📰 Actualités

RGPD et données salariés : obligations 2026

Guide des obligations RGPD pour les données des salariés : collecte, conservation, droits d'accès, DPO et sanctions CNIL en 2026.

Publié le 6 avril 2026
Protection des donnéesDonnées non protégées🔒

Le RGPD appliqué aux données des salariés

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s'applique à tous les traitements de données personnelles dans l'Union européenne. Pour les employeurs, cela concerne directement les données collectées et traitées dans le cadre de la relation de travail.

En France, la CNIL (Commission nationale de l'informatique et des libertés) veille au respect du RGPD et a publié plusieurs référentiels spécifiques à la gestion des ressources humaines.

CNIL - La gestion des ressources humaines

Quelles données peut-on collecter ?

Le principe de minimisation

L'article 5 du RGPD impose le principe de minimisation des données : l'employeur ne peut collecter que les données strictement nécessaires à la finalité du traitement.

Les données autorisées dans le cadre RH incluent :

  • Identité : nom, prénom, date de naissance, nationalité
  • Coordonnées : adresse, téléphone, email personnel (en cas d'urgence)
  • Vie professionnelle : contrat, poste, rémunération, évaluations
  • Données bancaires : RIB pour le versement du salaire
  • Numéro de sécurité sociale : obligatoire pour les déclarations sociales

Les données interdites ou strictement encadrées

Certaines données sont particulièrement sensibles et ne peuvent être collectées que si une base légale spécifique le justifie : opinions politiques, convictions religieuses, appartenance syndicale, données de santé, orientation sexuelle, données biométriques.

L'employeur ne peut pas demander :

  • Le numéro de sécurité sociale lors du recrutement (uniquement après l'embauche)
  • L'état de santé au-delà de l'aptitude au poste
  • La situation familiale détaillée (sauf pour les avantages sociaux liés)
  • Les antécédents judiciaires (sauf pour certains postes réglementés)
CNIL - Collecte dans le cadre de la gestion du personnel

Les bases légales du traitement RH

Pour traiter les données de ses salariés, l'employeur doit identifier une base légale parmi celles prévues à l'article 6 du RGPD :

| Base légale | Exemple de traitement RH | |-------------|-------------------------| | Exécution du contrat | Versement du salaire, gestion des congés | | Obligation légale | Déclarations sociales (URSSAF, retraite), DSN | | Intérêt légitime | Annuaire interne, organigramme | | Consentement | Photo sur l'intranet, participation à un événement |

Le consentement du salarié est rarement la base légale appropriée en milieu professionnel, car le lien de subordination rend ce consentement difficilement libre. Privilégiez les autres bases légales quand c'est possible.

Les durées de conservation

Le RGPD impose de ne pas conserver les données au-delà de ce qui est nécessaire. La CNIL a publié des recommandations spécifiques pour les données RH :

En base active (pendant le contrat)

Les données sont accessibles aux services RH et aux managers habilités pour la gestion courante du personnel.

En archivage intermédiaire (après le départ)

| Type de données | Durée de conservation | |----------------|----------------------| | Bulletins de paie | 5 ans (obligation légale) | | Contrats de travail | 5 ans après la fin du contrat | | Cotisations sociales | 6 ans (prescription URSSAF) | | Registre du personnel | 5 ans après le départ du salarié | | Dossier d'entretien professionnel | 6 ans | | Données de pointage | 5 ans |

Suppression définitive

Au terme de la durée de conservation, les données doivent être supprimées de manière irréversible ou anonymisées (rendues impossibles à relier à une personne identifiée).

CNIL - Durées de conservation des données

Les droits des salariés

Le RGPD confère aux salariés plusieurs droits sur leurs données personnelles. L'employeur doit être en mesure d'y répondre dans un délai d'un mois.

Droit d'accès (article 15)

Le salarié peut demander une copie de toutes les données personnelles détenues par l'employeur. La réponse doit être complète et fournie dans un format lisible.

Droit de rectification (article 16)

Le salarié peut demander la correction de données inexactes ou incomplètes (adresse, situation familiale, coordonnées bancaires).

Droit à l'effacement (article 17)

Le salarié peut demander la suppression de ses données, sous réserve des obligations légales de conservation mentionnées ci-dessus.

Droit à la portabilité (article 20)

Le salarié peut demander à recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV). Ce droit est particulièrement pertinent lors d'un changement d'employeur.

Anticipez les demandes de portabilité en mettant en place un export automatisé. Tiimizy propose un export RGPD complet en HTML et JSON, conforme aux articles 15 et 20.

Service-public.fr - Exercer ses droits RGPD

Le registre des traitements

Toute entreprise de plus de 250 salariés doit tenir un registre des traitements. En dessous de ce seuil, le registre reste obligatoire pour les traitements non occasionnels (ce qui inclut la gestion RH).

Le registre doit contenir pour chaque traitement :

  • La finalité (gestion de la paie, suivi des congés, recrutement)
  • Les catégories de données traitées
  • Les destinataires (service paie, URSSAF, mutuelle)
  • Les durées de conservation prévues
  • Les mesures de sécurité mises en place
CNIL - Le registre des activités de traitement

La sécurité des données RH

Les mesures techniques obligatoires

Le RGPD impose des mesures de sécurité adaptées au risque. Pour les données RH, cela implique au minimum :

  • Chiffrement des données sensibles (IBAN, numéro de sécurité sociale)
  • Contrôle d'accès par rôles (seuls les utilisateurs habilités accèdent aux données)
  • Journalisation des accès et modifications
  • Sauvegarde régulière et testée
  • Mots de passe robustes et authentification forte (2FA)

La notification de violation

En cas de violation de données (fuite, piratage, accès non autorisé), l'employeur doit :

  1. Notifier la CNIL dans les 72 heures (article 33 du RGPD)
  2. Informer les salariés concernés si le risque pour leurs droits est élevé (article 34)
  3. Documenter l'incident dans un registre interne

Les sanctions en 2026

La CNIL a considérablement renforcé ses contrôles ces dernières années. Les sanctions peuvent atteindre :

  • Rappel à l'ordre (premier manquement mineur)
  • Mise en demeure avec délai de mise en conformité
  • Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA mondial
  • Limitation ou interdiction temporaire du traitement
  • Publicité de la sanction sur le site de la CNIL

Les sanctions de la CNIL sont publiques. Au-delà de l'amende financière, c'est la réputation de l'entreprise qui est en jeu, notamment pour l'attractivité employeur.

CNIL - Les sanctions prononcées

Se mettre en conformité : les étapes clés

  1. Cartographier tous les traitements de données RH
  2. Vérifier les bases légales et les durées de conservation
  3. Mettre à jour les contrats de travail et les mentions d'information
  4. Sécuriser les données (chiffrement, accès, sauvegardes)
  5. Former les équipes RH aux bonnes pratiques RGPD
  6. Mettre en place des procédures pour répondre aux droits des salariés
  7. Choisir des outils conformes avec des garanties contractuelles (sous-traitant RGPD)

Un logiciel RH conforme au RGPD simplifie considérablement cette mise en conformité en intégrant nativement le chiffrement, les exports de données, la gestion des durées de conservation et les contrôles d'accès.

Tiimizy intègre l'export RGPD (articles 15 et 20), le chiffrement AES-256, et la suppression automatique des données. Dès 2 €/utilisateur/mois.

Découvrir la conformité RGPD Tiimizy
Solution tout-en-un

Automatisez votre gestion RH

Tiimizy intègre l'export RGPD (articles 15 et 20), le chiffrement AES-256, et la suppression automatique des données. Dès 2 €/utilisateur/mois.

Découvrir la conformité RGPD TiimizyDemander une démo

Questions fréquentes

La désignation d'un DPO (Délégué à la protection des données) est obligatoire pour les organismes publics et les entreprises dont l'activité principale implique un suivi régulier et systématique de personnes à grande échelle. Pour les PME, elle n'est pas obligatoire mais fortement recommandée par la CNIL.

Les données courantes (coordonnées, contrat) doivent être archivées à la fin du contrat. Les bulletins de paie doivent être conservés 5 ans minimum. Les données liées aux cotisations sociales doivent être conservées 6 ans (prescription URSSAF). Les données de santé au travail suivent des durées spécifiques.

Le salarié a un droit à l'effacement (article 17 du RGPD), mais ce droit n'est pas absolu. L'employeur peut refuser si la conservation est nécessaire pour respecter une obligation légale (paie, cotisations, contentieux prud'homal). Seules les données non soumises à obligation légale de conservation doivent être supprimées.

La CNIL peut prononcer des amendes administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Elle peut également ordonner la mise en conformité, limiter temporairement le traitement ou prononcer un rappel à l'ordre. Les sanctions sont publiques et portent atteinte à la réputation de l'entreprise.

Oui, le CSE doit être informé et consulté préalablement à la mise en place de tout traitement automatisé de gestion du personnel (article L2312-38 du Code du travail). Cela inclut les logiciels RH, les systèmes de pointage et les outils de surveillance.