Conformité RGPD en RH

Le SIRH traite des données personnelles particulièrement sensibles : salaires, arrêts maladie, évaluations, handicap, sanctions disciplinaires. La conformité RGPD est un enjeu majeur avec des sanctions pouvant atteindre 4 % du chiffre d'affaires. Ce guide détaille les obligations RGPD spécifiques aux données RH.

Les données RH concernées par le RGPD

Le SIRH collecte et traite de nombreuses données personnelles : identité, coordonnées, RIB, numéro de sécurité sociale, salaire, évaluations, arrêts maladie, situation familiale. Certaines sont des données sensibles au sens du RGPD (données de santé, appartenance syndicale). Le traitement de ces données est soumis à des règles strictes de finalité, de minimisation et de durée de conservation.

Les durées de conservation des données RH

Chaque type de donnée RH a une durée de conservation légale : bulletins de paie (5 ans employeur, illimité salarié), contrat de travail (5 ans après la fin du contrat), registre du personnel (5 ans après le départ), données de candidature (2 ans maximum), entretiens (durée de la relation contractuelle + 1 an). Le SIRH doit automatiser la suppression à l'échéance.

⚠

La conservation indéfinie des données RH est la violation RGPD la plus fréquente dans les entreprises. Configurez les durées de rétention dans votre SIRH dès la mise en place.

Les droits des salariés

Les salariés disposent de droits RGPD : droit d'accès à leurs données personnelles, droit de rectification, droit à la portabilité (export de leurs données), droit à l'effacement (dans les limites des obligations légales de conservation). Le SIRH doit proposer un portail salarié permettant l'exercice de ces droits et un registre des demandes.

Le SIRH comme outil de conformité

Un SIRH conforme RGPD intègre : des durées de conservation automatiques par type de document, un portail salarié avec accès aux données personnelles, un registre des traitements RH, le chiffrement des données sensibles, un hébergement en France ou en Europe (certifié ISO 27001 idéalement) et des logs d'accès. Les éditeurs français (Lucca, Eurécia, PayFit) sont généralement bien positionnés sur ce sujet.

✓

Demandez systématiquement à votre éditeur SIRH un DPA (Data Processing Agreement) et vérifiez la localisation des données avant de signer : ces éléments sont indispensables pour votre registre des traitements.

Points clés à retenir

•Le SIRH traite des données sensibles (santé, appartenance syndicale) soumises à des règles strictes.
•Chaque type de donnée RH a une durée de conservation légale différente : de 2 ans (candidatures) à 5 ans (bulletins de paie).
•Les salariés ont des droits RGPD : accès, rectification, portabilité, effacement (dans les limites légales).
•Les éditeurs français (Lucca, Eurécia, PayFit) hébergent leurs données en France, simplifiant la conformité.
•La CNIL peut sanctionner jusqu'à 20 millions d'EUR ou 4 % du CA mondial en cas de non-conformité.

SIRH recommandés

Lucca

La suite SIRH modulaire française pour PME et ETI

A partir de 8,90 EUR/employé/mois

4.6(542 avis)

cloud50-250250-1000

Eurecia

Le SIRH complet et français pour PME

A partir de 5 EUR/employé/mois

4.4(538 avis)

cloud10-5050-250

Nibelis

Paie externalisée et SIRH pour ETI et grandes entreprises

Sur devis

4.1(134 avis)

cloud250-10001000+

PayFit

Paie et SIRH automatisés pour les PME françaises

A partir de 29 EUR/employé/mois

4.5(1331 avis)

cloud10-5050-250

Questions fréquentes

Le SIRH doit-il être hébergé en France ?+

Le RGPD n'impose pas un hébergement en France mais dans l'Espace Économique Européen (EEE). Un hébergement hors EEE est possible sous conditions strictes (clauses contractuelles types). En pratique, les SIRH français (Lucca, Eurécia, PayFit, Nibelis) hébergent les données en France, ce qui simplifie la conformité et rassure les DPO.

Quelles sanctions en cas de non-conformité RGPD des données RH ?+

La CNIL peut prononcer des amendes allant jusqu'à 20 millions d'EUR ou 4 % du chiffre d'affaires mondial. En pratique, les sanctions sur les données RH portent souvent sur la vidéosurveillance excessive, la géolocalisation des véhicules et les durées de conservation non respectées. La CNIL contrôle régulièrement les traitements RH.

Autres guides

comment-choisir-sirh digitalisation-rh entretiens-annuels-professionnels gestion-congés-absences

Sources : G2 — SIRH Software (mars 2026) | Capterra (mars 2026)

Les données RH concernées par le RGPD

Les durées de conservation des données RH

⚠

La conservation indéfinie des données RH est la violation RGPD la plus fréquente dans les entreprises. Configurez les durées de rétention dans votre SIRH dès la mise en place.

Les droits des salariés

Le SIRH comme outil de conformité

✓

Points clés à retenir

•Le SIRH traite des données sensibles (santé, appartenance syndicale) soumises à des règles strictes.

•Chaque type de donnée RH a une durée de conservation légale différente : de 2 ans (candidatures) à 5 ans (bulletins de paie).

•Les salariés ont des droits RGPD : accès, rectification, portabilité, effacement (dans les limites légales).

•Les éditeurs français (Lucca, Eurécia, PayFit) hébergent leurs données en France, simplifiant la conformité.

•La CNIL peut sanctionner jusqu'à 20 millions d'EUR ou 4 % du CA mondial en cas de non-conformité.

Questions fréquentes

Le SIRH doit-il être hébergé en France ?+

Quelles sanctions en cas de non-conformité RGPD des données RH ?+