RGPD pour les RH : Liste de vérification de la conformité des données sur les employés pour les employeurs réglementés : Une liste de vérification pratique de la conformité du RGPD pour les équipes de RH et les employeurs réglementés. Catégories de données sur les employés, bases légales, conservation, surveillance et DSAR..
HubSecure est pertinent lorsque les équipes ont besoin de dossiers clients sécurisés, de collecte de documents, de propriété des flux de travail, d'accès fondé sur le rôle et de preuves prêtes à l'audit dans un espace de travail régi.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Pourquoi les données sur les employés sont une priorité en matière de conformité, pas seulement une question de RH
Les services des RH traitent certaines des données personnelles les plus sensibles de toute organisation : dossiers de santé, données de performance, dossiers disciplinaires, informations financières (salaires, pensions, dépenses), circonstances familiales, et dans les secteurs réglementés — contrôles des casiers judiciaires, évaluations réglementaires de l'aptitude et de la pertinence, et données obligatoires de déclaration.
Malgré cela, la conformité des données sur les employés au RGPD est souvent considérée comme une priorité moindre que la conformité des données sur les clients. Les régulateurs ont remarqué. Plusieurs des mesures d'application de la loi prises en 2025–2026 concernaient des violations des droits de l'homme : surveillance des employés sans divulgation, conservation excessive des anciens dossiers des employés, DAS du personnel pendant les procédures de litige qui ont révélé des défaillances systématiques de la gouvernance des données.
Pour les entreprises de services financiers, juridiques, de soins de santé et autres secteurs réglementés, les enjeux sont encore plus élevés. Les données sur l'aptitude à la réglementation et le bien-être, les dossiers disciplinaires qui touchent à la LMA ou à la fraude, et les données sur les dénonciateurs recoupent toutes les obligations en matière de RH avec les obligations en matière de conformité — créant un paysage de risque plus complexe que celui auquel font face les employeurs typiques.
Le RGPD et le droit du travail interagissent. Le respect des données sur les salariés n'est pas une simple question du RGPD — le droit national de l'emploi, les droits de consultation des comités d'entreprise (en Allemagne, aux Pays-Bas, en France et autres), les conventions collectives et les réglementations sectorielles. La liste de contrôle ci-dessous met l'accent sur les obligations du RGPD; elle fait toujours référence au droit national du travail applicable.
Quelles données sur les employés votre entreprise traite-t-elle?
Avant de pouvoir évaluer la conformité, vous avez besoin d'un inventaire complet. La plupart des fonctions RH sous-estiment la quantité de données qu'elles détiennent. Un inventaire complet comprend des données à chaque étape du cycle de vie de l'emploi :
Recrutement et préemploi
- CV, lettre de motivation, données du formulaire de demande
- Notes d'entrevue et notes d'évaluation
- Lettres de référence et coordonnées des répondants
- Documents de vérification du droit au travail
- Contrôles des casiers judiciaires (DBS/contrôles de divulgation) lorsque la loi le permet
- Vérification des antécédents financiers pour les rôles réglementés (FCA en bonne et due forme, FINMA, etc.)
- Demandes de références réglementaires et réponses (obligatoire dans les services financiers britanniques)
Emploi actif
- Renseignements personnels (nom, adresse, date de naissance, numéro national d'assurance/d'impôt)
- Contrat et conditions de travail
- Données sur la paie, le salaire et les avantages sociaux
- Demandes de pension et d ' assurance vie
- Études de performance et objectifs
- Dossiers et qualifications professionnelles
- Dossiers disciplinaires et de griefs
- Dossiers d'absence et de maladie
- Documentation flexible sur le travail et les congés familiaux
- Registres d'accès aux TI, données de surveillance par courriel (le cas échéant)
- Demandes de remboursement de frais de voyage et données sur les cartes d ' entreprise
- Enregistrements réglementaires (SMF, statut AR au Royaume-Uni; enregistrement d'agents liés MiFID)
Après emploi
- Documents de démission ou de résiliation
- Accords de règlement et modalités de la NDA
- Données de référence réglementaires (obligatoire dans les services financiers)
- Registres des pensions et documents relatifs aux prestations différées
- CMRH / présentation des autorités fiscales
- Données relatives aux litiges (si les litiges sont en cours)
Base légale du traitement des données des employés
Le RGPD exige une base légale pour chaque activité de transformation. Pour les données sur les employés, les bases les plus couramment applicables sont :
| Base légale | Lorsqu'elle s'applique en RH | Principales limitations |
|---|---|---|
| Article 6, paragraphe 1, point b), du contrat | Traitement nécessaire pour exécuter le contrat de travail (rémunération, gestion des congés, administration des prestations) | Ne couvre que ce qui est réellement nécessaire. Ne peut pas être étiré pour couvrir tous les traitements RH. |
| Article 6, paragraphe 1, point c) — Obligation juridique | Rapports du CGRH, inscriptions automatiques aux régimes de retraite, obligations du RGPD elles-mêmes, contrôle du personnel de la LAM, rapports des cadres supérieurs de la FCA | L'obligation juridique doit être précise et claire. Ne peut être utilisé pour les politiques internes. |
| Article 6, paragraphe 1, point f) — Intérêts légitimes | Prévention de la fraude, surveillance de la sécurité, planification de la continuité des activités, référence aux employeurs éventuels | Nécessite un test d'équilibrage. Les intérêts des employés peuvent prévaloir si le traitement est disproportionné. |
| Article 6, paragraphe 1, point a) — Consentement | Ce n'est que dans les cas où l'employé est véritablement facultatif et peut refuser sans préjudice (par exemple, programmes de bien-être facultatifs, prestations d'opt-in) | Le consentement est généralement inapproprié en tant que base principale du traitement de l'emploi, car le déséquilibre de pouvoir signifie qu'il est rarement donné librement. |
Le piège du consentement dans les RH : De nombreux ministères des RH utilisent les formulaires de consentement comme principal mécanisme de collecte de données sur les employés. La norme de consentement du RGPD exige que le consentement soit donné librement — mais les employés sont rarement en mesure de décliner sans conséquence. Le Groupe de travail sur l'article 29 (maintenant EDPB) a déclaré à maintes reprises que le consentement était "probablement donné librement dans le contexte de l'emploi". Utilisez l'exécution du contrat, l'obligation légale ou les intérêts légitimes comme base principale — et n'utilisez que le consentement pour un traitement réellement facultatif et à faible consommation.
Données de catégorie spéciale en RH
Plusieurs catégories de données sur les ressources humaines sont des "catégories spéciales" au sens de l'article 9 du RGPD, qui exigent un consentement explicite ou une condition spécifique de l'article 9, parallèlement à la base légale de l'article 6. En RH, les catégories spéciales les plus courantes sont :
- Données sur la santé — dossiers d'absence de maladie, rapports de santé au travail, mesures d'adaptation en cas d'invalidité, plans de retour au travail échelonnés. Catégorie spéciale la plus courante en RH. La base légale est généralement l'article 9, paragraphe 2, point b), (obligations en matière de droit du travail), combiné à l'article 6, paragraphe 1, point c).
- L'adhésion syndicale — où les employés divulguent l'adhésion ou où les retenues sont faites pour les cotisations syndicales. L'article 9, paragraphe 2, point b), s'applique généralement.
- Données biométriques — systèmes d'enregistrement des empreintes digitales, contrôle d'accès à la reconnaissance faciale. Exige un consentement explicite ou une justification de l'article 9, paragraphe 2, point b), du droit de l'emploi avec une DPIA.
- Données sur les condamnations pénales — vérifications DBS, vérifications de la conduite financière, contrôle lié à la LAM. L'article 10 s'applique (et non l'article 9) — exige une autorisation spécifique en droit interne. Au Royaume-Uni, cette disposition est régie par la loi sur la réadaptation des délinquants; dans d'autres juridictions de l'UE, des dispositions nationales équivalentes s'appliquent.
Surveillance des employés : la zone à risque élevé du RGPD
Le passage au travail à distance et hybride a considérablement augmenté l'utilisation par l'employeur du logiciel de surveillance — suivi de la productivité, des enregistreurs de frappe, des outils de capture d'écran, de la surveillance par courriel et du suivi GPS pour les travailleurs à distance. Il s'agit maintenant de l'un des domaines les plus activement appliqués de la conformité des données sur les employés au RGPD.
La position juridique des autorités de contrôle de l'UE est cohérente:
- Le contrôle des employés n'est pas intrinsèquement illégal — mais il doit avoir une base juridique valide (généralement des intérêts légitimes ou des obligations légales)
- Il doit être proportionné — la méthode la moins intrusive qui répond à l'objectif légitime
- Les employés doivent être informés de manière transparente — dans leur contrat, un document de politique ou un avis de confidentialité spécifique — avant le début de la surveillance
- Une DPIA est requise pour la surveillance systématique ou à grande échelle des employés (article 35 du RGPD)
- Dans de nombreuses juridictions de l'UE (Allemagne, Pays-Bas, France, Autriche), il est nécessaire de consulter les comités d'entreprise avant de mettre en place des systèmes de suivi
L'amende de keylogger: En 2025, un cabinet comptable néerlandais a été condamné à une amende de €2.8M pour avoir installé un logiciel de keylogging sur des ordinateurs portables employés sans divulgation, sans DPIA, et sans base légale au-delà de la politique interne. L'entreprise a soutenu que c'était une « pratique de sécurité standard ». Le DPA néerlandais était en désaccord. L'amende représente environ 8 % du chiffre d'affaires annuel de l'entreprise.
Droits de la personne concernée pour les employés
Les employés ont les mêmes droits que toute personne sur les données du RGPD. Dans la pratique, les activités les plus courantes sont les suivantes :
Droit d'accès (DSAR)
Les employés peuvent demander toutes les données personnelles les concernant. Cela s'exerce le plus souvent pendant les procédures disciplinaires, les procédures de règlement des griefs ou les réclamations du tribunal de l'emploi — précisément quand vous voulez découvrir que votre gestion des données a des lacunes. Les questions courantes dans les RAD des employés comprennent :
- Documents électroniques et communications informelles des gestionnaires qui contiennent des évaluations négatives
- Dossiers de notes de rendement tenus à l'extérieur des systèmes officiels de RH
- Données de surveillance informatique révélant l'étendue de la surveillance
- Données du système de paye révélant des problèmes d'équité salariale
- Références fournies aux autres employeurs à l'insu de l'employé
Droit à l'effacement
Les demandes d'effacement des employés sont plus complexes que les demandes d'effacement des clients parce que le droit de l'emploi crée des obligations de conservation qui se chevauchent. Vous ne pouvez pas supprimer les registres de paye que vous devez conserver pendant 6 ans, ou les registres de pension nécessaires pendant 60 ans, en réponse à une demande d'effacement. Les obligations de conservation l'emportent sur le droit d'effacer — mais uniquement pour les données réellement couvertes par l'obligation. Les données étrangères (notes informelles, données de surveillance excessives, anciens courriels de performance) peuvent et doivent être supprimées lorsque cela n'est plus nécessaire.
Droit d'opposition
Les employés peuvent s'opposer à un traitement fondé sur des intérêts légitimes. Si un employé s'oppose à un programme de surveillance, vous devez déterminer si des motifs légitimes convaincants l'emportent sur leurs intérêts. Il s'agit d'un véritable exercice d'équilibrage — pas d'un tampon-caoutchouc pour continuer à surveiller quoi que ce soit.
Conservation des données RH : Périodes clés
La sur-rétention est l'une des défaillances du RGPD RH les plus courantes et l'une des plus faciles à corriger. Établir un calendrier de conservation et l'appliquer avec des examens périodiques de suppression.
La checklist de conformité RH RGPD
- Avis de confidentialité du personnel (visant les employés) en place et actuel — distinct de l'avis de confidentialité du client
- Article 30 Registres des activités de traitement (RPA) comprend toutes les activités de traitement des RH
- Base légale documentée pour chaque activité de traitement des RH (contrat, obligation juridique, intérêts légitimes, consentement, le cas échéant)
- Traitement de données de catégorie spéciale documenté conformément à l'article 9
- Contrats de travail actualisés pour référencer les activités de traitement des données
- Politique de conservation des données de recrutement en place (les candidats non retenus sont supprimés dans les 12 mois)
- DBS / politique de vérification de la divulgation: résultats non retenus, notation seulement
- Contrôles d'accès aux systèmes de données des RH : accès le moins privilégié, fondé sur le rôle, aux documents sensibles
- Politique de surveillance des employés documentée, divulguée dans les contrats/avis de confidentialité, proportionnée
- DPIA complété pour toute surveillance systématique des employés
- Consultation du comité d'entreprise/représentant du personnel effectuée pour la surveillance (au besoin)
- La procédure DSAR couvre les demandes des employés et pas seulement les demandes des clients
- Calendrier de conservation en place pour toutes les catégories de données des RH
- Examen annuel des suppressions prévu pour les dossiers expirés
- La procédure de violation des données couvre les violations des données des RH (p. ex., l'envoi par courriel de données sur la paie à un mauvais destinataire)
- Des logiciels de RH tiers et des fournisseurs de paie ont signé des ADP (article 28 du RGPD)
- Transferts transfrontaliers évalués lorsque la paie est traitée par un fournisseur américain
- L'équipe des RH a reçu une formation sur les droits des personnes concernées par le RGPD, la notification des violations et la minimisation des données
Foire aux questions
Obtenez des informations sur le RGPD et la conformité dans votre boîte de réception
Rejoignez plus de 300 agents de conformité et équipes juridiques qui reçoivent des mises à jour hebdomadaires sur le RGPD, le LAM et la technologie réglementaire — aucun bruit, désabonnement à tout moment.
Voir HubSecure en action
Gestion des dossiers conforme au RGPD, automatisation DSAR, flux de travail de conservation des données, et traitement de documents chiffrés — construit pour les entreprises réglementées où la conformité n'est pas facultative.
Réservez une démo de 20 minutes →