En ClairDroit · Économie · Décisions
Guide pratique2026-03-05· 3 min

RGPD et gestion du personnel : registre, AIPD et droits des salariés

Guide RGPD gestion RH : registre des traitements, AIPD, données traitées, durées de conservation, droit d'accès du salarié. Conformité pratique pour employeurs.

La gestion du personnel génère un volume considérable de données personnelles : paie, absences, évaluations, formations, sanctions… Le RGPD impose un cadre strict à leur traitement. Voici comment vous mettre en conformité.

Étape 1 : Tenir le registre des traitements

L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre de ses activités de traitement. En matière RH, les traitements courants à recenser sont :

  • Gestion de la paie et des déclarations sociales
  • Gestion des absences (congés, maladie, maternité)
  • Suivi des entretiens et évaluations
  • Gestion de la formation professionnelle
  • Gestion des outils informatiques mis à disposition
  • Gestion des badges et contrôle d’accès
  • Vidéosurveillance (le cas échéant)

Pour chaque traitement, le registre doit mentionner : la finalité, les catégories de données, les destinataires, les durées de conservation, et les mesures de sécurité.

Étape 2 : Réaliser une AIPD si nécessaire

L’analyse d’impact relative à la protection des données (AIPD) est obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (article 35 du RGPD).

En matière RH, une AIPD est notamment requise pour :

  • La vidéosurveillance systématique des salariés
  • La géolocalisation des véhicules professionnels
  • L’utilisation d’outils de scoring ou de profilage des salariés
  • Le traitement à grande échelle de données de santé (suivi médical centralisé)

Étape 3 : Respecter les durées de conservation

La CNIL a fixé des durées de référence pour les données RH. Voici les principales :

Type de données Durée de conservation
Bulletins de paie 5 ans (article L. 3243-4 Code du travail)
Contrat de travail 5 ans après la fin du contrat
Registre du personnel 5 ans après le départ du salarié
Documents relatifs aux charges sociales 3 ans (article L. 244-3 CSS)
Entretiens d’évaluation Durée de présence + 3 ans
Données de badgeage 5 ans (contrôle du temps de travail)
À retenir : Distinguez la base active (données courantes), l’archivage intermédiaire (obligations légales) et l’archivage définitif (données anonymisées). Un tri régulier est indispensable.

Étape 4 : Gérer les accès aux données

Toutes les personnes de l’entreprise n’ont pas vocation à accéder à toutes les données RH. Il faut définir des habilitations strictes :

  • Service RH / paie : accès à l’ensemble des données nécessaires à la gestion administrative
  • Managers : accès limité aux données nécessaires à l’encadrement (présences, objectifs, évaluations)
  • Direction : accès aux données agrégées et individuelles justifié par les besoins de pilotage
  • Sous-traitants (éditeurs de paie, SPST, comptable) : encadré par un contrat de sous-traitance conforme à l’article 28 du RGPD

    • Étape 5 : Respecter le droit d’accès du salarié

    L’article 15 du RGPD garantit à tout salarié le droit d’accéder à l’ensemble des données personnelles détenues à son sujet. L’employeur doit répondre dans un délai d’un mois (prolongeable de deux mois en cas de demande complexe).

    Le salarié peut obtenir :

    • Une copie de l’ensemble de ses données personnelles
    • Les informations sur les traitements (finalités, durées, destinataires)
    • L’origine des données si elles n’ont pas été collectées directement
    Attention : Le refus de répondre à un droit d’accès ou une réponse incomplète peut donner lieu à une plainte CNIL. L’amende peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD).

    Étape 6 : Sécuriser les données

    L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées :

    • Chiffrement des données sensibles (paie, santé)
    • Gestion des mots de passe et des accès
    • Sauvegardes régulières
    • Formation du personnel RH à la protection des données
    • Procédure de notification en cas de violation de données (72h – article 33 RGPD)

    Checklist conformité RGPD RH

    1. Mettre à jour le registre des traitements RH
    2. Réaliser une AIPD si nécessaire (vidéosurveillance, géolocalisation, scoring)
    3. Vérifier les durées de conservation et purger les données obsolètes
    4. Encadrer les accès par des habilitations
    5. Mettre en place une procédure de réponse aux droits des salariés
    6. Sécuriser les données (chiffrement, sauvegardes, formations)
    7. Encadrer les sous-traitants par contrat (article 28 RGPD)
    À retenir : Le RGPD ne freine pas la gestion RH, il l’encadre. Une conformité bien construite protège l’entreprise des sanctions tout en renforçant la confiance des salariés.

    Accédez au guide complet gratuitement

    Entrez votre email pour lire la suite et recevoir le PDF

    Recevez En Clair chaque semaine

    Les risques juridiques que vous ne voyez pas, les décisions que vous devez prendre — chaque semaine, pour les dirigeantes et dirigeants, DRH, DAF et experts-comptables.