Les services RH traitent un volume considérable de données personnelles – parfois sensibles – sur les salariés, candidats et anciens employés. La CNIL a sanctionné Amazon France Logistique de 32 millions d’euros (Délibération n° SAN-2024-001, 23 janvier 2024) pour un système de surveillance des salariés excessif. Ce guide RGPD ressources humaines détaille les obligations concrètes pour les DRH.
Points Clés
- Le RGPD s’applique à tous les traitements RH : recrutement, paie, gestion des temps, évaluation, formation, départ.
- La vidéosurveillance au travail est encadrée strictement : pas de surveillance permanente des postes de travail (CNIL, référentiel vidéoprotection).
- Les durées de conservation RH sont définies par le référentiel CNIL : 2 ans pour les candidatures, 5 ans après le départ pour le dossier salarié.
- Le DPO doit être impliqué dans tout nouveau projet RH impliquant des données personnelles (Art. 38 RGPD).
Données des salariés : quels traitements sont concernés ?
Les traitements de données personnelles dans le contexte RH couvrent l’intégralité du cycle de vie de la relation de travail.
Recrutement. Réception et tri de CV, vérification de références, tests de personnalité, scoring de candidatures. La base légale est généralement l’exécution de mesures précontractuelles (Art. 6(1)(b) RGPD) ou l’intérêt légitime (Art. 6(1)(f) RGPD) pour la présélection.
Gestion administrative. Contrats de travail, paie, mutuelles, prévoyance, médecine du travail. Ces traitements reposent sur l’exécution du contrat (Art. 6(1)(b) RGPD) et l’obligation légale (Art. 6(1)© RGPD) pour les déclarations sociales.
Suivi de l’activité. Gestion des temps, badgeuse, contrôle d’accès, géolocalisation des véhicules de service, vidéosurveillance. Ces dispositifs nécessitent une base juridique solide et une proportionnalité démontrée.
Évaluation et formation. Entretiens annuels, bilans de compétences, plans de développement. Les données d’évaluation sont des données personnelles au sens de l’Art. 4(1) RGPD.
Chaque traitement doit être inscrit dans le registre des activités de traitement (Art. 30 RGPD) avec ses finalités, bases légales, catégories de données, destinataires et durées de conservation.
Recrutement et RGPD : obligations spécifiques
Le processus de recrutement est soumis à des règles strictes que de nombreuses entreprises sous-estiment.
Données collectées. Seules les données en lien direct avec l’évaluation de la capacité du candidat à occuper le poste sont licites (Art. L.1221-6 du Code du travail). Il est interdit de demander le numéro de sécurité sociale, la situation familiale détaillée ou les opinions politiques d’un candidat.
Durée de conservation des candidatures. Le référentiel CNIL “gestion du personnel” recommande une durée maximale de 2 ans après le dernier contact avec le candidat. Au-delà, les données doivent être supprimées, sauf consentement du candidat pour rester dans le vivier.
Tests de recrutement. Les tests de personnalité et d’aptitude constituent des traitements de données personnelles. Les candidats doivent être informés préalablement de la nature des tests et avoir accès aux résultats sur demande (Art. L.1221-8 du Code du travail).
Vérification des références. Contacter un ancien employeur nécessite le consentement du candidat. La collecte de données auprès de tiers sans information de la personne constitue un manquement à l’Art. 14 RGPD.
Legiscope permet de générer automatiquement les mentions d’information RGPD adaptées à chaque étape du processus de recrutement et de documenter la conformité dans le registre.
Vidéosurveillance et géolocalisation au travail
La surveillance des salariés est le domaine RH le plus sanctionné par la CNIL. Le principe fondamental est la proportionnalité : un dispositif de surveillance doit être justifié par un objectif légitime et ne pas porter une atteinte disproportionnée aux droits des salariés.
Vidéosurveillance. La CNIL interdit la surveillance permanente et continue des postes de travail. Les caméras ne doivent pas filmer les espaces de pause, les locaux syndicaux ou les toilettes. L’information des salariés est obligatoire (panneau d’affichage + information individuelle). Le CSE doit être consulté avant la mise en place du dispositif (Art. L.2312-38 du Code du travail).
La sanction d’Amazon France Logistique (32 millions d’euros, janvier 2024) illustre les risques : la CNIL a jugé que le système de scan de colis permettant de mesurer en temps réel la productivité de chaque salarié constituait une surveillance excessive, disproportionnée par rapport à l’objectif de gestion logistique.
Géolocalisation des véhicules. La CNIL a publié un référentiel spécifique (délibération n° 2015-165). La géolocalisation est autorisée pour la sécurité des salariés, la gestion de flotte ou la facturation, mais pas pour le contrôle permanent du temps de travail lorsqu’un autre moyen moins intrusif existe. Les données de localisation doivent être conservées 2 mois maximum en base active.
Contrôle des emails professionnels. L’employeur peut accéder aux emails professionnels des salariés, sauf ceux identifiés comme “personnels”. La CNIL recommande d’établir une charte informatique définissant les règles d’utilisation et de contrôle, annexée au règlement intérieur.
Durées de conservation RH : le référentiel CNIL
Le référentiel CNIL “gestion du personnel” (mis à jour en 2023) fournit les durées de conservation de référence.
| Catégorie de données | Durée en base active | Archivage intermédiaire |
|---|---|---|
| Candidatures non retenues | 2 ans après dernier contact | – |
| Dossier salarié | Durée du contrat | 5 ans après départ |
| Bulletins de paie | 1 mois (version dématérialisée) | 50 ans ou jusqu’à liquidation retraite |
| Données de badgeage | 5 ans | – |
| Vidéosurveillance | 1 mois | – |
| Géolocalisation | 2 mois | – |
| Entretiens d’évaluation | Durée de présence du salarié | 3 ans après départ |
Ces durées constituent des maxima recommandés par la CNIL. L’employeur doit documenter la justification de chaque durée dans son registre des traitements.
Droits des salariés et exercice des droits
Les salariés disposent de l’ensemble des droits prévus par le RGPD sur leurs données professionnelles.
Droit d’accès (Art. 15 RGPD). Le salarié peut demander l’accès à l’intégralité de son dossier RH, y compris les évaluations, les notes de management et les données de contrôle d’activité. L’employeur dispose d’un mois pour répondre.
Droit de rectification (Art. 16 RGPD). Le salarié peut demander la correction de données inexactes dans son dossier. Attention : une évaluation subjective n’est pas une donnée “inexacte” au sens du RGPD ; le salarié peut cependant exercer son droit d’opposition dans certains cas.
Droit d’accès au dossier professionnel. Indépendamment du RGPD, l’Art. L.1222-2 du Code du travail impose la transparence sur les méthodes et techniques d’évaluation professionnelle. Les deux droits se cumulent.
Information obligatoire. L’Art. 13 RGPD impose une information complète de chaque salarié sur les traitements de ses données. En pratique, cette information prend la forme d’une notice de protection des données annexée au contrat de travail ou au règlement intérieur.
Le référentiel CNIL “gestion du personnel”
Le référentiel CNIL relatif à la gestion du personnel (adopté en 2019, mis à jour en 2023) constitue le document de référence pour les DRH. Il couvre les finalités autorisées, les données collectables, les durées de conservation et les mesures de sécurité recommandées.
Ce référentiel n’a pas de valeur contraignante mais constitue un standard de diligence : une organisation qui s’y conforme réduit significativement son risque de sanction. La CNIL s’y réfère systématiquement lors de ses contrôles dans le secteur RH.
Les points clés du référentiel incluent l’interdiction de traiter des données relatives aux opinions politiques, syndicales ou religieuses des salariés (sauf obligation légale), l’encadrement strict de la biométrie au travail et la limitation des données transmises aux prestataires de paie.
FAQ
Le consentement du salarié est-il une base légale valide en RH ?
Rarement. Le CEPD et la CNIL considèrent que le consentement du salarié n’est généralement pas libre au sens de l’Art. 7 RGPD en raison du lien de subordination. Les traitements RH reposent principalement sur l’exécution du contrat (Art. 6(1)(b)), l’obligation légale (Art. 6(1)©) ou l’intérêt légitime (Art. 6(1)(f)). Le consentement reste pertinent pour des cas spécifiques comme le maintien d’une candidature dans un vivier.
L’employeur peut-il installer des caméras de surveillance dans les bureaux ?
Oui, mais sous conditions strictes. Les caméras ne doivent pas filmer en permanence les postes de travail, les espaces de pause ou les locaux syndicaux. L’employeur doit justifier d’un objectif légitime (sécurité des biens, par exemple), informer les salariés et le CSE, et limiter la conservation des images à 1 mois. Tout manquement expose à des sanctions pouvant atteindre plusieurs millions d’euros, comme l’illustre la sanction d’Amazon France Logistique (32M euros, 2024).
Combien de temps conserver les CV des candidats non retenus ?
Le référentiel CNIL recommande un maximum de 2 ans après le dernier contact avec le candidat. Au-delà, les données doivent être supprimées sauf si le candidat a expressément consenti à rester dans le vivier de recrutement. La durée de conservation doit être mentionnée dans les informations fournies au candidat au moment de la collecte du CV.
Le DPO est-il obligatoire pour gérer les données RH ?
La désignation d’un DPO est obligatoire pour les organismes publics et les entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle (Art. 37 RGPD). Pour les autres entreprises, le DPO n’est pas obligatoire mais fortement recommandé. Même sans DPO désigné, un référent interne doit piloter la conformité des traitements RH.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial