byusage./Ressources/RGPD et données RH
Conformité10 min de lecture·Mis à jour mai 2026

RGPD et données RH :
le guide TPE/PME.

Le RGPD s'applique à toutes les entreprises, même les TPE de 3 salariés. Voici ce que vous devez savoir, faire et documenter quand vous gérez les données RH de votre équipe. Avec les durées de conservation par type de donnée, les droits de vos salariés, et les erreurs à éviter.

BU
Équipe produit byusage.Guide informatif. Ne remplace pas un conseil juridique personnalisé.
Le contexte

Le RGPD ne concerne pas que les grosses entreprises.
Vous êtes concerné aussi.

Une croyance répandue : « On est 8 salariés, le RGPD n'est pas pour nous. » C'est faux. Le RGPD s'applique à toute entreprise qui traite des données personnelles, quelle que soit sa taille. Et les données RH (identité, IBAN, contrats, bulletins, arrêts maladie) sont parmi les plus sensibles.

La bonne nouvelle : vous n'avez pas besoin d'un DPO pour être conforme. Le DPO n'est obligatoire que dans des cas spécifiques (autorité publique, surveillance à grande échelle, données sensibles à grande échelle). La très grande majorité des TPE et PME ne sont pas concernées par cette obligation.

La moins bonne nouvelle : vous restez responsable de traitement. Donc en cas de contrôle CNIL ou de plainte d'un salarié, c'est vous qui êtes en première ligne, pas votre cabinet de paie ni votre éditeur SIRH.

Ce guide explique ce que vous devez savoir, faire et documenter pour être en règle, sans avoir à embaucher un DPO.

Ce guide est informatif. Pour une question précise sur votre situation, consultez un avocat spécialisé en droit social ou un DPO externe.

Définitions

Qu'est-ce qu'une donnée RH ?

Toute information se rapportant à une personne physique identifiée ou identifiable. Voici les six grandes catégories que vous manipulez en RH, et leur niveau de sensibilité au sens du RGPD.

Identité

Standard

Nom, NIR (numéro de sécurité sociale), date de naissance, adresse, photo, copie pièce d'identité

Données contractuelles

Standard

Contrat, salaire, classification, ancienneté, fonctions, primes, avenants

Activité professionnelle

Standard

Temps de travail, congés, absences, télétravail, frais professionnels, notes de frais

Performance

Standard

Évaluations annuelles, objectifs, formations suivies, plans de développement, sanctions disciplinaires

Données sensibles

Sensible (Art. 9)

Santé (arrêts maladie, médecine du travail), appartenance syndicale, opinions politiques ou religieuses

Données de surveillance

Sensible (Art. 9)

Vidéosurveillance, géolocalisation des véhicules, logs d'accès informatique, badgeage

Les données sensibles obligent à plus de précautions

Les données de l'article 9 RGPD (santé, opinions, origine, appartenance syndicale) sont interdites par défaut, sauf cas limités. La surveillance des salariés (vidéo, géolocalisation, logs) doit faire l'objet d'une consultation préalable du CSE et d'une analyse d'impact (AIPD).

Vos obligations

Cinq obligations
qui pèsent sur vous.

En tant qu'employeur, vous êtes responsable de traitement. Voici les cinq obligations principales du RGPD que vous devez respecter, avec leur traduction concrète pour une TPE ou PME.

01
Article 4(7) RGPD

Vous êtes responsable de traitement

En tant qu'employeur, vous décidez de la finalité et des moyens du traitement des données de vos salariés. C'est vous qui portez la responsabilité juridique, pas votre éditeur SIRH ni votre cabinet de paie. Vos sous-traitants ne sont qu'exécutants.

Concrètement : si la CNIL contrôle, c'est vous qu'elle vient voir, pas votre cabinet ou votre éditeur.

02
Article 30 RGPD

Vous devez tenir un registre des traitements

C'est l'obligation la plus oubliée par les TPE/PME. Le registre liste tous les traitements de données que vous opérez : paie, recrutement, formation, surveillance, etc. Pour chacun, vous devez documenter la finalité, les catégories de données, les destinataires, les durées de conservation, les mesures de sécurité.

Concrètement : même à 5 salariés, le registre est obligatoire. C'est la première chose que la CNIL demande en cas de contrôle.

03
Articles 12 à 14 RGPD

Vous devez informer vos salariés

Vos salariés doivent savoir quelles données sont collectées, pourquoi, qui y accède, combien de temps elles sont conservées, et quels sont leurs droits. Cette information se fait généralement via une politique de confidentialité salarié, jointe au contrat ou affichée dans l'espace RH.

Concrètement : une page d'information remise à l'embauche couvre l'obligation. Pas besoin d'un document de 30 pages.

04
Article 32 RGPD

Vous devez sécuriser les données

Vous devez mettre en place des mesures techniques et organisationnelles adaptées au risque. Pour des données RH, ça implique au minimum : chiffrement, contrôle d'accès, sauvegarde, traçabilité. Si vous stockez les bulletins sur un Google Drive personnel, vous êtes en infraction.

Concrètement : un SIRH conforme couvre cette obligation pour vous. Excel sur disque dur partagé ne la couvre pas.

05
Article 5(1)(e) RGPD

Vous devez limiter la conservation

Les données ne peuvent être conservées que le temps nécessaire à la finalité. Pour les RH, des durées légales s'imposent (5 ans pour les bulletins, 5 ans pour les contrats après départ, etc.). Au-delà, vous devez supprimer ou anonymiser.

Concrètement : si vous gardez des CV non retenus depuis 8 ans, vous êtes en infraction. La sanction peut aller jusqu'à 4% du CA.

Durées de conservation

Combien de temps
conserver chaque donnée ?

C'est le tableau le plus utile pour rester conforme. Pour chaque type de donnée, la durée légale ou recommandée par la CNIL au-delà de laquelle vous devez supprimer ou anonymiser.

Bulletins de paie
5 ans (employeur) + 50 ans (droits retraite)
Code du travail L3243-4
Contrats de travail (et avenants)
5 ans après fin du contrat
Recommandation CNIL
DPAE et déclarations URSSAF
6 ans
Code de la sécurité sociale
CV et candidatures non retenues
2 ans maximum (sans consentement explicite)
Recommandation CNIL
Pièce d'identité (CNI, passeport)
Pendant l'emploi + 5 ans
Recommandation CNIL
Données entretien annuel
5 ans après départ
Recommandation CNIL
Données médicales et arrêts maladie
Suppression dès que la finalité est atteinte
Article 9 RGPD
Vidéosurveillance
1 mois maximum
Recommandation CNIL
Géolocalisation véhicule
2 mois maximum
Recommandation CNIL
Logs d'accès informatique
6 mois maximum
Recommandation CNIL

Les durées surlignées sont des plafonds maximums

Pour les CV non retenus, la vidéosurveillance, la géolocalisation et les logs informatiques, ces durées sont des maximums fixés par la CNIL. Vous ne pouvez pas les dépasser sauf cas exceptionnel justifié (procédure judiciaire en cours par exemple).

Droits des salariés

Six droits
que vos salariés peuvent exercer.

Vos salariés ont des droits sur leurs données. Vous devez pouvoir y répondre, généralement sous 1 mois (article 12). Voici les six droits prévus par le RGPD, avec leurs limites spécifiques en contexte RH.

01Article 15

Droit d'accès

Le salarié peut demander à savoir quelles données vous détenez sur lui, et obtenir une copie. Vous devez répondre sous 1 mois.

Aucune limitation particulière en RH. Couvre toutes les données du dossier salarié.

02Article 16

Droit de rectification

Le salarié peut corriger des données inexactes (adresse, IBAN, situation familiale, etc.) ou compléter des données incomplètes.

Limité aux données factuelles. Ne s'applique pas aux évaluations subjectives ou décisions managériales.

03Article 17

Droit à l'effacement

Le salarié peut demander la suppression de ses données. En RH, ce droit est très encadré par les obligations légales.

Limité en RH : vous devez conserver bulletins, contrats, etc. pour vos obligations légales. Difficile à invoquer pendant l'emploi.

04Article 18

Droit à la limitation

Le salarié peut demander à geler le traitement de ses données pendant qu'une contestation est en cours.

Cas typique : contestation d'une donnée d'évaluation. Pendant la vérification, la donnée existe mais n'est pas utilisée.

05Article 20

Droit à la portabilité

Le salarié peut récupérer ses données dans un format structuré, lisible par machine, et les transmettre à un autre responsable.

Souvent invoqué au départ pour transférer les données vers un nouveau SIRH. Format CSV ou JSON suffit.

06Article 21

Droit d'opposition

Le salarié peut s'opposer à certains traitements (ex : profilage, communications marketing internes).

Ne peut pas s'opposer aux traitements obligatoires : paie, contrat, déclarations sociales.

Les erreurs fréquentes

Cinq erreurs
qu'on voit tout le temps.

Ces cinq pratiques sont les plus fréquentes en TPE/PME, et toutes constituent une infraction au RGPD susceptible de sanction CNIL. Vérifiez si vous êtes concerné, et corrigez.

Conserver les CV non retenus pendant des années

Beaucoup de TPE/PME archivent les candidatures « au cas où ». La CNIL impose 2 ans maximum sans consentement explicite du candidat. Au-delà, c'est une infraction.

Stocker les bulletins de paie sur Google Drive personnel

Outre l'absence de chiffrement adapté, c'est un transfert hors UE (serveurs Google) souvent non documenté. La CNIL considère ça comme une violation de l'article 32 (sécurité).

N'avoir aucun registre des traitements

C'est l'erreur la plus fréquente. La plupart des TPE/PME n'ont jamais ouvert un fichier de registre. C'est pourtant la première chose demandée en cas de contrôle CNIL.

Pas de DPA signé avec son cabinet de paie

Votre cabinet de paie traite vos données salariés en tant que sous-traitant. Sans DPA (article 28), vous n'avez aucune protection juridique en cas de fuite chez eux. La CNIL vérifie systématiquement.

Ne pas informer les salariés en début de contrat

Une simple page jointe au contrat suffit. Mais elle est souvent oubliée. Sans cette information, le salarié peut invoquer l'article 12 et demander des dommages-intérêts si une fuite survient.

En pratique

Que regarde la CNIL
en cas de contrôle ?

La CNIL contrôle environ 300 entreprises par an, dont une part importante de TPE/PME suite à plainte d'un salarié ou ancien candidat. Voici, dans l'ordre, ce qu'elle demande systématiquement.

01

Le registre des traitements

Première demande, presque toujours. Si vous ne l'avez pas, c'est mal parti. Tenez-le à jour, même imparfaitement : avoir un registre lacunaire est mieux que n'en pas avoir du tout.

02

Les contrats de sous-traitance (DPA)

Pour chaque outil tiers qui traite vos données salariés (cabinet de paie, SIRH, outil de notes de frais…), un DPA conforme à l'article 28 RGPD doit être signé. Pas de DPA = infraction.

03

La politique de confidentialité salarié

Document remis à l'embauche qui explique au salarié quelles données sont traitées, pourquoi, qui y accède, combien de temps, et quels sont ses droits. Une page A4 suffit.

04

Les preuves de durées de conservation

Comment prouvez-vous que vous avez supprimé les CV non retenus après 2 ans ? Que les bulletins archivés sont protégés ? Une procédure documentée vaut mieux que rien.

05

Les mesures techniques de sécurité

Chiffrement, contrôle d'accès, traçabilité, sauvegarde. Si vos données sont sur Excel partagé sans mot de passe, c'est l'amende assurée. Un SIRH conforme couvre cette obligation.

Les sanctions ne sont pas systématiques

Pour une TPE/PME de bonne foi, la CNIL commence presque toujours par un avertissement ou une mise en demeure, en donnant 1 à 3 mois pour se mettre en conformité. Les amendes ne tombent que pour récidive ou défaut manifeste. Mais elles existent et peuvent atteindre 4% du CA mondial ou 20 millions d'euros (le plus élevé des deux).

Pour conclure

Le RGPD n'est pas un fardeau.
C'est une routine.

La conformité RGPD en TPE/PME tient en 5 actions concrètes : tenir un registre, signer des DPA avec vos sous-traitants, informer vos salariés, sécuriser vos outils, respecter les durées de conservation. Tout le reste relève du discours et de l'effroi marketing.

Un SIRH conforme couvre une grande partie de ces obligations automatiquement : registre pré-rempli, DPA signé par défaut, durées appliquées par le système, droits salariés en self-service, chiffrement et traçabilité natifs. Vous gardez votre rôle de responsable de traitement, mais vous le portez beaucoup plus légèrement.

byusage. est conçu RGPD-by-design depuis le premier jour. Pas en option, pas en module premium. Par défaut.

Voir notre approche sécuritéTester byusage. gratuitement14 jours · sans CB
À lire ensuite

Pour aller plus loin sur la conformité.