📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

RGPD et ressources humaines : 6 erreurs à éviter

Actualités RGPD

Sommaire

Le RGPD concerne chaque entreprise, quelle que soit sa taille, et elle touche directement le quotidien du service des ressources humaines. 

Malheureusement, de nombreuses entreprises commettent des erreurs qui les exposent à des sanctions financières très importantes, à une perte de confiance des collaborateurs et à une atteinte à leur réputation. Voici les pièges les plus courants à connaître et à éviter.

Le RGPD au cœur des pratiques RH

Le domaine des ressources humaines est particulièrement concerné par le Règlement Général sur la Protection des Données. 

En effet, les ressources humaines traitent un grand nombre de données dans le cadre de leurs activités. Voici quelques exemples de types de données qui peuvent être collectées, stockées et traitées par le service RH :

  1. Données personnelles
    • Exemples : nom, prénom, adresse, téléphone, e-mail, numéros d’identification (sécurité sociale, passeport…).
    • Utilisation : gestion administrative, communication interne.
  2. Données liées à l’emploi
    • Exemples : poste occupé, historique professionnel, congés, dates d’embauche et de départ.
    • Utilisation : suivi des carrières, gestion du personnel.
  3. Données financières
    • Exemples : salaire, primes, avantages sociaux, bulletins de paie.
    • Utilisation : paiement des salariés, suivi des droits et avantages.
    • Conservation : respecter les durées légales (ex. : bulletin de paie conservé 5 ans après départ).
  4. Données de formation et développement
    • Exemples : formations suivies, évaluations, compétences, certifications.
    • Utilisation : planification et suivi des formations, développement des compétences.
  5. Données médicales(sensibles)
    • Exemples : santé, handicaps, absences pour maladie, besoins spécifiques, demandes d’accommodement.
    • Utilisation : garantir sécurité et accessibilité, adapter le poste si nécessaire.
    • Protection renforcée requise.
  6. Données de performance
    • Exemples : évaluations, promotions, primes, objectifs atteints, commentaires.
    • Utilisation : suivi des performances, gestion des promotions et récompenses.

⚠️ Cette liste n’est pas exhaustive : toute donnée collectée doit être pertinente, sécurisée et justifiée.

Des erreurs dans la gestion de ces données peuvent rapidement coûter très cher aux entreprises.

Les erreurs qui coûtent cher

Erreur 1  : Mauvaise gestion des données lors du recrutement

Le recrutement est l’une des étapes les plus sensibles en matière de protection des données personnelles. À chaque candidature, l’entreprise collecte des informations privées (coordonnées, expériences, diplômes, tests, etc.) et doit respecter des obligations strictes du RGPD.

Données autorisées (strictement nécessaires à l’évaluation du candidat) :

  • Nom, prénom, coordonnées
  • CV et lettre de motivation
  • Formation, diplômes, expérience professionnelle
  • Tests techniques ou d’aptitudes directement liés au poste

Données interdites (non pertinentes ou sensibles) :

  • État de santé, grossesse, origines ethniques, opinions politiques
  • Appartenance syndicale, projet de parentalité
  • Photographies sans justification professionnelle
  • Réseaux sociaux personnels (sauf usage professionnel explicite)

Règle d’or : ne collectez que les informations indispensables à l’évaluation du poste.

Les obligations des recruteurs

Transparence et information

 Avant toute collecte, chaque candidat doit être clairement informé :

    • De l’identité du responsable du traitement
    • De la finalité de la collecte (évaluation, vivier de talents, etc.)
    • De la durée de conservation (maximum 2 ans)
    • De ses droits (accès, rectification, suppression)
    • Des moyens de contact du DPO ou du responsable RH

    Cette information doit être claire, complète et facilement accessible. Une simple phrase en bas d’un formulaire ne suffit pas.

    Consentement explicite
    Le consentement doit être :

    • Libre, sans pression
    • Spécifique, pour une finalité précise
    • Éclairé, le candidat comprend ce qu’il accepte
    • Univoque, matérialisé par une action (case cochée, signature, clic volontaire…)

    Erreur 2 : Conserver les CV trop longtemps

    C’est l’une des erreurs les plus répandues. Vous recevez un CV intéressant, le candidat n’est pas embauché, et vous le mettez dans un dossier « peut-être utile plus tard ». Puis vous oubliez qu’il existe.

    Problème : Le RGPD impose une durée maximale de conservation de 2 ans après le dernier contact avec le candidat. Passé ce délai, vous devez supprimer ou anonymiser le CV.

    Pourquoi ? Le candidat a communiqué ses données pour une raison précise (postuler à un poste). Une fois cette raison disparue, vous n’avez plus le droit de les garder simplement « au cas où ».

    Conséquence : La CNIL a sanctionné plusieurs entreprises pour avoir conservé des candidatures pendant 5 ans ou plus. Les amendes peuvent monter à plusieurs milliers d’euros.

    À faire : Mettez en place un système automatique qui efface ou anonymise les CV après 2 ans.

    Erreur 3 : Envoyer des données par erreur au mauvais destinataire

    Un email mal adressé, une fiche de paie envoyée au mauvais salarié, un fichier contenant tous les salaires partagé à toute l’équipe… Ces erreurs sont malheureusement courantes dans les services RH.

    Problème : Dès qu’une erreur expose les données d’un salarié (ou d’un candidat) à quelqu’un qui ne devrait pas y avoir accès, c’est une violation de données. Même si c’est involontaire.

    Exemple concret : En 2022, un salarié d’une grande entreprise de mode a demandé sa fiche de paie après avoir quitté l’entreprise. En réponse, il a reçu… les fiches de paie de 446 autres salariés ! L’entreprise a été sanctionnée malgré son erreur involontaire.

    Pourquoi ? Le RGPD affirme clairement que l’erreur humaine n’exonère pas l’employeur de sa responsabilité. C’est à vous de mettre en place les outils et les procédures pour l’éviter.

    À faire :

    • Utilisez un portail RH sécurisé où chaque salarié ne voit que ses propres données
    • Chiffrez les documents sensibles
    • Évitez autant que possible de transmettre des données par email
    • Formez vos équipes à ces risques

    Cet article pourrait aussi vous intéresser : ​​RGPD et emails professionnels : Bonnes pratiques pour les collaborateurs

    Erreur 4 : Oublier d’informer les salariés de leurs droits

    Le RGPD reconnaît à chaque personne plusieurs droits importants : le droit d’accès à ses données, le droit de les corriger, le droit de demander leur suppression, le droit de s’opposer à leur utilisation.

    Problème : Beaucoup d’entreprises ne disent rien à leurs salariés sur ces droits. 

    Résultat : personne ne sait qu’il peut les exercer.

    Conséquence : En cas de contrôle de la CNIL, cette absence de transparence est considérée comme un manquement grave et sanctionnée.

    À faire :

    • Incluez une information claire sur ces droits dans votre livret d’accueil
    • Ajoutez une note dans votre règlement intérieur
    • Publiez l’information sur votre intranet RH
    • Mettez en place une procédure simple pour que les salariés puissent exercer leurs droits (une adresse email dédiée par exemple)

    Erreur 5 : Laisser n’importe qui accéder à vos données RH

    Des dossiers personnels accessibles à tous les collaborateurs, des identifiants partagés, des fichiers de salaires stockés dans un répertoire ouvert… Ce sont des failles de sécurité classiques dans les services RH.

    Problème : Les données personnelles doivent être protégées. Si vous les laissez accessibles à trop de personnes, vous violez le RGPD. De plus, vous augmentez les risques de vol, d’erreur ou de mauvaise utilisation.

    À faire :

    • Limitez l’accès aux données selon les besoins de chacun (un manager ne voit que ses équipes, un recruteur ne voit que les dossiers de recrutement)
    • Utilisez des habilitations claires avec des identifiants individuels
    • Contrôlez régulièrement qui a accès à quoi
    • Renforcez la sécurité informatique (mots de passe forts, authentification à plusieurs facteurs…)

    Erreur 6 : Oublier de protéger les données dans vos contrats avec les prestataires

    Votre service RH s’appuie souvent sur des prestataires externes : logiciels de paie, cabinets de recrutement, médecine du travail, agences intérimaires. Tous ces prestataires touchent aux données de vos salariés.

    Problème : Beaucoup d’entreprises signent des contrats sans préciser les obligations de sécurité et de confidentialité du prestataire. Or, vous restez responsable devant la CNIL même si c’est votre prestataire qui commet l’erreur.

    Exemple : En 2022, une entreprise a été sanctionnée parce que son prestataire de paie avait mal sécurisé les données de centaines de salariés.

    À faire :

    • Exigez une clause RGPD complète dans chaque contrat avec un prestataire
    • Vérifiez que le prestataire s’engage à respecter la sécurité, la confidentialité et les durées de conservation
    • Demandez une garantie écrite sur la localisation des données (hébergement en France ou en Europe par exemple)
    • Auditez régulièrement vos prestataires

    RGPD : le vrai prix de la non-conformité

    C’est peut-être la meilleure raison de vous mettre en conformité : les amendes du RGPD sont très importantes.

    Les sanctions maximales sont :

    • Jusqu’à 4% du chiffre d’affaires annuel mondial (ou 20 millions d’euros, le montant le plus élevé retenu) 
    • Jusqu’à 2% du chiffre d’affaires annuel mondial (ou 10 millions d’euros) pour certaines violations particulières

    Mais ce ne sont que les maxima. En réalité, les sanctions varient énormément selon la gravité, la taille de l’entreprise et la malveillance (volontaire ou involontaire). 

    Les étapes concrètes pour vous mettre en conformité

    1. Dressez un inventaire : listez toutes les données personnelles que vous collectez, où vous les stockez, combien de temps vous les gardez
    2. Documentez vos traitements : créez un registre simple indiquant « qui fait quoi avec les données » dans votre entreprise
    3. Renforcez la sécurité : limitez les accès, chiffrez les documents sensibles, utilisez des mots de passe forts
    4. Informez vos salariés : expliquez-leur leurs droits et comment les exercer
    5. Nettoyez vos données : supprimez ce que vous ne devriez plus garder (CV trop anciens, données inutiles)
    6. Encadrez les prestataires : vérifiez que vos contrats incluent les obligations RGPD
    7. Formez votre équipe : même les petits incidents (email mal adressé) peuvent avoir de grandes conséquences

    Cet article pourrait aussi vous intéresser : Bonnes résolutions RGPD en entreprise : Adoptez les bons réflexes pour protéger les données !

    Conclusion

    ‍Les erreurs en matière de RGPD ne sont pas anodines. Elles coûtent cher, à la fois financièrement et en termes d’image employeur.

    ‍En évitant ces 6 erreurs listées ci-dessus, les Ressources Humaines protègent l’entreprise, renforcent la confiance des salariés et deviennent un pilier central de la gouvernance des données.

    La conformité RGPD dans le secteur des Ressources Humaines n’est pas une option. C’est une stratégie indispensable pour sécuriser les données personnelles et garantir la pérennité de l’organisation.

    Le moment idéal pour commencer ? Aujourd’hui. Et la bonne nouvelle ? Ce n’est jamais trop tard pour vous améliorer.

    Confiez-nous votre conformité
    on saura la faire passer de 😡 à 😎
    Prendre RDV maintenant
    Partager le post

    Articles connexes

    Pauline Burgat
    Pauline Burgat
    Juriste spécialisée en protection des données, titulaire d’un Master 2 et d’un Master 1 en Droit du numérique. Animée par une véritable passion pour la conformité au RGPD et les enjeux liés à la protection de la vie privée.
    Newsletter S'inscrire

    Recevez nos derniers articles et actualités directement dans votre boîte de réception !

    Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.