Sommaire

Voir tous les avis

RGPD et droits des salariés : ce que doivent absolument savoir les employeurs en 2025

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la gestion des données personnelles dans le cadre professionnel est devenue un sujet central pour les entreprises. Si la conformité s’est souvent concentrée sur les relations avec les clients, fournisseurs ou prospects, les données des salariés constituent un gisement d’informations tout aussi sensibles et régulé par le droit.

En 2025, avec l’accent mis par les autorités sur la transparence, la cybersécurité et la protection des droits fondamentaux, les obligations des employeurs vis-à-vis de leurs collaborateurs se précisent, se durcissent parfois, et exigent une vigilance constante.

Comprendre les enjeux du RGPD dans la relation employeur-salarié

Dès qu’une entreprise traite des données personnelles de ses salariés – que ce soit leur identité, leur adresse, leur numéro de sécurité sociale, des informations relatives à leur santé, leur activité, leurs évaluations ou encore leurs connexions aux outils numériques – elle devient responsable de traitement au sens du RGPD.

Cela implique une série d’obligations légales : information, sécurisation, limitation des finalités, et surtout respect des droits des personnes concernées, ici les salariés.

Ces droits ne sont ni optionnels ni relatifs : ils s’imposent à l’employeur quel que soit la taille de l’entreprise, y compris en TPE-PME. À défaut, les risques sont multiples : contentieux prud’homal, condamnation de la CNIL, réputation entachée, voire crise de confiance interne.

Les droits fondamentaux des salariés sur leurs données

Le droit d’accès : une transparence exigée

Tout salarié a le droit de savoir quelles données personnelles sont collectées sur lui, pour quelles finalités, pendant combien de temps elles sont conservées, et qui y a accès. Il peut demander une copie de l’ensemble de ces données, y compris ses e-mails professionnels.

Cette demande peut être faite par courrier, e-mail ou formulaire. L’employeur dispose alors d’un délai d’un mois pour répondre, sauf cas exceptionnel. Il doit s’assurer de l’identité du demandeur (par exemple via une pièce d’identité), mais ne peut pas refuser la demande sans justification valable.

Il ne s’agit pas uniquement d’une formalité. En pratique, les demandes d’accès peuvent porter sur :

  • Les fiches de paie et les éléments de rémunération.
  • Les comptes rendus d’entretien.
  • Les éventuelles données issues de logiciels RH, SIRH ou plateformes de pointage.
  • Les traces de connexions à des outils numériques internes (mails, outils de télétravail, intranet).

Ignorer ou mal gérer une demande d’accès peut être lourd de conséquences : amendes administratives, requalification de la rupture du contrat, et perte de confiance des collaborateurs.

Le droit de rectification et d’effacement

Lorsqu’un salarié constate qu’une information le concernant est erronée ou incomplète (adresse incorrecte, ancien numéro de téléphone, intitulé de poste inexact…), il peut en demander la correction. L’entreprise a l’obligation de s’y conformer rapidement.

Plus encore, le droit à l’effacement (ou droit à l’oubli) permet de demander la suppression de données qui ne sont plus nécessaires, qui ont été collectées sans base légale ou qui portent atteinte à sa vie privée. Par exemple :

  • Un dossier disciplinaire ancien, injustifié ou non formalisé.
  • Des notes internes sur la personnalité ou les opinions du salarié.
  • Des éléments médicaux conservés au-delà du délai légal.

Bien sûr, ce droit n’est pas absolu. Certaines données doivent être conservées pour des raisons juridiques (comptabilité, URSSAF, sécurité sociale). Mais en l’absence de justification claire, l’employeur a tout intérêt à procéder à une purge régulière et encadrée de ses bases RH.

Le droit à la portabilité

Peu connu dans le monde du travail, ce droit permet à un salarié de récupérer ses données personnelles dans un format lisible, pour éventuellement les transférer à un autre employeur ou organisme. Cela peut concerner, par exemple, les bilans de compétences, évaluations, formations suivies, etc.

C’est un droit encore peu exercé, mais qui pourrait se développer dans un contexte de mobilité professionnelle et de numérisation croissante du parcours salarié.

Le droit d’opposition et de limitation

Dans certains cas, un salarié peut s’opposer à un traitement de ses données, notamment lorsqu’il repose sur l’intérêt légitime de l’entreprise. Par exemple, un système de vidéosurveillance, une géolocalisation continue, ou un profilage pour anticiper des comportements.

Il peut également demander la limitation du traitement, c’est-à-dire suspendre l’utilisation des données le temps de vérifier leur exactitude ou leur légalité.

Là encore, l’employeur doit répondre de manière motivée et dans un délai bref, sous peine de sanction.

Quelles obligations pèsent sur l’employeur ?

Informer, dès l’embauche, de manière claire

Avant même la signature du contrat, le salarié doit être informé :

  • des finalités du traitement,
  • des types de données collectées,
  • de la base légale utilisée (contrat, obligation légale, intérêt légitime, consentement…),
  • des destinataires,
  • des durées de conservation,
  • de ses droits et de la manière de les exercer.

Cette information est généralement formalisée dans une clause RGPD insérée au contrat de travail, ou mieux, dans une politique de confidentialité spécifique aux salariés, jointe au livret d’accueil ou intranet.

Une information générique, floue ou absente peut être considérée comme un manquement grave au RGPD.

Documenter les traitements et les accès

L’entreprise doit tenir à jour un registre des traitements RH, qui recense les données collectées, les outils utilisés (SIRH, paie, badgeuse, coffre-fort numérique…), les sous-traitants (cabinet RH, prestataire de paie…), et les durées de conservation.

Elle doit également limiter et tracer les accès aux données. Seuls les personnels habilités (DRH, manager direct, DPO) doivent pouvoir accéder à certaines données, selon une logique de “moindre privilège”.

Une traçabilité technique (logs d’accès, mots de passe individuels, historique des modifications) doit être instaurée pour prévenir toute fuite ou abus.

Sécuriser les données tout au long de leur cycle de vie

Le RGPD impose à l’entreprise de mettre en place des mesures de sécurité proportionnées, telles que :

  • l’hébergement sécurisé des données (serveurs chiffrés),
  • la mise à jour régulière des systèmes,
  • des procédures de sauvegarde et de restauration,
  • la gestion des habilitations,
  • une politique de mots de passe forte.

En cas de violation de données (ex. : piratage, envoi d’un fichier à la mauvaise personne), l’entreprise doit notifier la CNIL dans les 72 heures si cette violation est susceptible d’engendrer un risque pour les droits et libertés des salariés. Elle doit aussi informer sans délai les personnes concernées.

Le RGPD dans les moments clés de la vie du contrat

Le traitement des données ne concerne pas uniquement la gestion administrative. Il s’étend à l’ensemble du parcours professionnel, notamment :

Lors du recrutement

Les CV, lettres de motivation, profils LinkedIn ou tests de personnalité collectés lors du recrutement doivent :

  • être utilisés uniquement pour évaluer la candidature,
  • ne pas être conservés plus de 2 ans sans consentement,
  • faire l’objet d’une information claire du candidat.

La tentation d’utiliser des données issues de réseaux sociaux ou des moteurs de recherche pour « filtrer » les candidats est très encadrée. L’entreprise doit être en mesure de justifier chaque traitement.

Pendant la relation de travail

De nombreux dispositifs technologiques peuvent générer des traitements à risque :

  • badgeuses,
  • outils de surveillance de la productivité,
  • logiciels d’analyse comportementale,
  • géolocalisation,
  • vidéosurveillance.

Tous ces outils doivent être proportionnés, justifiés, et faire l’objet d’une consultation préalable du CSE, d’une information du salarié, et d’une déclaration dans le registre des traitements.

À la rupture du contrat

Lorsqu’un salarié quitte l’entreprise, ses données doivent être archivées selon des règles précises :

  • les données fiscales, sociales ou comptables peuvent être conservées pendant 6 à 10 ans,
  • les données purement RH (notes, e-mails internes, fichiers personnels…) doivent être supprimées ou anonymisées sous 1 à 2 ans.

L’employeur doit également désactiver les accès informatiques, supprimer les boîtes mails ou mettre en place des messages d’absence temporaires, sans porter atteinte à la vie privée du collaborateur.

Sanctions et risques en cas de non-conformité

Le non-respect des règles du RGPD n’est pas une simple négligence administrative. Il constitue une faute grave susceptible d’engendrer des conséquences juridiques, financières, sociales et réputationnelles importantes pour l’entreprise. À l’échelle européenne, les autorités de contrôle – dont la CNIL en France – ont durci leur approche. Désormais, la tolérance zéro est de mise pour les entités qui ne démontrent pas une conformité rigoureuse, notamment en matière de données salariales.

Sur le plan financier, l’entreprise s’expose à des sanctions administratives pouvant atteindre jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Contrairement à une idée reçue, ces amendes ne sont pas réservées aux grands groupes internationaux. Des TPE et PME ont déjà été visées pour des pratiques non conformes dans la gestion des données RH : conservation excessive de documents, absence d’information des salariés, fichiers partagés sans mesure de sécurité adéquate, etc.

Le risque ne se limite pas aux amendes de la CNIL. En droit social, un salarié peut invoquer une atteinte à sa vie privée si, par exemple, des données à caractère personnel sont utilisées pour motiver une sanction disciplinaire sans respect des règles de proportionnalité ou de transparence. Dans ce cas, l’affaire peut se solder devant les prud’hommes, avec des dommages et intérêts à la clé, voire une annulation de la sanction ou un licenciement requalifié.

Par ailleurs, les atteintes à la réputation représentent une menace souvent sous-estimée. Une affaire rendue publique, un article de presse, un post sur les réseaux sociaux ou une alerte diffusée par un salarié ou un syndicat peut rapidement détériorer l’image de l’entreprise, remettre en cause la relation de confiance avec les collaborateurs et impacter la marque employeur. À l’ère du numérique, la diffusion rapide d’informations critiques peut nuire durablement à la crédibilité d’une organisation, notamment lorsqu’elle prétend adopter une politique RH éthique et responsable.

La CNIL a d’ailleurs rappelé à plusieurs reprises que le simple fait de ne pas documenter un traitement de données ou de ne pas répondre dans les délais aux demandes des personnes concernées constitue une infraction, même en l’absence de fuite de données ou de préjudice direct. Dans de nombreux cas, les contrôles ont mis en évidence des absences de registre, des durées de conservation excessives, ou des traitements sans base légale claire. Ces manquements, qualifiés d’« écarts organisationnels », suffisent pour engager la responsabilité de l’entreprise.

Enfin, les répercussions internes peuvent être tout aussi déstabilisantes. Le non-respect du RGPD par l’entreprise peut être interprété comme un désengagement vis-à-vis de la protection des collaborateurs. Cela peut générer un climat de méfiance, fragiliser le dialogue social, et inciter les représentants du personnel à multiplier les alertes ou les demandes de contrôle externe. À terme, l’absence de conformité peut altérer la cohésion interne et freiner la mise en œuvre de projets digitaux impliquant les salariés.

En résumé, la conformité RGPD en matière de données RH ne peut être considérée comme une option. Elle constitue un impératif stratégique pour sécuriser juridiquement l’organisation, protéger les salariés, renforcer la confiance interne et externe, et anticiper les exigences croissantes en matière d’éthique numérique. La mise en place d’une gouvernance solide des données personnelles, documentée et régulièrement auditée, est plus que jamais indispensable pour prévenir ces risques à 360 degrés.

Bonnes pratiques à adopter en entreprise

Pour garantir leur conformité au RGPD dans la gestion des données des salariés, les entreprises doivent adopter une démarche structurée, cohérente et inscrite dans le temps. Cette démarche suppose tout d’abord une gouvernance clairement identifiée. Même si la désignation d’un DPO n’est pas toujours obligatoire pour les PME, elle constitue un signal fort de l’engagement de l’entreprise en matière de protection des données. Le Délégué à la Protection des Données joue un rôle de référent, de conseil et de vigie. Il facilite la mise en œuvre des obligations et sécurise les décisions internes.

L’élaboration d’une politique de confidentialité dédiée aux ressources humaines est une étape incontournable. Ce document, à la fois pédagogique et juridique, doit être accessible à tous les salariés. Il détaille de manière compréhensible les traitements mis en œuvre, leurs finalités, les droits des personnes concernées et les modalités d’exercice de ces droits. Cette politique doit évoluer au rythme des nouveaux outils, des changements organisationnels ou des réformes législatives. Elle ne doit pas rester figée dans un intranet ou un classeur RH.

La formation des acteurs clés de l’entreprise constitue également un levier déterminant. Les services des ressources humaines, les managers de proximité, les responsables informatiques et les représentants du personnel doivent être sensibilisés aux règles de traitement des données personnelles. Comprendre les principes du RGPD, identifier les situations à risque, adopter les bons réflexes en matière d’accès, de conservation ou de suppression des données est essentiel pour prévenir les erreurs et les litiges.

L’entreprise doit par ailleurs instaurer un processus d’audit interne régulier, qui permette de cartographier les outils utilisés dans la gestion du personnel : logiciels de paie, SIRH, fichiers partagés, tableaux de suivi, messageries, plateformes d’évaluation, etc. Ces audits doivent permettre d’évaluer les risques associés, d’identifier les écarts de conformité et de recommander des mesures correctives. Un point particulier doit être porté à la gestion des habilitations et des accès : chaque utilisateur ne doit disposer que des droits strictement nécessaires à l’exercice de ses fonctions.

Pour fluidifier les réponses aux demandes d’accès, de rectification ou de suppression émanant des salariés, il est recommandé de formaliser des procédures types. Des formulaires standards, des circuits de validation et des outils de traçabilité garantissent une réponse rapide, cohérente et documentée. Cela permet à l’entreprise de démontrer sa diligence en cas de contrôle ou de litige.

Enfin, il est indispensable de conserver des preuves. Qu’il s’agisse des informations fournies aux salariés, des formations dispensées, des audits réalisés ou des mesures de sécurité mises en œuvre, chaque action doit être traçable et justifiable. Cette documentation constitue la première ligne de défense de l’employeur. Elle traduit une démarche responsable, anticipatrice et conforme à l’esprit du RGPD, qui repose sur la responsabilisation et la preuve de conformité (« accountability »).

En combinant ces bonnes pratiques, les entreprises renforcent non seulement leur conformité réglementaire, mais aussi la confiance de leurs collaborateurs. Elles affirment leur engagement en faveur de l’éthique numérique, de la transparence managériale et de la valorisation du capital humain. Dans un contexte de numérisation accélérée et de sensibilité croissante aux enjeux de vie privée, cette posture constitue un avantage stratégique durable.

Une opportunité de confiance et de performance

Le RGPD ne doit pas être vu comme une contrainte, mais comme un levier de confiance dans la relation employeur-salarié. En assurant transparence, respect de la vie privée et sécurisation des données, l’entreprise renforce non seulement sa conformité, mais aussi son attractivité, sa marque employeur et la qualité de son climat social.

En 2025, les collaborateurs sont de plus en plus sensibles à l’usage de leurs données. Ignorer leurs droits peut conduire à des ruptures, des départs, ou des alertes. À l’inverse, faire du RGPD un pilier de la culture RH est un choix stratégique, éthique et protecteur à long terme.

Apprenez à exploiter le potentiel de l’IA générative (ChatGPT, LLM, automatisation…) pour booster votre productivité et vos contenus.