Data Privacy

RGPD et ressources humaines : guide employeur 2026

RGPD en RH : recrutement, dossier salarié, surveillance, badge, géolocalisation. Sanctions CNIL et délibérations 2024-2026. Guide DRH et DPO.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. Les données RH concentrent tous les défis du RGPD : déséquilibre employeur/salarié (consentement quasi inopérant), masse de données sensibles (santé, fiscalité, opinions), surveillance (vidéo, badge, mails). La CNIL publie depuis 2020 un « Guide RGPD du recrutement » et a sanctionné lourdement : Spartoo 250 K€ (2020), CDISCOUNT 230 K€ (2022), JobTeaser 200 K€ (2023), Pap.fr 30 K€ (2024). Toute DRH doit cartographier les 20-30 traitements RH et leurs bases légales.

L’employeur traite en moyenne 15-25 traitements RH distincts, du recrutement à l’archivage post-départ. Chacun impose une base légale, une durée et des mesures de sécurité spécifiques.

Pour approfondir : PSSI ANSSI, cartographie SI, RGPD Suisse.

Points clés

  • En RH, le consentement est quasi inopérant (déséquilibre) — privilégier exécution du contrat ou obligation légale.
  • La vidéosurveillance des salariés relève d’une délibération CNIL 2024 mise à jour.
  • Les badges d’accès doivent suivre une durée de conservation 3 mois maximum (CNIL).
  • Le dossier salarié se conserve 5 ans après départ, le bulletin de paie 50 ans.
  • Les outils SIRH SaaS US posent question depuis Schrems II (DPF et garanties).

1. Bases légales typiques en RH

Traitement Base légale RGPD
Recrutement (CV reçus) Intérêt légitime (art. 6.1.f)
Contrat de travail, paie Exécution du contrat (art. 6.1.b)
Déclarations URSSAF, DSN Obligation légale (art. 6.1.c)
Médecine du travail Obligation légale + santé (art. 9.2.h)
Vidéosurveillance Intérêt légitime + information
Géolocalisation véhicule Intérêt légitime + CSE
Évaluation annuelle Intérêt légitime
Mail professionnel Exécution contrat
Annuaire interne photo Consentement

Le consentement en RH est valide uniquement si vraiment libre (photo annuaire, partage LinkedIn, etc.).

2. Recrutement : ce que dit la CNIL

Guide CNIL « RGPD et recrutement » (2020, mis à jour 2023) :

  • CV non retenus : effacement < 2 ans (sauf accord candidat pour vivier)
  • Tests psychotechniques : justifier la finalité, durée 2 ans max
  • Vérification réseaux sociaux : interdite hors compte pro public (Linkedin OK)
  • Discrimination : ne pas collecter données sensibles (origine, santé, opinion)
  • Background check : strictement encadré (CNIL délibération 2024)

Sanction JobTeaser 2023 — 200 K€ : conservation excessive CV étudiants.

3. Dossier salarié : structure type

Pièce Durée conservation
Contrat de travail 5 ans après départ
Bulletin de paie 50 ans (employeur) / 5 ans (salarié)
Documents fin contrat (STC) 5 ans après départ
Avis arrêt maladie 5 ans
Tickets restaurant 3 ans
Notes de frais 10 ans (comptable)
Évaluations annuelles 2 à 5 ans après départ
Documents disciplinaires 2 ans (art. L1332-4 CT)
Dossier médical Médecine du travail (50 ans)

4. Surveillance des salariés : règles CNIL

Principe général : proportionnalité + information préalable + consultation CSE.

Outil Acceptable Encadrement
Filtrage proxy web Oui Pas de surveillance individuelle systématique
Lecture e-mails pro Non sauf abus avéré Présence salarié, hors mention « personnel »
Vidéosurveillance Oui, zones communes Pas sur postes de travail individuels
Géolocalisation véhicule Oui temps travail Désactivation hors horaires obligatoire
Keylogger Interdit sauf cas exceptionnel Quasi-impossible à justifier
Vidéoconférence enregistrée Consentement Mention systématique

5. Badges d’accès : limites strictes

La CNIL est claire : durée de conservation 3 mois maximum pour les logs de badge (sauf justification spécifique). Au-delà : usage justifié sécurité ou enquête.

Sanction de référence : CR Cdiscount 2022 (230 K€) notamment pour conservation excessive logs badge.

6. Vidéosurveillance : encadrement 2024

CNIL délibération 2024-031 du 7 mars 2024 sur la vidéosurveillance au travail :

  • Pas de caméra sur poste individuel (sauf manutention espèces, biens à forte valeur)
  • Pas de caméra dans salles de pause, vestiaires, toilettes
  • Information préalable des salariés + CSE
  • Durée conservation 1 mois maximum (au-delà : justification)
  • Accès aux images strictement limité (RH, sécurité, encadrement direct exclu)
  • Affichage panneau visible mentionnant DPO et droits

7. SIRH : choisir un outil conforme

Critères de sélection 2026 :

  • Hébergement UE ou SecNumCloud
  • Sous-traitant RGPD (contrat art. 28)
  • Chiffrement au repos et en transit
  • Authentification MFA
  • Journalisation des accès
  • Exports réversibilité
  • Conformité ISO 27001, HDS si santé

SIRH français de référence : Lucca, PayFit, Eurécia, Cegid Talentsoft, Sage.

SIRH internationaux : Workday, SuccessFactors (SAP), Oracle HCM — vigilance transferts hors UE.

8. Géolocalisation des véhicules

Délibération CNIL NS-051 (2015) toujours référente :

  • Finalités acceptables : sécurité, contrôle utilisation, optimisation tournées
  • Pas de géolocalisation hors horaires (désactivation automatique)
  • Durée conservation : 2 mois (sauf preuve infraction routière : 1 an)
  • Information CSE + salariés obligatoire
  • Pas de géolocalisation des représentants du personnel pendant mandats

9. Whistleblowing : loi Sapin 2 + RGPD

Loi Sapin 2 modifiée 2022 (entreprises 50+ salariés) :

  • Dispositif d’alerte interne obligatoire
  • Confidentialité absolue du lanceur d’alerte
  • Conservation : 2 mois si non recevable, indéterminée si suite donnée
  • Plateformes : EQS, Whispli, Trusty, Signalement.fr

La CNIL a publié un référentiel alertes professionnelles en 2019, mis à jour 2022.

10. RGPD et représentants du personnel

Le CSE traite des données salariés (réclamations, négociations) :

  • Désignation DPO recommandée si CSE consolidé
  • Accès limité aux données nécessaires à la mission
  • Confidentialité renforcée
  • Pas d’usage individuel des données collectives

11. Sanctions CNIL marquantes RH

Année Entité Amende Motif
2020 Spartoo 250 K€ Conservation conversations call-center
2021 Brico Privé 500 K€ Sécurité comptes salariés
2022 Cdiscount 230 K€ Badge + sécurité
2022 Discord 800 K€ Conservation salariés + comptes
2023 JobTeaser 200 K€ Conservation excessive CV
2024 Pap.fr 30 K€ Recrutement, données candidats
2024 NS Cards France 105 K€ Sécurité données paie
2025 Carrefour Banque 800 K€ Logs accès, dossier salarié

12. Checklist DRH conforme 2026

À vérifier :

  1. Registre des traitements RH à jour
  2. Mentions information sur formulaires recrutement + contrats
  3. Procédure exercice droits (accès, rectification, effacement)
  4. Politique conservation par type de document
  5. Liste outils SIRH avec DPA signé
  6. Contrat avec médecine du travail conforme
  7. Délibération CSE sur vidéosurveillance et géolocalisation
  8. Charte informatique signée
  9. Procédure départ salarié (révocation accès, archivage)
  10. Formation DRH/managers RGPD annuelle
  11. PIA pour outils sensibles (e-mail monitoring, IA recrutement)
  12. Audit annuel des accès aux dossiers RH

FAQ

Peut-on demander la photo d’un candidat dans son CV ?

Légalement, oui, mais la CNIL le déconseille fortement (risque discrimination). En recrutement, la photo n’apporte aucune information professionnelle pertinente et expose à des biais. Ne jamais l’imposer comme obligatoire.

Combien de temps conserver un bulletin de paie ?

50 ans pour l’employeur (Code du travail art. L3243-4, obligation de prouver la paie pour la retraite). 5 ans pour le salarié (URSSAF, prescription). En cas de litige prud’homal : durée jusqu’à clôture définitive.

Peut-on consulter les e-mails d’un salarié absent ?

Oui pour les e-mails professionnels (pas marqués « personnel »), avec justification (continuité de service). Non pour les e-mails marqués « personnel » sans présence du salarié, sauf décision judiciaire (arrêt Cass. soc. Nikon 2 oct. 2001).

Faut-il consulter le CSE avant de mettre en place une vidéosurveillance ?

Oui, consultation préalable obligatoire du CSE (art. L2312-38 CT) pour tout dispositif de contrôle de l’activité. Pas de mise en place sans avis CSE et information individuelle des salariés. Le non-respect = invalidité du dispositif et risque pénal.

Quels outils SIRH français conformes 2026 ?

Pour la paie : PayFit, Sage, Cegid, ADP France. Pour le SIRH complet : Lucca, Eurécia, Cegid Talentsoft, Foederis. Pour le recrutement : Beetween, FlatchR, Welcome to the Jungle. Tous hébergés UE, contrats DPA disponibles.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →