Découvrez Zola IA ✨ - Votre nouvel assistant RH
Découvrir
Découvrez Zola IA ✨ - Votre nouvel assistant RH
Découvrir
Produits
Clients
Ressources RH
Pourquoi Zola ?
Zola IA ✨
Se connecterDemander une démo
Produits
Clients
Articles RH
Outils RH
Notre équipe
Zola IA ✨
Se connecterDemander une démo
Pour recevoir gratuitement votre ressource :
Fiches pratiques
>
Données RH
>
RGPD et RH

RGPD et RH : guide complet des obligations

Sabrine Azougli
Mis à jour le
13/9/2025
Jérôme Vobmann
Mis à jour le
13/9/2025
Bibliothèque de référentiels de compétences
Télécharger

Depuis son entrée en vigueur en 2018, le RGPD (Règlement Général sur la Protection des Données) bouleverse la manière dont les entreprises collectent, stockent et utilisent les données personnelles. Si la question est souvent associée au marketing ou à l’IT, elle concerne tout autant les ressources humaines, car les services RH traitent au quotidien des informations particulièrement sensibles : contrats de travail, bulletins de paie, évaluations de performance, données de santé, etc.

Ce guide a pour objectif de donner aux DRH et responsables SIRH une vision claire des obligations liées au RGPD, et des bonnes pratiques à mettre en place pour garantir la conformité.

Pourquoi le RGPD est central pour les RH ?

Les services RH sont de véritables “coffres-forts” de données personnelles. Ils manipulent :

  • des données administratives (identité, coordonnées, sécurité sociale) ;
  • des données financières (salaires, avantages) ;
  • des données sensibles (santé, handicap, origine) ;
  • des données de carrière (formations, évaluations, mobilités).

Une fuite ou un traitement illicite de ces données peut avoir de lourdes conséquences : amendes, perte de confiance des salariés, atteinte à la réputation de l’entreprise. Le RGPD fournit donc un cadre indispensable pour sécuriser ces informations et instaurer un climat de transparence.

Les principes RGPD appliqués aux RH

Le RGPD repose sur des principes fondateurs qui doivent guider toute gestion des données RH :

1. Licéité, loyauté et transparence

Tout traitement de données RH doit reposer sur une base légale solide et être mené de manière loyale. Concrètement, cela signifie que les salariés doivent être clairement informés de la finalité de la collecte (ex. gestion de la paie, suivi de formation) et de la manière dont leurs informations seront utilisées. Cette transparence est essentielle pour instaurer un climat de confiance.

2. Limitation des finalités

Les données RH ne peuvent être collectées que pour des objectifs précis et légitimes. Par exemple, il est acceptable de demander un relevé d’identité bancaire pour verser un salaire, mais pas pour analyser les habitudes personnelles d’un salarié. Chaque traitement doit donc avoir une finalité explicite, documentée et communiquée aux collaborateurs.

3. Minimisation des données

Le principe de minimisation impose de collecter uniquement les informations strictement nécessaires. Dans les RH, cela revient à éviter les champs “superflus” dans les formulaires ou les enquêtes internes. Un bon réflexe est de se poser la question : “Ai-je vraiment besoin de cette donnée pour accomplir ma mission RH ?”

4. Exactitude

Les données doivent être exactes et mises à jour régulièrement. Une adresse obsolète ou un numéro de téléphone erroné peut sembler anodin, mais peut avoir des conséquences en cas d’urgence ou de notification légale. Mettre en place des processus pour permettre aux salariés de mettre à jour leurs informations est donc indispensable.

5. Limitation de la conservation

Les données RH ne peuvent pas être conservées indéfiniment. Le RGPD exige que l’on définisse des durées de conservation adaptées. Exemple : un dossier du personnel peut être gardé 5 ans après le départ du salarié, tandis qu’un CV non retenu doit être supprimé après 2 ans maximum. Dépasser ces durées expose l’entreprise à des sanctions.

6. Intégrité et confidentialité

Enfin, les données doivent être protégées contre tout accès ou modification non autorisés. Cela passe par des mesures techniques comme le chiffrement, l’authentification forte, la gestion stricte des droits d’accès et la traçabilité des actions (logs). La confidentialité est un pilier : seuls les collaborateurs habilités doivent accéder aux informations sensibles.

👉 Ces principes ne sont pas abstraits : ils doivent être traduits dans chaque processus RH, du recrutement à la gestion des carrières.

La base légale : le socle de chaque traitement RH

Le RGPD impose que chaque traitement de données personnelles repose sur une base légale clairement identifiée. Sans cette base, le traitement est considéré comme illicite.

Concrètement, cela signifie que lorsqu’un service RH collecte, utilise ou conserve une donnée, il doit être capable de répondre à la question : “En vertu de quoi ai-je le droit de traiter cette information ?”.

  • Exemple 1 : l’exécution du contrat de travail → permet de traiter des données pour établir la paie, gérer les congés ou fournir des avantages sociaux.
  • Exemple 2 : l’obligation légale → justifie la conservation de certains documents pour répondre à des obligations fiscales, sociales ou de santé et sécurité au travail.
  • Exemple 3 : l’intérêt légitime de l’employeur → peut couvrir la mise en place d’outils de gestion des temps, d’évaluation des performances ou de reporting, à condition que cela n’empiète pas sur les droits fondamentaux des salariés.
  • Exemple 4 : le consentement → intervient dans des cas exceptionnels, par exemple pour publier une photo d’équipe sur le site de l’entreprise.

👉 Le lien avec le RGPD est donc direct : identifier la bonne base légale, c’est prouver que le traitement RH est conforme, justifié et proportionné. C’est aussi un garde-fou en cas de contrôle de la CNIL, car l’entreprise doit être capable de démontrer, document à l’appui, la raison pour laquelle chaque donnée est traitée.

Dans le cadre des RH, les bases les plus fréquentes sont :

  • L’exécution du contrat de travail : gestion de la paie, des congés, des avantages.
  • L’obligation légale : déclarations sociales, suivi médical, obligations en matière de santé et sécurité.
  • L’intérêt légitime de l’employeur : par exemple, l’évaluation de la performance ou la mise en place d’outils de planification.
  • Le consentement du salarié : uniquement dans des cas spécifiques (ex. communication interne volontaire, utilisation de photos).

Les obligations concrètes pour les services RH

Pour être conforme, un service RH doit mettre en œuvre plusieurs actions clés :

  • Tenir un registre des traitements (article 30 du RGPD).
  • Nommer un DPO (Délégué à la Protection des Données) si l’activité de l’entreprise l’exige.
  • Informer les salariés de manière claire (notes d’information, charte RGPD).
  • Assurer la sécurité des données (chiffrement, gestion des accès, sauvegardes).
  • Définir une politique de conservation : par exemple, détruire les CV non retenus au bout de 2 ans.
  • Permettre l’exercice des droits : accès, rectification, effacement, portabilité.

Les bonnes pratiques pour une mise en conformité durable

Assurer la conformité RGPD n’est pas un exercice ponctuel, mais un travail de fond qui doit s’inscrire dans la durée. Les obligations légales ne suffisent pas si elles ne sont pas accompagnées de processus clairs, d’outils adaptés et d’une culture interne de la protection des données.

Pour les RH, cela implique d’intégrer la logique RGPD dans les pratiques quotidiennes — depuis la collecte des informations lors du recrutement jusqu’à la suppression des données à la fin de la relation de travail.

Mettre en place de bonnes pratiques durables, c’est à la fois sécuriser l’entreprise, renforcer la confiance des collaborateurs et simplifier la gestion administrative au long cours.

La checklist des bonnes pratiques :

  • Cartographier les données : identifier où elles sont stockées (SIRH, paie, dossiers papier).
  • Mettre en place un processus de revue régulière des durées de conservation.
  • Former les équipes RH pour qu’elles adoptent les bons réflexes (ex. ne pas partager un fichier salarié par mail non sécurisé).
  • Auditer vos prestataires (hébergeur, éditeur SIRH) pour vérifier leur conformité.
  • Communiquer avec les salariés : montrer que la protection des données fait partie de la culture d’entreprise.

Conclusion

Le RGPD n’est pas une contrainte administrative supplémentaire : c’est une opportunité pour les RH de renforcer la confiance des collaborateurs et d’améliorer la gouvernance des données.

En appliquant les principes fondateurs, en identifiant la base légale de chaque traitement et en déployant des pratiques de sécurité robustes, les DRH sécurisent non seulement leur conformité, mais aussi leur crédibilité auprès des salariés et des autorités.

Bibliothèque de référentiels de compétences
Télécharger
Bibliothèque de référentiels de compétences
Télécharger

D'autres fiches pratiques sur les données RH

Une image aérienne d'un centre de données RH en France
13
/
09
2025
Hébergement des données RH en Europe : comprendre les enjeux et choisir la bonne option
> Lire l'article
Tableau CNIL des durées de conservation des données RH : candidats non retenus (2 ans), paie (6 ans), registre unique du personnel (5 ans), évaluations (3 ans), contentieux (6 ans), dossier du personnel (selon obligation).
4
/
09
2025
Durées de conservation des données RH : référentiel pratique (CNIL & RGPD)
> Lire l'article
Schéma cartographie écosystème SIRH (collecte → stockage → accès → purge)
4
/
09
2025
RGPD et RH : guide complet des obligations
> Lire l'article
En voir plus
Bibliothèque de référentiels de compétences
Produits
Gestion des entretiens professionnels
Gestion des entretiens annuels
Outil de création de formation (LMS)
Logiciel de plan de formation (TMS)
Logiciel GPEC (compétences)
Outil de sondage
Outil de feedback
Logiciel de revue du personnel
Clients
Par secteur
Services & technologiesRetail & HCRConseilStartup & scale up
Par taille
1 à 100101 à 1000Plus de 1000
Ressources
Expertise RH
Fiches PratiquesRessources téléchargeablesEntretiensFormationCompétencesRéglementationEnjeux RH
Boîte à outil
Guide de l'entretien professionnelGuide de l’entretien annuelExemple d’entretien professionnelExemple de trame d’entretien annuel
À propos
Qui sommes nous ?ContactMentions légalesCharte de respect de la vie privéePlan du siteSécurité et RGPD