Les données RH font partie des informations les plus sensibles d’une entreprise : salaires, évaluations, formations, dossiers médicaux. En cas de fuite, l’impact est double : juridique (sanctions CNIL) et humain (perte de confiance des collaborateurs).

Le chiffrement des données RH, qu’elles soient au repos (stockées) ou en transit (en circulation), est une mesure de sécurité incontournable. Encore faut-il comprendre les différences, savoir comment l’appliquer dans un SIRH cloud et démontrer sa conformité au RGPD.

Chiffrement des données RH : différences, bonnes pratiques et conformité

Le chiffrement des données RH, qu’elles soient au repos (stockées) ou en transit (en circulation), est une mesure de sécurité incontournable. Encore faut-il comprendre les différences, savoir comment l’appliquer dans un SIRH cloud et démontrer sa conformité au RGPD et aux obligations RH.

Chiffrement au repos et chiffrement en transit : quelles différences ?

Le chiffrement au repos concerne les données stockées sur des disques, des bases de données ou des sauvegardes. Son rôle est de protéger ces informations en cas de vol de support physique, de compromission d’un serveur ou d’accès non autorisé.

Exemples : disques chiffrés, bases de données RH sécurisées, sauvegardes protégées.
Standards recommandés : AES-256, rotation régulière des clés, gestion via KMS ou HSM.

Le chiffrement en transit protège les données lors de leur circulation entre deux systèmes, par exemple entre un navigateur et un SIRH, ou entre un SIRH et un LMS. L’objectif est d’empêcher une interception par un tiers.

Exemples : connexion HTTPS, API sécurisée, transfert cloud chiffré.
Standards recommandés : TLS 1.2 minimum, idéalement TLS 1.3.

👉 À retenir : le chiffrement au repos protège contre le vol ou l’intrusion, tandis que le chiffrement en transit protège contre l’interception. Les deux sont complémentaires.

Ce que dit le RGPD et les recommandations de la CNIL

Le RGPD ne cite pas d’algorithme particulier, mais impose de prendre des mesures “appropriées” pour garantir la confidentialité et l’intégrité des données personnelles. Pour les RH, qui manipulent des données sensibles, le chiffrement fait partie des mesures de base attendues.

La CNIL recommande le chiffrement pour tous les traitements sensibles (paie, santé, disciplinaire).
Le DPO doit s’assurer que les choix techniques (algorithmes, durée de conservation des données RH, gestion des clés) sont documentés.
Dans une analyse d’impact (AIPD), le chiffrement est systématiquement attendu comme mesure compensatoire.

👉 En clair : un SIRH sans chiffrement au repos et en transit ne peut pas être considéré comme conforme aux standards de sécurité actuels.

Bonnes pratiques pour chiffrer les données RH

Pour sécuriser efficacement un SIRH, les bonnes pratiques sont à la fois techniques et organisationnelles.

Côté technique

Appliquer le chiffrement disque complet sur serveurs et bases de données.
Chiffrer spécifiquement les colonnes sensibles (salaires, santé).
Protéger toutes les sauvegardes avec AES-256.
Utiliser TLS 1.2 ou 1.3 pour toutes les communications.
Renouveler régulièrement les certificats et supprimer les protocoles obsolètes.
Stocker les clés dans un KMS ou un HSM certifié et planifier leur rotation.

Côté organisationnel

Imposer l’authentification multi-facteurs (MFA) pour les administrateurs RH.
Mettre en place un contrôle d’accès et une traçabilité rigoureuse.
Isoler les bases sensibles dans des environnements dédiés.
Centraliser et auditer régulièrement les journaux d’accès.

👉 Exemple Zola : chiffrement AES-256 pour les données au repos, TLS 1.2+ pour les transferts, gestion des clés via KMS, et exports sécurisés pour les audits RGPD (voir nos engagements sécurité).

Bénéfices business du chiffrement RH

Au-delà de la conformité, le chiffrement renforce la confiance des salariés et des partenaires. Dans un contexte où les éditeurs RH doivent prouver leur conformité ISO 27001 et leur sérieux en matière de DPA, disposer d’un chiffrement robuste est un avantage compétitif.

Gagner la confiance des collaborateurs qui savent que leurs données sont protégées.
Sécuriser les échanges avec les prestataires externes.
Réduire le risque d’amende CNIL et de litiges.
Valoriser l’image de l’entreprise dans les appels d’offres.

En résumé, le chiffrement est bien plus qu’un choix technique : c’est un pilier de la stratégie de conformité et de sécurité RH. Intégré dans une gouvernance solide des données, il devient un atout majeur pour la performance et la sérénité de l’entreprise.

👉 Pour aller plus loin, découvrez notre guide complet sur le RGPD et les obligations RH.

‍Checklist – Audit chiffrement RH

Voici quelques questions à se poser lors d’un audit de sécurité :

Les données au repos (BDD, disques, sauvegardes) sont-elles bien chiffrées ?
Les communications passent-elles uniquement par TLS 1.2+ ?
Les clés de chiffrement sont-elles stockées dans un KMS/HSM ?
Une rotation régulière des clés est-elle prévue et tracée ?
Les exports (Excel, PDF) sont-ils chiffrés ou protégés par mot de passe ?
Les accès administrateurs utilisent-ils le MFA ?
Les journaux d’accès sont-ils centralisés et audités ?

Conclusion

Le chiffrement des données RH, qu’il soit appliqué au repos ou en transit, n’est plus une option. C’est une obligation de fait pour garantir la sécurité, la conformité et la confiance des collaborateurs.

Au repos : disques, bases, sauvegardes chiffrées (AES-256).
En transit : TLS 1.2+ et certificats à jour.
Organisation : contrôle des accès, MFA et journalisation.

👉 Besoin d’un SIRH qui applique ces standards ? Découvrez la sécurité des données Zola et testez le module d’entretiens RH.