La protection des données personnelles n’est plus un sujet réservé à l’IT ou au juridique. Elle concerne directement la direction RH, car les données les plus sensibles de l’entreprise se trouvent souvent dans les processus sociaux : identité, coordonnées, situation familiale, rémunération, absences, sanctions, santé au travail, handicap, appartenance syndicale, évaluations, candidatures, trajectoires professionnelles et données de pointage. Ces informations permettent de gérer la relation de travail, mais elles peuvent aussi créer des risques sérieux si elles sont collectées sans finalité claire, conservées sans limite, partagées sans contrôle ou utilisées à des fins non prévues.
La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel encadre ces pratiques. La Commission Nationale de contrôle de la protection des Données à caractère Personnel, la CNDP, veille à l’application de ce cadre. Les entreprises doivent notifier certains traitements, obtenir des autorisations lorsque la sensibilité ou le risque l’exige, informer les personnes concernées, respecter leurs droits, sécuriser les données et encadrer les transferts vers l’étranger.
Dans une lecture ESG, la protection des données RH relève à la fois du pilier social et du pilier gouvernance. Social, car elle protège la vie privée, la dignité et les droits des collaborateurs. Gouvernance, car elle démontre la capacité de l’entreprise à maîtriser ses processus, ses accès, ses sous-traitants, ses systèmes et ses risques de conformité. Un SIRH non déclaré, une caméra mal placée, une base de CV conservée indéfiniment ou un transfert de paie vers un serveur étranger sans cadre approprié peuvent devenir des signaux de faiblesse dans un audit ESG.
Données RH : commencer par la finalité
Le premier principe à appliquer est celui de la finalité. Toute collecte de données RH doit répondre à un objectif précis, légitime et clairement défini. Une donnée collectée pour la paie ne doit pas être réutilisée pour une campagne commerciale. Une donnée collectée pour le recrutement ne doit pas être conservée indéfiniment après la clôture du poste. Une donnée médicale ne doit pas circuler dans les équipes RH au-delà des personnes strictement habilitées.
Cette exigence oblige le DRH à cartographier les traitements. Il ne suffit pas de savoir que l’entreprise dispose d’un SIRH. Il faut identifier les données traitées, les finalités, les bases de traitement, les destinataires, les durées de conservation, les accès, les sous-traitants, les transferts éventuels et les mesures de sécurité. Sans cette cartographie, la conformité reste déclarative.
Tableau 1 – Données RH : finalités à documenter
| Traitement RH | Finalité légitime | Exigence de conformité |
|---|---|---|
| Dossier administratif du collaborateur | Gestion du contrat, paie, déclarations sociales et suivi administratif. | Limiter les données aux informations strictement nécessaires. |
| Paie | Calcul et versement des rémunérations, obligations sociales et fiscales. | Restreindre les accès aux seules personnes habilitées. |
| Recrutement | Évaluation des candidatures et gestion des processus de sélection. | Informer les candidats et limiter la durée de conservation. |
| Formation | Suivi des compétences, inscriptions et attestations. | Éviter la collecte de données non nécessaires. |
| Évaluation | Appréciation professionnelle et gestion de carrière. | Formaliser les critères et sécuriser les accès. |
| Discipline | Gestion des incidents et des sanctions. | Protéger la confidentialité et limiter la durée de conservation. |
| Santé au travail | Aptitude, restrictions et prévention des risques. | Ne pas diffuser les informations médicales détaillées. |
| Pointage | Suivi du temps de travail et des accès aux locaux. | Vérifier la proportionnalité du dispositif. |
| Vidéosurveillance | Sécurité des personnes et des biens. | Respecter les règles de la CNDP et éviter la surveillance généralisée. |
| Reporting ESG | Production d’indicateurs sociaux agrégés. | Anonymiser les données publiées. |
La finalité protège l’entreprise contre le détournement d’usage. Elle protège aussi les collaborateurs contre une collecte excessive. Une direction RH doit pouvoir expliquer pourquoi une donnée est nécessaire. Lorsque la réponse est floue, la donnée ne doit pas être collectée ou doit être retirée du processus.
Proportionnalité : collecter moins, mais mieux
Le principe de proportionnalité impose de collecter uniquement les données nécessaires à l’objectif poursuivi. Cette règle est particulièrement importante en RH, car les formulaires d’embauche, dossiers de candidature, enquêtes internes ou outils digitaux tendent souvent à accumuler des informations par réflexe administratif. Plus la donnée collectée est large, plus le risque augmente.
Demander des informations patrimoniales à un candidat pour un poste sans responsabilité financière directe, collecter des données de santé sans nécessité, conserver les pièces d’identité au-delà du besoin réel, exiger des informations familiales non justifiées ou enregistrer des données biométriques alors qu’un badge classique suffit peuvent créer des risques de non-conformité. La question à poser est simple : cette donnée est-elle indispensable à la finalité annoncée ?
Tableau 2 – Proportionnalité : données à examiner avec prudence
| Donnée collectée | Risque principal | Exigence de conformité |
|---|---|---|
| Numéro de CIN | Utilisation d’un identifiant sensible dans les systèmes RH. | Vérifier le régime CNDP applicable et limiter son usage. |
| Données de santé | Atteinte à la confidentialité médicale. | Restreindre l’accès au médecin du travail ou aux personnes habilitées. |
| Handicap | Risque de discrimination ou de divulgation. | Collecte volontaire, finalité claire et confidentialité stricte. |
| Appartenance syndicale | Donnée sensible liée aux droits collectifs. | Traitement strictement encadré. |
| Situation familiale | Risque d’usage discriminatoire. | Collecter uniquement lorsque nécessaire à un droit ou avantage. |
| Données biométriques | Surveillance excessive et atteinte forte à la vie privée. | Privilégier des moyens moins intrusifs lorsque possible. |
| Images de vidéosurveillance | Surveillance permanente ou détournée. | Définir les zones, la finalité, les accès et la durée de conservation. |
| Données de navigation ou de productivité | Contrôle disproportionné du travail. | Encadrer les outils et informer les collaborateurs. |
La proportionnalité doit aussi guider les outils de surveillance. Un dispositif techniquement possible n’est pas forcément légitime. La vidéosurveillance d’une zone sensible peut être justifiée pour la sécurité. La caméra orientée vers un poste de travail en continu est beaucoup plus problématique. Un contrôle d’accès peut être nécessaire. La biométrie doit être traitée avec une prudence renforcée, car elle repose sur une caractéristique corporelle unique et difficilement modifiable.
Information et droits des collaborateurs : rendre la conformité visible
La loi 09-08 reconnaît aux personnes concernées des droits que l’entreprise doit rendre effectifs. Les collaborateurs et candidats doivent être informés de l’identité du responsable de traitement, des finalités, des destinataires, de la durée de conservation lorsque cela est applicable, ainsi que de leurs droits. L’information doit être claire, accessible et délivrée avant ou au moment de la collecte.
Le consentement ne doit pas être utilisé de manière automatique pour tout justifier. Dans la relation de travail, le lien de subordination peut fragiliser la liberté du consentement. Certains traitements peuvent être nécessaires à l’exécution du contrat ou à une obligation légale. D’autres, plus facultatifs ou plus sensibles, doivent être examinés avec davantage de prudence. Le DRH doit éviter les formulaires généraux par lesquels le collaborateur « accepte tout » sans comprendre les usages réels.
Tableau 3 – Information des collaborateurs : mentions à prévoir
| Élément d’information | Objectif | Exigence de conformité |
|---|---|---|
| Responsable du traitement | Identifier l’entité qui décide des finalités et des moyens. | Mentionner l’entreprise ou l’organisme responsable. |
| Finalité | Expliquer pourquoi les données sont collectées. | Décrire chaque usage de manière compréhensible. |
| Données concernées | Clarifier les catégories d’informations traitées. | Éviter les formulations trop générales. |
| Destinataires | Indiquer qui peut accéder aux données. | Identifier les RH, la paie, les managers, les prestataires ou les autorités selon les cas. |
| Durée de conservation | Éviter la conservation indéfinie. | Définir des durées par type de dossier. |
| Droits des personnes | Permettre l’accès, la rectification ou l’opposition lorsque possible. | Indiquer le canal de contact. |
| Transfert éventuel | Informer en cas de traitement hors du territoire national. | Vérifier le cadre applicable avant tout transfert. |
| Réclamation | Permettre le recours auprès des autorités compétentes. | Mentionner les voies de recours prévues. |
Les droits d’accès et de rectification doivent être organisés. Un collaborateur doit pouvoir demander si des données le concernant sont traitées, connaître les caractéristiques du traitement et demander la rectification des données inexactes, incomplètes ou périmées. La direction RH doit prévoir un canal clair, une procédure interne, un registre des demandes et un délai de réponse. L’absence de réponse ou une réponse improvisée crée un risque direct de réclamation.
Tableau 4 – Droits des collaborateurs : procédure RH recommandée
| Droit exercé | Demande possible | Réponse RH attendue |
|---|---|---|
| Droit d’information | Comprendre les traitements appliqués. | Fournir une information claire et complète. |
| Droit d’accès | Savoir si des données sont traitées et lesquelles. | Répondre dans un délai maîtrisé. |
| Droit de rectification | Corriger une donnée inexacte ou périmée. | Mettre à jour les systèmes concernés. |
| Droit d’opposition | S’opposer à certains traitements pour motifs légitimes. | Examiner la demande et motiver la réponse. |
| Droit à l’effacement ou au verrouillage selon les cas | Limiter ou supprimer certaines données. | Vérifier la compatibilité avec les obligations légales. |
| Droit de recours | Saisir l’autorité compétente en cas de difficulté. | Informer sur les voies de recours. |
Déclarations et autorisations CNDP : éviter les traitements invisibles
La conformité à la loi 09-08 repose aussi sur les formalités auprès de la CNDP. Certains traitements doivent faire l’objet d’une déclaration préalable. D’autres, en raison de leur sensibilité, de leur finalité ou de leur risque pour les droits des personnes, nécessitent une autorisation préalable. La CNDP met à disposition des procédures de notification, avec des formulaires et pièces justificatives selon la nature du traitement.
Les traitements RH courants peuvent relever d’un régime de déclaration. Mais certains usages doivent être examinés avec une vigilance renforcée : données de santé, données relatives au handicap, informations syndicales, biométrie, vidéosurveillance, interconnexion de fichiers, utilisation d’identifiants sensibles, contrôle d’accès et transferts de données à l’étranger. Le DRH ne doit pas lancer un outil RH ou un dispositif de contrôle avant d’avoir vérifié le régime applicable.
Tableau 5 – Traitements RH : déclaration ou autorisation à vérifier
| Traitement ou dispositif | Niveau de risque | Exigence de conformité |
|---|---|---|
| Gestion administrative du personnel | Standard | Vérifier la déclaration applicable. |
| Paie | Standard mais sensible par volume et contenu. | Déclarer ou encadrer selon la procédure applicable. |
| Recrutement en ligne | Risque lié aux candidats et aux durées de conservation. | Informer les candidats et limiter les accès. |
| Données de santé | Élevé | Vérifier l’autorisation préalable et assurer la confidentialité. |
| Handicap | Élevé | Collecte volontaire, finalité claire et protection renforcée. |
| Données syndicales | Élevé | Encadrement strict et accès limité. |
| Vidéosurveillance | Élevé | Respecter les conditions de la CNDP et la finalité de sécurité. |
| Biométrie | Très élevé | Obtenir l’autorisation requise et justifier le recours à la biométrie. |
| Transfert vers l’étranger | Élevé | Vérifier le cadre CNDP applicable avant tout transfert. |
| Interconnexion de fichiers | Élevé | Contrôler les finalités et l’autorisation éventuellement nécessaire. |
L’utilisation du numéro de CIN dans les systèmes RH doit être contrôlée. La CIN est souvent utilisée par facilité comme identifiant unique. Cette pratique peut être excessive si elle n’est pas nécessaire ou si elle circule dans trop d’outils. Le DRH doit limiter son usage aux finalités justifiées, restreindre les accès, éviter les extractions inutiles et vérifier les formalités applicables.
La vidéosurveillance et la biométrie doivent être traitées comme des sujets sensibles. La CNDP a publié des délibérations spécifiques relatives aux dispositifs de vidéosurveillance dans les lieux de travail et aux dispositifs biométriques pour le contrôle d’accès. Ces dispositifs doivent être justifiés, proportionnés, signalés, sécurisés et limités à des finalités précises. Ils ne doivent pas devenir des outils de surveillance permanente des collaborateurs.
Vidéosurveillance, biométrie et contrôle d’accès : encadrer la surveillance
La surveillance au travail est l’un des points les plus sensibles de la privacy RH. Une entreprise peut avoir besoin de protéger ses locaux, ses équipements, ses stocks ou ses collaborateurs. Mais la sécurité ne justifie pas tout. Le dispositif doit être nécessaire, proportionné, limité dans l’espace, limité dans le temps, connu des personnes concernées et réservé à des personnes habilitées.
Les caméras ne doivent pas être installées pour surveiller en permanence l’activité individuelle des collaborateurs. Les zones de repos, sanitaires, vestiaires ou espaces où l’intimité est attendue doivent être exclus. Les enregistrements doivent être conservés pour une durée limitée et accessibles uniquement aux personnes habilitées. Toute utilisation disciplinaire doit être maniée avec prudence et cohérence avec la finalité annoncée.
Tableau 6 – Vidéosurveillance : exigences à sécuriser
| Élément à contrôler | Risque | Exigence de conformité |
|---|---|---|
| Finalité | Détournement vers le contrôle permanent du travail. | Définir une finalité de sécurité claire. |
| Emplacement des caméras | Atteinte à l’intimité ou surveillance disproportionnée. | Exclure les zones sensibles et limiter les angles de prise de vue. |
| Information des collaborateurs | Défaut de transparence. | Afficher une information claire et accessible. |
| Accès aux images | Consultation par des personnes non habilitées. | Restreindre les accès et tracer les consultations. |
| Durée de conservation | Conservation excessive. | Définir une durée de conservation limitée. |
| Usage disciplinaire | Contestation si la finalité est détournée. | Vérifier la cohérence avec l’information communiquée initialement. |
| Sous-traitant sécurité | Accès externe non encadré. | Formaliser les clauses de confidentialité et de sécurité. |
La biométrie exige un niveau de prudence encore plus élevé. Une empreinte digitale, une reconnaissance faciale ou toute autre donnée biométrique ne peut pas être traitée comme un badge ordinaire. La donnée biométrique est liée au corps et à l’identité profonde de la personne. Lorsqu’un moyen moins intrusif permet d’atteindre la même finalité, il doit être privilégié.
Tableau 7 – Biométrie et contrôle d’accès : points d’audit
| Question à poser | Objectif | Exigence de conformité |
|---|---|---|
| La biométrie est-elle réellement nécessaire ? | Tester la proportionnalité. | Justifier l’absence d’alternative moins intrusive. |
| Le dispositif a-t-il été autorisé ? | Vérifier le régime applicable de la CNDP. | Obtenir l’autorisation requise avant le déploiement. |
| Les collaborateurs sont-ils informés ? | Garantir la transparence. | Fournir une notice d’information claire. |
| Les données sont-elles stockées localement ou centralisées ? | Évaluer le risque de fuite. | Limiter la durée de conservation et sécuriser le stockage. |
| Qui accède aux données ? | Réduire le risque interne. | Mettre en place des habilitations strictes. |
| Quelle est la durée de conservation ? | Éviter l’accumulation des données. | Définir une durée de conservation proportionnée. |
| Existe-t-il une alternative ? | Protéger les droits des personnes. | Prévoir un dispositif non biométrique lorsque cela est nécessaire. |
Transferts à l’étranger et prestataires RH : le risque cloud
L’externalisation des outils RH multiplie les transferts et accès indirects. Paie cloud, SIRH international, plateforme de recrutement, outil de gestion des performances, solution de formation, stockage documentaire, support technique ou groupe multinational peuvent impliquer un transfert de données hors du territoire national. La CNDP rappelle que le transfert de données personnelles à l’étranger est encadré et ne peut être effectué que dans les cas prévus.
Le DRH doit donc travailler avec l’IT, le juridique, les achats et la conformité avant de choisir un outil. Il faut vérifier l’emplacement des serveurs, les pays de traitement, les sous-traitants ultérieurs, les garanties contractuelles, les droits d’accès, les mesures de sécurité, la durée de conservation et la procédure de suppression. Un contrat logiciel signé sans revue privacy peut créer un risque durable.
Tableau 8 – SIRH, paie cloud et transferts : contrôles à réaliser
| Contrôle | Question à poser | Exigence de conformité |
|---|---|---|
| Localisation des données | Où les données sont-elles hébergées ? | Identifier les pays concernés. |
| Accès support | Des équipes étrangères peuvent-elles accéder aux données ? | Encadrer les accès et tracer les interventions. |
| Sous-traitants | Le prestataire utilise-t-il d’autres fournisseurs ? | Exiger la liste des sous-traitants et les garanties applicables. |
| Base du transfert | Le transfert est-il autorisé selon le cadre de la CNDP ? | Vérifier la conformité avant tout déploiement. |
| Contrat | Les obligations de confidentialité et de sécurité sont-elles prévues ? | Insérer des clauses contractuelles adaptées. |
| Suppression | Les données peuvent-elles être supprimées ou restituées ? | Prévoir les modalités de fin de contrat. |
| Incident | Le prestataire notifie-t-il les failles de sécurité ? | Définir une procédure d’alerte et de notification. |
La sous-traitance RH ne transfère pas la responsabilité. Même lorsque la paie, le recrutement ou l’hébergement sont confiés à un prestataire, l’entreprise doit contrôler la conformité du traitement. Le prestataire agit sur instruction, mais l’employeur reste souvent responsable des finalités. Cette réalité doit être intégrée dans les contrats et dans les audits fournisseurs.
Durée de conservation : mettre fin aux archives permanentes
La conservation indéfinie des données RH est l’une des erreurs les plus fréquentes. Les dossiers du personnel, candidatures, tests de recrutement, évaluations, sanctions, données de vidéosurveillance, logs d’accès ou documents médicaux ne doivent pas être conservés sans limite. Chaque catégorie doit disposer d’une durée adaptée à sa finalité, aux obligations légales et aux risques de contentieux.
La direction RH doit donc construire une politique d’archivage. Cette politique doit distinguer les données actives, les archives intermédiaires et les données à supprimer ou anonymiser. Elle doit prévoir des règles spécifiques pour les candidats non retenus, les collaborateurs sortis, les sanctions anciennes, les images de vidéosurveillance, les données de pointage et les documents sensibles.
Tableau 9 – Conservation des données RH : politique à formaliser
| Catégorie de données | Risque en cas de conservation excessive | Exigence de conformité |
|---|---|---|
| CV de candidats non retenus | Conservation sans finalité active. | Définir une durée limitée et informer les candidats. |
| Dossiers collaborateurs actifs | Accumulation de données inutiles. | Trier les informations réellement nécessaires. |
| Dossiers collaborateurs sortis | Conservation au-delà des besoins légaux. | Archiver selon les délais de conservation applicables. |
| Sanctions disciplinaires | Usage abusif de faits anciens. | Encadrer la durée de conservation et les accès. |
| Données de santé | Atteinte grave à la confidentialité. | Limiter l’accès aux seules personnes habilitées. |
| Images de vidéosurveillance | Surveillance excessive. | Prévoir une durée de conservation courte et une finalité de sécurité. |
| Logs et contrôle d’accès | Profilage indirect. | Définir une durée de conservation proportionnée. |
| Données ESG | Risque de réidentification. | Privilégier l’agrégation et l’anonymisation des données. |
L’anonymisation peut permettre de conserver certaines informations à des fins statistiques ou ESG. Mais elle doit être réelle. Une donnée simplement pseudonymisée peut encore permettre d’identifier une personne si elle est croisée avec d’autres informations. Le DRH doit donc distinguer anonymisation, pseudonymisation et conservation nominative.
Sécurité et confidentialité : limiter les accès RH
La sécurité des données RH repose d’abord sur la limitation des accès. Toutes les personnes du service RH n’ont pas besoin d’accéder à toutes les données. Tous les managers n’ont pas besoin d’accéder aux rémunérations, sanctions, données médicales ou informations familiales. Les habilitations doivent être définies par rôle, revues régulièrement et supprimées lors des mobilités ou départs.
La confidentialité doit être intégrée dans les pratiques quotidiennes. Un fichier de paie envoyé par e-mail sans protection, un tableau de rémunération partagé dans un espace ouvert, un dossier médical classé dans un répertoire commun, une extraction Excel téléchargée sur un ordinateur personnel ou une conversation informelle sur la santé d’un collaborateur constituent des failles. La sécurité ne dépend pas seulement de la technologie. Elle dépend aussi des gestes RH.
Tableau 10 – Sécurité des données RH : contrôles internes
| Contrôle | Objectif | Exigence de conformité |
|---|---|---|
| Habilitations par rôle | Réduire les accès inutiles. | Définir des profils d’accès adaptés aux fonctions. |
| Revue périodique des accès | Supprimer les droits obsolètes. | Organiser une revue des accès au moins une fois par an. |
| Protection des fichiers sensibles | Éviter les fuites de données. | Utiliser le chiffrement ou des solutions de partage sécurisé. |
| Confidentialité des dossiers médicaux | Protéger les données de santé. | Limiter strictement les accès aux personnes habilitées. |
| Traçabilité des consultations | Identifier les accès abusifs. | Activer les journaux (logs) sur les outils sensibles. |
| Sensibilisation RH et managers | Réduire les erreurs humaines. | Former régulièrement aux règles de confidentialité. |
| Gestion des départs | Supprimer les accès des collaborateurs sortants. | Mettre en place un processus coordonné d’offboarding IT/RH. |
| Gestion des incidents | Réagir rapidement en cas de fuite. | Prévoir une procédure d’alerte, d’analyse et de traitement des incidents. |
La sécurité doit aussi couvrir les documents papier. Les dossiers physiques, armoires RH, formulaires d’embauche, certificats médicaux, sanctions, copies de pièces d’identité et bulletins doivent être conservés dans des espaces sécurisés. La digitalisation ne supprime pas le risque papier. Elle l’ajoute souvent au risque numérique.
Privacy RH et reporting ESG : produire des indicateurs sans exposer les personnes
Le reporting ESG exige des données sociales. Mais ces données doivent être agrégées, anonymisées et proportionnées. Publier le nombre de collaborateurs en situation de handicap, le taux d’absentéisme, les accidents du travail, les écarts de rémunération, les incidents disciplinaires ou les plaintes internes peut être utile. Mais ces informations ne doivent jamais permettre d’identifier une personne, surtout dans les petites équipes ou les populations très réduites.
Le DRH doit donc mettre en place une règle de publication. Lorsque les effectifs concernés sont trop faibles, certains indicateurs doivent être agrégés à un niveau supérieur ou accompagnés de précautions. L’objectif est de rendre compte de la réalité sociale sans exposer les collaborateurs. La transparence ESG ne justifie pas la divulgation de données personnelles.
Tableau 11 – Reporting ESG et données personnelles : règles de prudence
| Indicateur ESG | Risque privacy | Exigence de conformité |
|---|---|---|
| Handicap | Identification possible dans un petit effectif. | Publier uniquement des données agrégées. |
| Santé et sécurité | Exposition d’un accident individuel. | Éviter toute information nominative. |
| Absentéisme | Stigmatisation d’une population. | Agréger les données par périmètre pertinent. |
| Écart salarial | Réidentification dans les petits comités. | Utiliser des catégories suffisamment larges. |
| Discipline | Atteinte à la réputation individuelle. | Publier des tendances et non des cas individuels. |
| Données syndicales | Atteinte à la liberté syndicale. | Protéger strictement ces informations. |
| Turnover | Identification des départs dans une équipe réduite. | Agréger les données par période ou par catégorie. |
La bonne pratique consiste à distinguer trois niveaux : les données individuelles pour la gestion RH, les données agrégées pour le pilotage interne, les données consolidées pour le reporting externe. Chaque niveau doit avoir ses règles d’accès, ses finalités et ses limites.
Pratiques à auditer : les risques les plus fréquents
La conformité privacy RH doit être auditée comme les autres sujets sociaux. Les risques sont souvent invisibles jusqu’à un contrôle, une plainte, une fuite de données ou un litige. Une entreprise peut fonctionner pendant des années avec des pratiques non conformes, puis voir son exposition apparaître brutalement au moment d’un incident.
Tableau 12 – Données RH et surveillance : les pratiques à auditer
| Processus RH audité | Risque juridique | Impact financier et ESG |
|---|---|---|
| Enregistrer le numéro de CIN dans plusieurs outils RH sans justification claire. | Risque de collecte excessive et d’usage non maîtrisé. | Financier : contrôle ou mise en conformité contrainte. ESG : gouvernance des données insuffisante. |
| Conserver indéfiniment les CV et dossiers de candidats non retenus. | Non-respect du principe de limitation de la durée de conservation. | Financier : risque de plainte ou de sanction. ESG : gestion non éthique des données des candidats. |
| Héberger la paie ou le SIRH à l’étranger sans vérification CNDP. | Transfert international non sécurisé. | Financier : risque de blocage, de contrôle ou de sanction. ESG : faiblesse de la gouvernance des fournisseurs. |
| Refuser ou ignorer une demande d’accès ou de rectification. | Atteinte aux droits de la personne concernée. | Financier : réclamation auprès de la CNDP. ESG : mécanisme de gestion des droits inefficace. |
| Traiter des données de santé hors du circuit médical habilité. | Atteinte grave à la confidentialité. | Financier : contentieux et sanction possible. ESG : rupture de confiance. |
| Installer des caméras sans information claire. | Vidéosurveillance non transparente. | Financier : risque de contrôle. ESG : surveillance perçue comme abusive. |
| Utiliser la biométrie sans justification suffisante. | Dispositif disproportionné. | Financier : refus ou sanction possible. ESG : atteinte forte à la vie privée. |
| Partager un fichier de paie non protégé. | Fuite de données sensibles. | Financier : crise interne et risque de sanction. ESG : défaillance des mesures de sécurité. |
| Donner un accès large aux données RH aux managers. | Accès non nécessaire à des informations sensibles. | Financier : usage abusif ou litige. ESG : confidentialité insuffisante. |
| Publier des indicateurs ESG permettant la réidentification. | Atteinte à la vie privée. | Financier : plainte possible. ESG : reporting non éthique. |
Une méthode de pilotage en six niveaux
La maîtrise des données RH suppose une méthode claire. Le premier niveau est la cartographie : quels traitements, quelles données, quelles finalités, quels outils, quels prestataires ? Le deuxième niveau est la qualification : déclaration, autorisation, données sensibles, transfert, vidéosurveillance ou biométrie. Le troisième niveau est l’information : notices, formulaires, affichages et clauses RH. Le quatrième niveau est la sécurité : accès, stockage, partage, archivage et suppression. Le cinquième niveau est l’exercice des droits : accès, rectification, opposition et réclamation. Le sixième niveau est le reporting : données agrégées, anonymisation et traçabilité.
Tableau 13 – Guide de pilotage privacy RH pour les DRH
| Niveau de pilotage | Question à poser | Document attendu |
|---|---|---|
| Cartographie | Quels traitements RH existent réellement ? | Registre des traitements RH. |
| Finalité | Chaque traitement a-t-il un objectif clair ? | Fiche de traitement. |
| Proportionnalité | Les données collectées sont-elles nécessaires ? | Revue des formulaires et des outils. |
| Formalités CNDP | Le traitement relève-t-il d’une déclaration ou d’une autorisation ? | Récépissé, autorisation ou dossier de notification. |
| Information | Les collaborateurs sont-ils correctement informés ? | Notices d’information, affichages et clauses RH. |
| Droits | Les demandes d’accès ou de rectification sont-elles traitées ? | Registre des demandes. |
| Sécurité | Les accès et les fichiers sensibles sont-ils protégés ? | Matrice d’habilitation. |
| Prestataires | Les sous-traitants RH sont-ils correctement encadrés ? | Contrats et clauses de confidentialité. |
| Conservation | Les durées de conservation sont-elles définies ? | Politique d’archivage. |
| Reporting ESG | Les données publiées sont-elles anonymisées ? | Tableau de bord agrégé. |
Cette méthode impose une collaboration étroite entre RH, IT, juridique, conformité, achats, DPO ou référent privacy lorsqu’il existe, et direction générale. Les données RH circulent dans plusieurs systèmes et plusieurs mains. La conformité ne peut donc pas être portée par une seule fonction. Elle doit être intégrée dans chaque projet : nouvel outil, nouveau prestataire, nouvelle enquête interne, nouveau badge, nouvelle caméra, nouvelle plateforme cloud.
La protection des données RH est devenue une composante mesurable de la gouvernance sociale. Une entreprise qui maîtrise ses traitements, limite les données collectées, encadre la surveillance, sécurise les accès et respecte les droits des collaborateurs démontre une maturité réelle. À l’inverse, une organisation qui accumule les données, multiplie les outils sans notification, conserve les dossiers sans limite ou surveille sans transparence expose sa crédibilité.
Les DRH doivent traiter la privacy comme une discipline de gestion du risque social. La donnée personnelle n’est pas une ressource neutre. Elle touche à l’identité, à la rémunération, à la santé, au parcours, aux droits et parfois à la vulnérabilité des collaborateurs. La conformité CNDP n’est donc pas une formalité. Elle constitue une preuve de sérieux organisationnel, de respect des personnes et de solidité du reporting ESG.
