. Si la demande est trop large, invitez le salarié à la préciser en lui rappelant la finalité du droit d’accès. Communiquez ce qui doit l’être, occultez ce qui porte atteinte aux droits des tiers, et justifiez tout refus partiel.
Exemple : Un salarié en instance de départ vous adresse une demande d’accès portant sur l’intégralité de ses courriels des cinq dernières années, quelques semaines avant de saisir le conseil de prud’hommes. Vous devez traiter la demande, mais vous pouvez lui demander de la circonscrire, écarter les échanges portant atteinte aux droits de tiers, et opposer, le cas échéant, le caractère manifestement excessif de la demande.
Vidéosurveillance, géolocalisation, biométrie : les traitements sensibles à sécuriser
Certains dispositifs de surveillance appellent des précautions renforcées, car ils portent une atteinte particulière aux droits des salariés. Leur licéité dépend de trois exigences constantes : une finalité déterminée et légitime, une stricte proportionnalité, et une information préalable des salariés.
La vidéosurveillance ne peut filmer en permanence un poste de travail que si un risque particulier et avéré le justifie. La géolocalisation des véhicules ne peut poursuivre la finalité de contrôle des horaires. Les dispositifs biométriques, qui reposent sur des données sensibles, sont soumis à un encadrement spécifique et ne peuvent être déployés que dans des cas limités, par exemple le contrôle d’accès à des locaux ou à des applications sensibles, lorsque le recours à la biométrie est justifié et proportionné.
L’information des salariés est déterminante. La CNIL a sanctionné une société pour une information incomplète des salariés au sujet d’un dispositif de vidéosurveillance (Délib. CNIL, 13 juin 2019, n° SAN-2019-006). Un dispositif régulièrement installé pour une finalité de sécurité peut, dans certaines conditions, être utilisé à l’égard d’un salarié, mais un détournement de sa finalité, à l’insu des intéressés, fragilise la licéité du traitement.
En clair : avant d’installer une caméra, un GPS ou un lecteur biométrique, formalisez la finalité, vérifiez que le dispositif est proportionné à cette finalité, informez les salariés et les représentants du personnel. Un dispositif opaque ou disproportionné est non seulement irrégulier, il est inutile en preuve.
Recrutement et outils automatisés : la vigilance sur la décision automatisée
Le recrutement et les outils algorithmiques concentrent des risques spécifiques que le RGPD encadre. Le recours à des traitements automatisés, y compris fondés sur l’intelligence artificielle, pour évaluer ou présélectionner des candidats, soulève la question de la décision automatisée et du profilage.
Le RGPD encadre les décisions produisant des effets juridiques ou affectant significativement une personne, lorsqu’elles sont prises sur le seul fondement d’un traitement automatisé. Le salarié ou le candidat doit être informé de l’existence d’une telle décision, de la logique sous-jacente et de ses conséquences. Les traitements de profilage susceptibles d’aboutir à l’exclusion d’un candidat figurent d’ailleurs parmi ceux pour lesquels une analyse d’impact est requise.
En clair : si vous utilisez un outil qui trie ou note automatiquement les candidatures, vous ne pouvez pas le laisser décider seul, ni dans l’opacité. Le candidat doit être informé, et une analyse d’impact est le plus souvent nécessaire avant le déploiement.
Le RGPD et le CSE : qui est responsable des données ?
Le comité social et économique est lui aussi concerné par le RGPD, ce que l’on oublie fréquemment. Le CSE traite des données personnelles, notamment dans le cadre des activités sociales et culturelles : listes de bénéficiaires, données des salariés et de leur famille, parfois données sensibles. Pour ces traitements, le comité détermine des finalités et des moyens qui lui sont propres, ce qui pose la question de sa qualité de responsable de traitement, distincte de celle de l’employeur.
Cette répartition des responsabilités doit être clarifiée. Selon les traitements, l’employeur et le CSE peuvent être responsables séparément, ou intervenir dans un cadre à définir. Le comité doit, pour ses propres traitements, respecter les mêmes principes que l’employeur : base légale, finalité, minimisation, sécurité, information des personnes.
En clair : le CSE n’échappe pas au RGPD. Pour ses activités sociales et culturelles, il traite des données de salariés et devient à son tour responsable de ces traitements. La frontière avec les traitements de l’employeur mérite d’être clarifiée par écrit.
Votre feuille de route de mise en conformité
La conformité RGPD de vos traitements RH repose sur quelques chantiers structurants. Ils traduisent le principe de responsabilité qui irrigue le règlement : vous devez non seulement respecter les règles, mais aussi être en mesure de le démontrer à tout moment.
Désigner, si nécessaire, un délégué à la protection des données
La désignation d’un délégué à la protection des données (DPO) est obligatoire dans trois cas prévus par l’article 37 du RGPD : lorsque le traitement est effectué par une autorité ou un organisme public, lorsque les activités de base impliquent un suivi régulier et systématique à grande échelle des personnes, ou lorsqu’elles consistent en un traitement à grande échelle de données sensibles ou relatives à des infractions. Hors de ces cas, la désignation reste recommandée.
Le délégué à la protection des données est le chef d’orchestre de la conformité. Il informe et conseille le responsable de traitement, contrôle le respect du règlement, favorise la réalisation des analyses d’impact et sert d’intermédiaire avec la CNIL et les personnes concernées. Il peut être interne ou externe. Il doit disposer d’une autonomie suffisante et être associé aux questions de protection des données. Il est soumis au secret professionnel et à une obligation de confidentialité, ce qui ne l’empêche pas de contacter l’autorité de contrôle. Attention toutefois : le DPO n’est pas un salarié protégé au sens du Code du travail. La tenue du registre des traitements incombe d’ailleurs au responsable de traitement, et non au DPO, même si cette mission peut lui être confiée par sa lettre de mission.
Tenir le registre des activités de traitement
Le registre des activités de traitement, prévu par l’article 30 du RGPD, recense l’ensemble de vos traitements avec leurs finalités, catégories de données, destinataires et durées de conservation. Sa tenue incombe au responsable de traitement ou au sous-traitant, et non au DPO, même si cette mission peut lui être confiée. Ce registre est la pièce maîtresse de votre capacité à démontrer votre conformité.
Réaliser une analyse d’impact pour les traitements à risque
Une analyse d’impact relative à la protection des données (AIPD) est obligatoire, en vertu de l’article 35 du RGPD, lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste des traitements concernés, parmi lesquels figurent des traitements RH comme le profilage pouvant conduire à l’exclusion du bénéfice d’un contrat, sa suspension ou sa rupture. Les traitements de surveillance systématique à grande échelle, la vidéosurveillance ou encore les transferts de données hors de l’Union européenne figurent parmi les scénarios à risque.
L’analyse d’impact suit une démarche structurée. Elle décrit d’abord le traitement et son contexte. Elle évalue ensuite sa nécessité et sa proportionnalité, en vérifiant que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire. Elle identifie et évalue les risques pour les droits et libertés des personnes. Elle détermine les mesures propres à atténuer ces risques, comme la pseudonymisation, le chiffrement ou la minimisation. Elle associe le délégué à la protection des données. Elle documente enfin l’ensemble des décisions, afin de démontrer la conformité. Pour les traitements RH régulièrement mis en œuvre avant l’application du RGPD, la CNIL avait accordé un délai pour réaliser l’analyse d’impact, échéance fixée au 25 mai 2021 (Délib. CNIL, 11 octobre 2018, n° 2018-326).
En clair : l’analyse d’impact n’est pas un exercice théorique. C’est un document qui vous force à décrire un traitement à risque, à en peser la nécessité et à prévoir des mesures de protection. Réalisée avant le déploiement, elle vous protège ; omise, elle constitue un manquement en soi.
Encadrer vos sous-traitants
Lorsque vous confiez un traitement à un prestataire (paie externalisée, logiciel RH, hébergeur), vous devez encadrer cette relation par un contrat conforme à l’article 28 du RGPD. Ce contrat précise les obligations du sous-traitant et les garanties qu’il apporte, notamment en matière de sécurité, de confidentialité et de restitution ou de suppression des données en fin de contrat. Vous restez responsable du traitement, y compris lorsqu’un prestataire collecte des données pour votre compte.
Exemple : Vous externalisez la paie auprès d’un cabinet et hébergez votre logiciel RH dans le cloud. Chacun de ces prestataires est un sous-traitant au sens du RGPD. Un contrat reprenant les exigences de l’article 28 doit être conclu avec chacun. À défaut, votre responsabilité d’employeur reste pleinement engagée en cas d’incident.
Formaliser une charte informatique et informer
La rédaction d’une charte informatique complète votre dispositif. Elle rappelle aux salariés les finalités des traitements, les durées de conservation et les règles d’usage des outils. Elle participe au respect du droit à l’information et sécurise l’usage ultérieur des données. Une politique de sensibilisation des salariés renforce l’ensemble.
En clair : votre feuille de route tient en cinq mots : gouvernance, registre, analyse d’impact, contrats et information. C’est cette documentation qui, le jour d’un contrôle CNIL ou d’un contentieux, démontrera que vous avez pris le RGPD au sérieux.
Ce que vous risquez en cas de manquement
Le non-respect du RGPD expose l’entreprise à trois types de conséquences. La première est administrative : la CNIL peut prononcer des amendes dont le montant est volontairement dissuasif, ainsi que d’autres mesures correctrices. La deuxième est pénale : certains manquements, comme le détournement de finalité, sont passibles de cinq ans d’emprisonnement et de 300 000 euros d’amende, montant multiplié par cinq pour les personnes morales.
La troisième conséquence est probatoire, et elle est souvent sous-estimée. Une preuve obtenue au moyen d’un traitement irrégulier peut être écartée par le juge. L’illicéité d’un moyen de preuve n’entraîne pas nécessairement son rejet, mais elle ouvre un contrôle de proportionnalité : le juge met en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, et n’admet la preuve que si sa production est indispensable et l’atteinte strictement proportionnée (Cass. soc., 25 novembre 2020, n° 17-19.523).
Un point mérite d’être signalé aux salariés comme aux employeurs. La violation du RGPD n’ouvre pas, à elle seule, droit à réparation : le salarié qui réclame des dommages et intérêts doit prouver un préjudice matériel ou moral (Cass. soc., 24 juin 2026, n° 24-22.792). Ce n’est donc pas la crainte d’une indemnisation automatique qui doit motiver votre mise en conformité, mais la sécurisation de vos traitements et de vos preuves, et l’exposition aux sanctions de la CNIL.
En clair : ne pas se mettre en conformité ne se limite pas à un risque d’amende. C’est aussi prendre le risque qu’une preuve laborieusement constituée soit écartée devant les prud’hommes, faute d’avoir respecté le RGPD en amont.
Récapitulatif
Les points essentiels de votre mise en conformité RGPD/RH :
- Le RGPD s’applique à tous vos traitements de données de salariés, y compris les dossiers papier structurés.
- Chaque traitement suppose une base légale (rarement le consentement), une finalité déterminée, la minimisation des données et une durée de conservation définie.
- Vous devez informer vos salariés et respecter leurs droits (accès sous un mois, rectification, effacement, opposition, limitation, portabilité).
- La vidéosurveillance, la géolocalisation et la biométrie exigent finalité, proportionnalité et information.
- Le CSE est lui-même responsable de ses traitements, notamment pour les activités sociales et culturelles.
- Votre feuille de route : DPO le cas échéant (art. 37), registre des traitements (art. 30), analyse d’impact pour les traitements à risque (art. 35), contrats de sous-traitance (art. 28), charte informatique.
- Les manquements exposent à des sanctions administratives, pénales, et fragilisent vos preuves.
FAQ : vos questions sur la conformité RGPD et les données RH
Le RGPD s’applique-t-il aux TPE et aux PME ?
Oui, sans seuil d’effectif. Le RGPD s’applique à toute entreprise qui traite des données personnelles, quelle que soit sa taille. Une petite entreprise qui gère des bulletins de paie et des dossiers du personnel est concernée. Les obligations sont proportionnées au risque : une TPE n’aura pas nécessairement à désigner un délégué à la protection des données, mais elle doit respecter les principes de base et tenir un registre de ses traitements.
Le consentement du salarié suffit-il pour traiter ses données ?
Non, et c’est une erreur fréquente. Le consentement du salarié n’est que rarement une base légale valable, car le lien de subordination prive ce consentement de son caractère libre. L’employeur doit s’appuyer sur un autre fondement : l’obligation légale, l’exécution du contrat de travail ou l’intérêt légitime, en veillant alors à la proportionnalité et à la transparence.
Qui peut avoir accès aux données personnelles des salariés ?
Seules les personnes habilitées, dans la limite de leurs besoins. L’accès aux données RH doit être restreint aux services et personnes qui en ont besoin pour leurs fonctions, avec des mesures de sécurité (authentification, traçabilité). La CNIL sanctionne les défauts de contrôle des accès. Les destinataires externes, comme les organismes sociaux, ne reçoivent que les données nécessaires à leur intervention.
Combien de temps peut-on conserver les données d’un salarié ?
Le temps nécessaire à la finalité du traitement, et pas davantage. Vous devez définir une durée de conservation par catégorie de données, puis supprimer les données. En cas de contentieux engagé dans le délai de prescription, les données utiles peuvent être conservées jusqu’à l’épuisement des voies de recours. Des durées trop longues exposent l’entreprise, des durées trop courtes la privent de moyens de preuve.
Un salarié peut-il demander l’accès à toutes ses données ?
Oui, par le droit d’accès de l’article 15 du RGPD, et sans avoir à se justifier. Vous devez répondre dans un délai d’un mois, prolongeable de deux mois en cas de demande complexe. Vous communiquez les données concernant le salarié, sous réserve des droits des tiers, et vous pouvez inviter le salarié à préciser une demande trop large ou opposer son caractère manifestement excessif.
Le droit d’accès peut-il être utilisé pour préparer un procès ?
En pratique, oui, mais cet usage est contesté. Le droit d’accès a pour finalité de permettre au salarié de vérifier la licéité d’un traitement et l’exactitude de ses données, non de se constituer une preuve. Lorsqu’il est exercé à des seules fins probatoires, notamment à l’approche d’un contentieux, il peut être regardé comme détourné de sa finalité. L’employeur doit néanmoins traiter la demande et motiver tout refus partiel.
Peut-on installer une vidéosurveillance sur les lieux de travail ?
Oui, à des conditions strictes. Le dispositif doit poursuivre une finalité déterminée et légitime, être proportionné, et les salariés comme les représentants du personnel doivent être informés. Filmer en permanence un poste de travail n’est admis que si un risque particulier et avéré le justifie. Une information incomplète des salariés a déjà valu une sanction de la CNIL.
Peut-on géolocaliser les véhicules des salariés ?
Oui, pour une finalité légitime, mais pas pour contrôler les horaires. La géolocalisation peut se justifier par des besoins d’organisation ou de sécurité, mais elle ne peut avoir pour finalité le contrôle des horaires ou des trajets des salariés. Ce détournement de finalité expose à des sanctions et fragilise toute preuve tirée du dispositif.
Faut-il désigner un délégué à la protection des données (DPO) ?
Pas toujours. La désignation est obligatoire dans trois cas : organisme public, suivi régulier et systématique à grande échelle des personnes, ou traitement à grande échelle de données sensibles ou d’infractions. Hors de ces hypothèses, la désignation d’un DPO reste recommandée. Il peut être interne ou externe et pilote la conformité de l’entreprise.
Qu’est-ce que le registre des traitements et est-il obligatoire ?
C’est le document qui recense vos traitements de données, et il est en principe obligatoire. Prévu par l’article 30 du RGPD, il précise pour chaque traitement la finalité, les catégories de données, les destinataires et les durées de conservation. Sa tenue incombe au responsable de traitement. Il constitue la preuve centrale de votre conformité en cas de contrôle de la CNIL.
Quand une analyse d’impact (AIPD) est-elle obligatoire ?
Lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. L’article 35 du RGPD impose alors une analyse d’impact, dont la CNIL a précisé la liste des cas. En matière RH, le profilage pouvant conduire à l’exclusion d’un contrat en relève. L’analyse décrit le traitement, évalue sa proportionnalité, identifie les risques et les mesures, et associe le DPO.
Le CSE doit-il respecter le RGPD ?
Oui. Le comité social et économique traite des données personnelles, notamment pour les activités sociales et culturelles, et devient à ce titre responsable de ses propres traitements. Il doit respecter les mêmes principes que l’employeur. La répartition des responsabilités entre l’employeur et le CSE mérite d’être clarifiée par écrit.
Quelles sanctions en cas de manquement au RGPD ?
Des sanctions administratives, pénales et probatoires. La CNIL peut prononcer des amendes dissuasives. Le détournement de finalité est passible de cinq ans d’emprisonnement et de 300 000 euros d’amende, multipliés par cinq pour les personnes morales. Enfin, une preuve obtenue par un traitement irrégulier peut être écartée par le juge après un contrôle de proportionnalité.
Une violation du RGPD donne-t-elle automatiquement droit à des dommages et intérêts au salarié ?
Non. La violation du RGPD n’ouvre pas, à elle seule, droit à réparation. Le salarié qui réclame une indemnisation doit prouver un préjudice matériel ou moral et en établir l’étendue (Cass. soc., 24 juin 2026, n° 24-22.792). La conformité se justifie donc par la sécurisation des traitements et l’exposition aux sanctions de la CNIL, plus que par la crainte d’une indemnisation automatique.
Peut-on fonder un traitement RH sur l’intérêt légitime de l’employeur ?
Oui, l’intérêt légitime est l’une des bases légales de l’article 6 du RGPD, et il est souvent pertinent en matière RH compte tenu de la faiblesse du consentement du salarié. Il suppose toutefois que le traitement soit strictement nécessaire à la finalité poursuivie et qu’il respecte la proportionnalité et la transparence. L’intérêt légitime ne dispense pas de peser les droits et libertés des salariés concernés.
Faut-il informer les représentants du personnel avant d’installer un dispositif de surveillance ?
Oui. L’information et la transparence sont des exigences du RGPD, et la mise en place d’un dispositif de contrôle de l’activité des salariés suppose une information préalable, tant des salariés que de leurs représentants. Un dispositif installé dans l’opacité méconnaît le principe de transparence, expose à des sanctions de la CNIL et fragilise l’usage probatoire des données collectées.
Le RGPD interdit-il de contrôler l’activité des salariés ?
Non. Le RGPD n’interdit pas le contrôle, il l’encadre. L’employeur peut mettre en place des dispositifs de contrôle de l’activité, à condition qu’ils reposent sur une finalité légitime, soient proportionnés au but recherché conformément à l’article L. 1121-1 du Code du travail, et que les salariés en soient informés. C’est le contrôle disproportionné, opaque ou détourné de sa finalité qui est prohibé.
Vous souhaitez sécuriser vos traitements de données RH ?
La conformité RGPD de la fonction RH ne s’improvise pas. Base légale, finalité, minimisation, durées de conservation, droits des salariés, registre, analyse d’impact, sous-traitance : chaque chantier doit être formalisé pour être opposable le jour d’un contrôle ou d’un contentieux.
Auron Avocat accompagne les employeurs dans la mise en conformité RGPD de leurs traitements RH : audit des traitements existants, rédaction du registre et de la charte informatique, sécurisation des dispositifs de surveillance, encadrement des sous-traitants, gestion des demandes d’accès et défense en cas de contrôle ou de contentieux.
N’attendez pas un contrôle ou un litige pour agir : la mise en conformité est d’abord un investissement de sécurisation.
Contactez Auron Avocat pour une consultation personnalisée.



