Données personnelles des salariés : un enjeu RGPD complexe
Dans les PME / PMI, la conformité RGPD est souvent abordée sous l’angle des clients et prospects. Pourtant, ce sont les données personnelles des salariés qui concentrent le plus grand nombre de traitements, les risques juridiques les plus élevés et les contrôles CNIL les plus sensibles.
Paie, contrats, évaluations, absences, santé, badges d’accès, outils numériques, télétravail, vidéosurveillance…
👉 Chaque salarié fait l’objet de dizaines de traitements distincts, souvent mal identifiés et rarement documentés correctement.
Contrairement à une idée reçue, le RGPD ne s’arrête pas à l’embauche : il s’applique avant, pendant et après la relation de travail.
Explications.
1. Quelles données personnelles sont concernées chez les salariés ?
Dans une PME, les données RH couvrent un périmètre très large.
🔹 Données d’identification
- Nom, prénom, adresse
- Numéro de sécurité sociale
- Coordonnées bancaires
- Copie de pièce d’identité
🔹 Données professionnelles
- Contrat de travail
- Poste, fonction, évolution de carrière
- Évaluations annuelles
- Historique disciplinaire
🔹 Données sensibles ou à risque élevé
- Données de santé (arrêts maladie, RQTH, médecine du travail)
- Données liées à la vie privée (situation familiale)
- Données issues de la vidéosurveillance
- Données de géolocalisation ou de badgeage
👉 Plus le volume de salariés augmente, plus la cartographie des traitements devient complexe.
2. Une multiplicité de traitements… et autant de bases légales différentes
L’une des principales difficultés pour les PME est que toutes les données salariés ne reposent pas sur la même base légale.
Exemple concret : un salarié = plusieurs traitements
| Traitement | Base légale RGPD |
| Gestion de la paie | Exécution du contrat |
| Déclarations sociales | Obligation légale |
| Dossier du personnel | Exécution du contrat |
| Médecine du travail | Obligation légale |
| Badge d’accès | Intérêt légitime |
| Vidéosurveillance | Intérêt légitime (avec AIPD) |
| Enquête interne | Intérêt légitime |
| Communication interne facultative | Consentement (rare) |
👉 Erreur fréquente en PME : considérer que “tout relève du contrat de travail”
En réalité, chaque traitement doit être analysé individuellement et documenté dans le registre RGPD.
3. Le mythe du consentement du salarié
Beaucoup de PME pensent encore pouvoir se reposer sur le consentement des salariés.
⚠️ C’est une erreur majeure.
Dans un lien de subordination, le consentement est présumé non libre. La CNIL et la jurisprudence sont très claires :
👉 le consentement est rarement valable dans la relation employeur–salarié.
Exemple
Un salarié signe une autorisation pour être filmé par une caméra interne.
➡️ Ce consentement peut être considéré comme vicié, car il n’a pas réellement la possibilité de refuser sans conséquence.
👉 Résultat : le traitement devient illicite, même si le salarié a “accepté”.
4. Des risques juridiques sous-estimés pour les PME
Risques en cas de non-conformité
- Sanctions financières (jusqu’à 4 % du CA)
- Mise en demeure de la CNIL
- Contentieux prud’homaux
- Preuve illicite rejetée en cas de litige
- Dégradation du climat social
- Atteinte à l’image de l’entreprise
Exemple réel et très courant …
Une PME utilise la vidéosurveillance pour contrôler le temps de travail sans analyse d’impact ni information claire des salariés.
➡️ En cas de contrôle, la CNIL peut :
- interdire le traitement,
- exiger la suppression des images,
- sanctionner financièrement.
5. Les procédures RGPD indispensables en matière RH
Pour être conforme, une PME doit mettre en place des procédures spécifiques, souvent absentes ou incomplètes.
✅ Registre des traitements RH
- Une fiche par traitement (paie, absences, sécurité, etc.)
- Bases légales justifiées
- Durées de conservation définies
✅ Procédure d’exercice des droits
Les salariés disposent des mêmes droits RGPD que les clients :
- droit d’accès
- droit de rectification
- droit d’opposition (dans certains cas)
👉 Une PME doit savoir répondre dans les délais légaux (1 mois).
✅ Gestion des accès aux données
- Qui accède aux dossiers RH ?
- Quid des managers ?
- Quid des prestataires (paie, logiciels RH) ?
✅ Sécurité et confidentialité
- Cloisonnement des données
- Accès limité selon les fonctions
- Traçabilité
6. Cas sensibles : là où les PME se trompent le plus
Vidéosurveillance
- Nécessite une analyse d’impact (AIPD)
- Ne peut pas servir au contrôle permanent des salariés
- Obligation d’information renforcée
Télétravail et outils numériques
- Suivi de l’activité
- Journaux de connexion
- Outils collaboratifs
👉 Le risque de surveillance excessive est réel.
Données de santé
- Accès strictement limité
- Conservation encadrée
- Risque pénal en cas de mauvaise gestion
7. Pourquoi un expert RGPD externe devient indispensable
Pour une PME de 50 à 200 salariés, la gestion des données RH représente :
- ❌ Trop de traitements pour être gérés “au fil de l’eau”
- ❌ Trop de risques juridiques pour improviser
- ❌ Trop de subtilités réglementaires pour s’auto-former rapidement
Ce qu’apporte un expert RGPD externe
- Cartographie complète des traitements RH
- Sécurisation des bases légales
- Rédaction des procédures obligatoires
- Anticipation des contrôles CNIL
- Soulagement des équipes RH et direction
👉 Externaliser le RGPD RH n’est pas un luxe, c’est souvent un choix de gestion des risques.
Conclusion : les données salariés, un sujet trop stratégique pour être négligé
La gestion des données personnelles des salariés est l’un des chapitres les plus complexes du RGPD, en particulier pour les PME en croissance.
Plus l’entreprise grandit, plus :
- les traitements se multiplient,
- les risques augmentent,
- les obligations se renforcent.
👉 Anticiper, structurer et sécuriser ces traitements avec l’aide d’un expert RGPD externe permet non seulement d’éviter les sanctions, mais aussi de professionnaliser la gestion RH et de renforcer la confiance des salariés.