Le service RH est l'un des plus gros collecteurs de données personnelles de l'entreprise : candidatures, contrats, paie, santé, évaluations. Autant de traitements à encadrer, souvent sous-estimés.
Les données RH sont aussi parmi les plus sensibles : une fuite ou un usage abusif touche directement des personnes en situation de subordination. Ce guide fait le tour des obligations RH concrètes, du recrutement au départ du salarié, pour sécuriser vos pratiques sans alourdir le quotidien des équipes.
Chapitre 01 — Recrutement et candidats
Ne demandez que l'utile au poste.
Les informations collectées lors d'un recrutement doivent servir à évaluer la capacité du candidat à occuper le poste. Certaines questions sont interdites car sans rapport avec l'emploi.
Ce qu'on ne demande pas
- Situation familiale détaillée, projet d'enfant, état de santé.
- Opinions politiques, religieuses ou syndicales.
- Toute donnée sans lien direct avec l'évaluation professionnelle.
Les bons réflexes
- Informez le candidat de l'usage de ses données et de la durée de conservation.
- Conservez un CV non retenu 2 ans maximum sans l'accord du candidat.
- Encadrez l'usage éventuel d'outils d'analyse automatisée des candidatures.
Chapitre 02 — Le dossier du salarié
Un dossier, des accès limités.
Le dossier RH regroupe des données parfois sensibles. Il doit être protégé à la hauteur de cette sensibilité.
- Restreignez les accès aux seules personnes habilitées (RH, manager pour ce qui le concerne).
- Sécurisez les supports papier et numériques.
- Les données de santé (arrêts, médecine du travail) font l'objet d'une protection renforcée et d'un accès très restreint.
Chapitre 03 — Badgeuse, vidéo et outils de suivi
Surveiller n'est pas espionner.
Badgeuse, vidéosurveillance, géolocalisation des véhicules, contrôle des accès informatiques : ces dispositifs sont possibles, mais strictement encadrés. Ils doivent être proportionnés à l'objectif poursuivi.
- Information préalable des salariés et consultation du CSE.
- Pas de surveillance permanente et continue d'un poste de travail.
- Caméras interdites dans les zones de pause et les lieux privés.
- Durées de conservation des images et des logs limitées.
Chapitre 04 — Logiciels RH et prestataires
Vos outils RH sont des sous-traitants.
SIRH, logiciel de paie, cabinet comptable externalisé, outil de gestion des congés ou de recrutement : chacun traite des données de vos salariés pour votre compte. Ce sont des sous-traitants au sens du RGPD, à encadrer par contrat.
- Signez un contrat comportant les clauses RGPD (article 28).
- Vérifiez où sont hébergées les données (transferts hors UE).
- Tenez la liste de vos prestataires RH dans votre registre.
Chapitre 05 — Durées de conservation
Chaque donnée a une échéance.
Bulletins de paie, dossiers du personnel, données de badgeage : fixez et documentez une durée par catégorie, puis archivez ou supprimez à l'échéance.
- Bulletin de paie électronique : généralement 5 ans.
- CV de candidat non retenu : 2 ans maximum sans accord.
- Données de badgeage et de vidéosurveillance : durée courte, proportionnée.
Chapitre 06 — Les droits des salariés
Vos salariés ont aussi des droits.
Un salarié peut demander l'accès à ses données, leur rectification, ou s'opposer à certains traitements. Vous devez répondre sous un mois. Prévoyez une procédure et un interlocuteur clairement identifié. Pour un accompagnement global, voir la conformité RGPD. Pour désigner un référent dédié, voir le DPO RGPD externalisé.
Chapitre 07 — Checklist RH conforme
Le passage en revue RH.
Collecte
Encadrement
À vous de jouer
La conformité n'attend pas le prochain contrôle.
Vous avez la méthode. Pour la mettre en œuvre sans y passer des semaines, faites le point avec une juriste dédiée : 30 minutes pour identifier vos écarts et repartir avec un plan d'action clair.




