★ Conformité · 2026
RGPD et SIRH : guide conformité paie & RH 2026
Les données RH sont parmi les plus sensibles que traite votre entreprise — santé, salaire, contrat, performance. RGPD, LPD suisse, LGPD brésilienne : voici comment garder votre SIRH conforme sans paralyser le RH.
Le RGPD a 8 ans et reste largement sous-appliqué dans les fonctions RH. Beaucoup d’entreprises tiennent leur registre de traitements à jour côté marketing ou IT, mais oublient que la donnée RH — santé, rémunération, contrat, évaluations, candidatures, NDF — est la plus sensible qu’elles manipulent. Les sanctions CNIL/CNPD sur des manquements RH ont triplé entre 2022 et 2025.
La conformité RGPD d’un SIRH repose sur 5 piliers : (1) base légale claire pour chaque traitement, (2) DPA signé avec l’éditeur + registre des sous-processeurs, (3) hébergement maîtrisé et transferts encadrés, (4) durées de conservation différenciées par type de donnée, (5) droits des personnes outillés (accès, rectification, oubli). Au-delà du RGPD, prévoir LPD suisse, LGPD brésilienne et lois équivalentes selon les pays d’implantation.
01Données RH = données sensibles
Le RGPD distingue données « simples » (nom, email pro) et données « sensibles » (santé, opinions, biométrie). Mais en pratique, presque toutes les données RH sont juridiquement sensibles ou risquées :
- État civil + n° sécurité sociale (donnée identifiante hautement sensible).
- Salaire et primes (donnée patrimoniale, à divulgation très limitée).
- Arrêts maladie, accidents, certificats médicaux (donnée santé — catégorie particulière).
- Évaluations, entretiens, ratings (donnée d’opinion sensible).
- Candidatures et CV rejetés (rétention strictement limitée).
- Notes de frais avec détail des restaurants, hôtels, déplacements.
Un SIRH non conforme expose à la fois l’employeur et son éditeur. La responsabilité partagée (article 28 RGPD) impose des obligations contractuelles précises.
02Choisir la bonne base légale par traitement
Chaque traitement RH doit s’appuyer sur une base légale identifiée. En pratique pour un SIRH :
- Exécution du contrat : paie, contrat, congés, NDF — base la plus courante.
- Obligation légale : DSN, déclarations obligatoires, attestations.
- Intérêt légitime : annuaire d’entreprise, certaines analytics RH.
- Consentement : ne JAMAIS utiliser pour la paie ou les contrats — le rapport de subordination invalide le consentement.
03Sous-traitance & DPA : le contrat clé
Votre éditeur SIRH est sous-traitant au sens RGPD. Vous devez impérativement disposer :
- D’un DPA signé (Data Processing Agreement) annexé au contrat principal.
- Du registre public des sous-processeurs de l’éditeur (qui sont les hébergeurs, sous-traitants, partenaires paie ?).
- D’une clause de notification en cas de changement de sous-processeur (préavis 30 jours minimum).
- D’engagements de notification de violation sous 72 h.
Le registre Illizeo est public et donne un exemple de ce qu’il faut exiger.
Sécurité Illizeo : RGPD + hébergement Suisse
Politique de sécurité, hébergement, gestion des accès, audits annuels. Tout est documenté publiquement.
04Hébergement et transferts internationaux
Depuis l’arrêt Schrems II (2020) et l’invalidation du Privacy Shield, les transferts vers les États-Unis doivent reposer sur les clauses contractuelles types (CCT) renforcées ou sur le Data Privacy Framework (DPF, 2023). Vérifiez :
- Où sont hébergés les serveurs principaux ET les backups (souvent oublié).
- Quels pays accèdent à la donnée (sous-traitants support en Inde, Maroc, etc.).
- Quelles CCT sont en place pour chaque transfert hors UE.
- Si l’éditeur propose un hébergement souverain UE ou suisse à la demande.
05Durées de conservation différenciées
Vous ne pouvez pas conserver toutes les données RH ad vitam. Les durées légales en France :
| Type de donnée | Durée pendant emploi | Après départ |
|---|---|---|
| Bulletin de paie | Pendant la relation | 50 ans (employeur) / illimité (employé) |
| Contrat de travail | Pendant la relation | 5 ans après fin |
| NDF | 10 ans (comptable) | 10 ans |
| Candidature non retenue | — | 2 ans max |
| Évaluations annuelles | Durée justifiée | 5 ans max recommandé |
| Arrêt maladie | 1 an après fin de l’arrêt | Anonymisation |
Un bon SIRH automatise ces purges et anonymisations selon les règles que vous paramétrez.
06Au-delà du RGPD : LPD, LGPD, PIPEDA…
Le RGPD inspire mais ne remplace pas. À l’international vous devez tenir compte :
- Suisse : nLPD (révisée 2023), exigences proches mais distinctes.
- UK : UK-GDPR post-Brexit, alignement maintenu mais transferts à encadrer.
- Brésil : LGPD, calquée sur RGPD avec ANPD comme autorité.
- Canada : PIPEDA (fédéral) + Loi 25 (Québec, durcie 2023).
- Singapour : PDPA, registre de notifications obligatoire.
- US : patchwork état par état (CCPA Californie, NYDFS New York, etc.).
Un SIRH international doit permettre de paramétrer des règles de rétention par pays, pas globales.
07Préparer un audit CNIL ou sous-traitant
Une demande d’audit peut arriver : autorité de contrôle, audit client (votre client vérifie son sous-traitant), ou audit interne. Préparez :
- Registre des traitements RH à jour (article 30 RGPD).
- Politiques internes (charte informatique, durées de rétention, droits des personnes).
- DPA signés avec tous les sous-traitants.
- Documentation des violations passées et actions correctives.
- Preuves de formation RGPD des équipes RH.
08Checklist conformité SIRH en 12 points
- DPA signé avec l’éditeur, accessible.
- Registre des sous-processeurs consulté et à jour.
- Hébergement localisé connu (siège + backups).
- CCT ou DPF en place pour transferts extra-UE.
- Certifications de sécurité reconnues à jour.
- Durées de conservation paramétrées par type de donnée et par pays.
- Procédure de droit d’accès opérationnelle (< 30 jours).
- Anonymisation automatique des données expirées.
- Logs d’accès aux données sensibles tracés.
- MFA obligatoire pour les profils admin.
- Politique de notification de violation alignée 72 h.
- Formation RGPD annuelle des équipes RH documentée.
Audit conformité gratuit
30 min avec un consultant pour évaluer votre conformité SIRH actuelle et prioriser les actions correctives.
Questions fréquentes
Mon éditeur SIRH est aux États-Unis : c’est rédhibitoire ?
Non, mais surveillé. Tant qu’il opère sous Data Privacy Framework (DPF) ou avec des CCT renforcées et qu’il documente précisément les transferts, c’est conforme. Demandez-lui sa cartographie des flux de données. En cas de doute, privilégiez un éditeur européen ou suisse, qui simplifie l’analyse de risque.
Faut-il un DPO pour utiliser un SIRH ?
Pas obligatoirement. Le DPO est obligatoire pour les entreprises traitant des données à grande échelle, dans le secteur public, ou pratiquant un suivi systématique. Pour une PME < 250 collaborateurs sans traitement particulier, un référent RGPD interne suffit, avec un accompagnement externe ponctuel.
Combien de temps conserver les arrêts maladie ?
1 an après la fin de l’arrêt, puis anonymisation. La durée brute (en jours) peut être conservée plus longtemps pour les stats, mais sans détail médical.
Que faire en cas de violation de données RH ?
Notification CNIL sous 72 h si risque pour les personnes, notification individuelle si risque élevé. Documentez l’incident dans un registre dédié. Le DPA avec l’éditeur doit prévoir qui notifie quoi.
Un collaborateur peut-il exiger l’effacement de toutes ses données ?
Non. Le droit à l’oubli ne s’applique pas aux données nécessaires à l’exécution du contrat (paie, contrat, NDF) ou à une obligation légale. Il s’applique en revanche aux données non nécessaires : photo profil, données d’évaluation au-delà des durées légales, candidatures non retenues, etc.
