Données personnelles

RGPD ressources humaines & paie 2026 : durées CNIL, surveillance + sanctions

RGPD RH et paie : bases légales, durées de conservation CNIL, surveillance des salariés (badgeage, vidéo, géolocalisation) et sanctions réelles Amazon et SAF Logistics.

Un service RH conforme au RGPD repose sur trois piliers : la bonne base légale pour chaque traitement (rarement le consentement), des durées de conservation strictes et appliquées, et une surveillance des salariés proportionnée et documentée. Concrètement : le recrutement s’appuie sur les mesures précontractuelles ou l’intérêt légitime, la gestion du personnel sur le contrat de travail (article 6-1-b), la paie et la DSN sur l’obligation légale (article 6-1-c). Le consentement du salarié, lui, n’est presque jamais valable : le lien de subordination le vicie. Ajoutez un dispositif de surveillance (badgeage, vidéo, géolocalisation) borné à ce qui est nécessaire et transparent, et vous tenez l’essentiel.

Cet article complète notre guide complet RGPD et ressources humaines en se concentrant sur les points où la CNIL sanctionne réellement : la paie, les durées de conservation et la surveillance des salariés. C’est là que se jouent les gros dossiers — Amazon France Logistique en est la démonstration.

Obligations RGPD spécifiques aux ressources humaines

Le consentement est rarement une base valable en RH

C’est le contre-sens le plus fréquent. En droit du travail, le salarié est en situation de subordination : il ne peut pas refuser librement sans crainte de conséquence. Un consentement obtenu dans ce contexte n’est donc pas « libre » au sens de l’article 4-11 du RGPD. La CNIL et le Comité européen l’ont répété : hors cas marginaux (avantages purement optionnels sans impact sur la relation de travail), on n’utilise pas le consentement en RH.

Les bonnes bases sont ailleurs : le contrat de travail (article 6-1-b) couvre la gestion administrative du salarié, la paie, l’organisation du travail ; l’obligation légale (article 6-1-c) couvre la DSN, les cotisations, la médecine du travail, la tenue du bulletin ; l’intérêt légitime (article 6-1-f) couvre le recrutement et les dispositifs de surveillance, à condition d’une mise en balance écrite. La CNIL a par ailleurs publié un référentiel relatif à la gestion des ressources humaines, qui balise finalités, durées et destinataires — à consulter pour cadrer votre registre des traitements.

Recrutement et candidatures

Vous ne collectez que ce qui évalue la capacité à occuper le poste : pas de numéro de sécurité sociale, pas de données sur la vie privée, la santé, les opinions. Les candidats doivent être informés (article 13) de la finalité, de la durée de conservation et de leurs droits. Un CV n’est pas un permis de tout stocker indéfiniment « au cas où ».

Dossier salarié et paie

Le dossier du personnel centralise contrat, avenants, évaluations, absences. La paie génère bulletins, DSN, déclarations sociales — autant de traitements sous obligation légale. Le bulletin de paie doit être conservé 5 ans par l’employeur (article L3243-4 du Code du travail). Attention à la sous-traitance : l’expert-comptable qui gère la paie ou l’éditeur de logiciel de paie est un sous-traitant au sens de l’article 28, ce qui impose un contrat de sous-traitance (DPA) en bonne et due forme.

Surveillance des salariés : le terrain des sanctions

Tout dispositif de contrôle doit respecter le triptyque proportionnalité, information, consultation du CSE. On applique ici la minimisation sans exception.

  • Badgeage et contrôle d’accès : mesurer le temps de travail est légitime, mais un système ne doit pas servir à un flicage permanent. Les données sont conservées peu de temps.
  • Géolocalisation des véhicules de service : admise pour des finalités précises (sécurité, facturation, optimisation de tournées), jamais pour surveiller en continu. Un salarié doit pouvoir désactiver la géolocalisation hors temps de travail et pendant les pauses. La CNIL a lourdement sanctionné des géolocalisations trop fréquentes dans le secteur de la location (Cityscoot, Ubeeqo).
  • Vidéosurveillance des lieux de travail : autorisée pour la sécurité des biens et des personnes, elle ne peut pas filmer en continu un poste de travail précis ni les lieux de pause. Information des salariés obligatoire.
  • Surveillance des outils (mails, internet) : l’employeur peut contrôler l’usage des outils professionnels, mais de façon proportionnée et transparente. On ne lit pas les messages identifiés « personnel ». Le cadre se pose dans une charte informatique opposable, portée à la connaissance des salariés. Les données de connexion sont conservées 6 mois maximum.

La règle d’or : un dispositif non déclaré aux salariés, non consulté avec le CSE ou disproportionné produit une preuve illicite — et une exposition directe à la sanction.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Candidats non retenus 2 ans après le dernier contact (si conservés, avec information) Au-delà : suppression ou anonymisation
Dossier salarié Durée du contrat de travail Archivage selon prescriptions (prud’hommes, jusqu’à 5 ans)
Bulletins de paie (employeur) 5 ans (article L3243-4 du Code du travail) Obligation légale de conservation
Badgeage / contrôle d’accès 3 mois Justificatif de temps de travail
Vidéosurveillance 1 mois Sécurité des biens et des personnes
Données de connexion (logs) 6 mois Sécurité du système d’information

Ces durées doivent être réellement appliquées : une purge automatique ou un archivage effectif, pas une simple mention dans le registre. Pour le cadre général, voir notre article sur la durée de conservation des données.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Recrutement / candidatures Intérêt légitime ou mesures précontractuelles (art. 6-1-f / 6-1-b) Information du candidat obligatoire ; minimisation stricte
Gestion du personnel Exécution du contrat de travail (art. 6-1-b) Cœur de la relation salarié-employeur
Paie, DSN, cotisations Obligation légale (art. 6-1-c) Imposé par le Code du travail et la sécurité sociale
Badgeage, vidéo, géolocalisation Intérêt légitime (art. 6-1-f) Mise en balance écrite + information + proportionnalité
Contrôle des outils informatiques Intérêt légitime (art. 6-1-f) Encadré par une charte informatique opposable

Le choix de la base juridique n’est pas cosmétique : il détermine les droits des personnes et la validité même du traitement. Se tromper de base — notamment invoquer le consentement là où il ne tient pas — expose à l’invalidation.

Sanctions CNIL réelles du secteur RH

Amazon France Logistique — 32 000 000 € (délibération du 27 décembre 2023). La CNIL a sanctionné un système de surveillance de la productivité jugé excessif : les scanners portés par les préposés d’entrepôt mesuraient en temps réel les temps d’inactivité et de latence, avec des indicateurs très intrusifs. La conservation de ces données pendant 31 jours a été jugée disproportionnée, s’ajoutant à des manquements d’information et de sécurité de la vidéosurveillance. Fait notable : le Conseil d’État a ramené l’amende à 15 000 000 € le 23 décembre 2024, tout en confirmant la réalité des manquements. Le message reste intact : mesurer chaque geste d’un salarié en continu est une surveillance excessive. Détails sur la page CNIL de la sanction Amazon.

SAF Logistics — 200 000 € (délibération du 18 septembre 2023). Cette société de fret aérien avait fait remplir à ses salariés un formulaire de mobilité interne collectant des données très au-delà du nécessaire — y compris des données sensibles (origine ethnique, affiliation politique) et des informations sur les membres de leur famille. S’y ajoutait un défaut de coopération avec la CNIL. C’est l’illustration parfaite d’un manquement à la minimisation en RH : on ne collecte pas « pour voir », et jamais de données sensibles sans base à l’article 9. Voir la décision CNIL SAF Logistics.

Deux enseignements : la surveillance disproportionnée coûte cher (Amazon), et la sur-collecte de données salariés — surtout sensibles — est sanctionnée même pour des montants « modestes » (SAF). Aucun de ces dossiers n’aurait existé avec une analyse de proportionnalité écrite en amont.

Erreurs courantes

  • Faire signer un consentement RGPD au salarié : inutile et souvent invalide à cause du lien de subordination. La base est le contrat ou l’obligation légale, pas le consentement.
  • Conserver les CV des candidats non retenus indéfiniment : au-delà de 2 ans après le dernier contact (et sans information), c’est un manquement caractérisé.
  • Déployer une vidéosurveillance ou un badgeage sans informer les salariés ni consulter le CSE : le dispositif devient une preuve illicite et une exposition à la sanction.
  • Géolocaliser les véhicules de service en continu, y compris pendant les pauses et hors temps de travail : disproportionné, comme l’ont montré les sanctions du secteur de la location.
  • Lire les messages marqués « personnel » ou surveiller la navigation sans charte informatique opposable : le contrôle des outils doit être proportionné et transparent.
  • Oublier le DPA avec l’expert-comptable ou l’éditeur de paie : ce sont des sous-traitants au sens de l’article 28, un contrat écrit est obligatoire.

FAQ

Peut-on demander le consentement d’un salarié pour un traitement RH ?

En principe non. Le lien de subordination empêche un consentement « libre » au sens du RGPD. On s’appuie sur le contrat de travail (article 6-1-b), l’obligation légale (article 6-1-c) ou l’intérêt légitime (article 6-1-f). Le consentement ne se justifie que pour des dispositifs strictement optionnels sans conséquence sur la relation de travail (par exemple la publication d’une photo sur un trombinoscope facultatif), et il doit rester révocable.

Combien de temps conserver un bulletin de paie ?

L’employeur doit conserver le double des bulletins de paie 5 ans (article L3243-4 du Code du travail). Côté salarié, il est conseillé de les garder sans limite car ils servent à la reconstitution de carrière pour la retraite — mais cette conservation-là relève du salarié, pas de l’obligation RGPD de l’employeur.

Peut-on filmer les salariés sur leur poste de travail ?

Non de manière continue et ciblée. La vidéosurveillance est admise pour sécuriser des accès, des zones sensibles ou des marchandises, mais elle ne peut pas placer un salarié sous surveillance permanente à son poste, ni filmer les lieux de pause ou les locaux syndicaux. Les images sont conservées 1 mois, les salariés sont informés et le CSE consulté. Un manquement transforme les images en preuve illicite.

Faut-il une AIPD pour les traitements RH ?

Souvent oui. Une analyse d’impact s’impose dès qu’un dispositif surveille systématiquement les salariés (vidéosurveillance étendue, contrôle de la productivité, géolocalisation). Le dossier Amazon illustre exactement le type de traitement à haut risque qui aurait dû faire l’objet d’une analyse de proportionnalité formalisée. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, permet de documenter cette analyse et de conserver la trace exigée par le principe d’accountability.

Conclusion

En RH, la conformité RGPD ne se gagne pas sur la paperasse générale mais sur trois points précis : la bonne base légale (jamais le consentement), des durées de conservation courtes et réellement purgées, et une surveillance des salariés strictement proportionnée et transparente. Les 32 millions d’Amazon — même ramenés à 15 par le Conseil d’État — et les 200 000 € de SAF Logistics disent la même chose : la CNIL frappe la sur-collecte et le contrôle excessif. Cadrez le recrutement, verrouillez la paie et sa sous-traitance, documentez chaque dispositif de surveillance dans le registre et, quand le risque est élevé, dans une AIPD. C’est peu de méthode pour beaucoup moins de risque.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →