Testez votre maturité RGPD
Duo Conseil RGPD > RH & salarés > Données salariés et RGPD : le risque que les entreprises ignorent

Données salariés et RGPD : le risque que les entreprises ignorent

données salariés RGPD risque entreprise

« Ne vous inquiétez pas, nous sommes conformes au RGPD. Notre site est impeccable — mentions légales, bandeau cookie, politique de confidentialité. Tout y est. »

Cette phrase, nous l’entendons régulièrement lors de nos premiers échanges avec des dirigeants de TPE/PME. Et ils ont raison — sur leur site. Mais le RGPD ne s’arrête pas à la vitrine numérique de votre entreprise. Il s’applique à toutes les données personnelles que vous traitez. Y compris — et surtout — celles de vos propres salariés.

Or c’est précisément là que se nichent, dans la majorité des entreprises, les manquements les plus fréquents et les plus exposés.

Les données salariés : un périmètre bien plus large qu’on ne le croit

Dès qu’une personne postule dans votre entreprise, vous commencez à collecter des données personnelles. CV, lettre de motivation, coordonnées, diplômes, références… La relation de travail n’a pas encore débuté que vous êtes déjà responsable de traitement.

Ce périmètre s’élargit ensuite tout au long de la vie du contrat :

  • Données d’identification et bancaires (RIB, numéro de sécurité sociale)
  • Données de paie et d’évaluation
  • Absences, arrêts maladie, congés
  • Formations suivies et certifications
  • Données de connexion aux outils informatiques

Chacune de ces données est soumise aux obligations du RGPD : base légale, durée de conservation, sécurisation, droits des personnes. Et c’est là que la plupart des entreprises décrochent.

Erreur n°1 : collecter sans savoir pourquoi

Un cas que nous rencontrons très fréquemment : l’entreprise constitue un dossier de recrutement sans avoir réfléchi à l’utilité réelle de chaque information demandée. Permis de conduire pour un poste sédentaire, numéro de sécurité sociale dès la phase de candidature, diplômes originaux scannés et conservés indéfiniment…

Le principe de minimisation des données (article 5 du RGPD) est pourtant clair : vous ne devez collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité poursuivie. En clair : si vous n’avez pas de raison précise de collecter une donnée, vous n’avez pas à la collecter.

Le problème ne vient pas d’une mauvaise intention — il vient d’une absence de réflexion sur l’usage de la donnée et sa durée de conservation. Deux questions que trop peu d’entreprises se posent au moment de concevoir leurs processus RH.

Erreur n°2 : conserver sans limite et sans tri

Voici un exemple concret, tiré de notre expérience terrain. Une entreprise organise un week-end d’intégration et collecte, via un formulaire, les habitudes alimentaires de ses salariés : allergies, régimes particuliers, restrictions religieuses. Une démarche louable, pensée pour le bien-être des collaborateurs.

Problème : ces données sont conservées dans un fichier Excel partagé, « parce que c’est pratique pour la prochaine fois ».

Ce que beaucoup ignorent : une information comme « ne mange pas de porc » peut révéler une appartenance religieuse. Elle entre donc dans la catégorie des données sensibles au sens de l’article 9 du RGPD — soumises à un régime de protection renforcé. Les conserver sans base légale explicite et sans durée de conservation définie expose l’entreprise à une sanction.

Ce cas illustre une réalité plus large : le dossier RH de la plupart des entreprises est un agrégat de données accumulées au fil des années, sans règle de purge, sans tri, sans réflexion sur ce qui est encore utile et ce qui doit être supprimé.

Ce que vous devez mettre en place concrètement

La bonne nouvelle : se mettre en conformité sur le volet RH ne nécessite pas de tout reconstruire. Il s’agit avant tout de structurer ce qui existe déjà.

Les 4 réflexes à adopter :

  • Cartographier les données RH collectées à chaque étape (recrutement, onboarding, vie du contrat, départ)
  • Définir une durée de conservation pour chaque catégorie de données et la respecter
  • Supprimer les données qui n’ont plus de finalité — y compris dans les anciennes boîtes mail et fichiers partagés
  • Former les personnes qui manipulent ces données (RH, managers, direction) aux bons réflexes

Ces actions sont accessibles à toute entreprise, quelle que soit sa taille. Elles ne demandent pas de juriste dédié — elles demandent une méthode et un accompagnement adapté.

Et si vous faisiez le point sur votre situation ?

Votre site est peut-être impeccable. Mais vos données RH, elles, racontent peut-être une autre histoire. Le seul moyen de le savoir, c’est de regarder en face ce que vous collectez, pourquoi, et combien de temps vous le conservez.

C’est exactement ce que nous faisons lors d’un audit RGPD — et souvent, les premières surprises viennent des fichiers RH, pas du site web.

Vous voulez savoir où en sont vos données salariés ?
Échangeons sur votre situation — sans engagement.

Sommaire

Articles similaires

L'expert

Image de Fabien Wajcman

Fabien Wajcman

Consultant spécialisé en RGPD, digitalisation et management des systèmes d'information. Accompagne les organisations dans leur mise en conformité et la sécurisation de leurs données personnelles. DPO certifié.

Les cookies nécessaires activent des fonctionnalités essentielles du site comme les connexions sécurisées et les ajustements des préférences de consentement. Ils ne stockent pas de données personnelles.
Aucun
Les cookies fonctionnels supportent des fonctionnalités comme le partage de contenu sur les réseaux sociaux, la collecte de retours, et l’activation d’outils tiers.
Aucun
Les cookies analytiques suivent les interactions des visiteurs, fournissant des informations sur des métriques comme le nombre de visiteurs, le taux de rebond et les sources de trafic.
Aucun
Les cookies publicitaires diffusent des annonces personnalisées basées sur vos visites précédentes et analysent l’efficacité des campagnes publicitaires.
Aucun