Le SIRH (Systeme d’Information de gestion des Ressources Humaines) est l’un des outils qui concentre le plus de donnees personnelles sensibles au sein d’un organisme. En 2025, la conformite RGPD du SIRH est un enjeu majeur pour les directions RH et les DPO. Paie, recrutement, gestion des carrieres, formation : chaque module doit etre configure et utilise dans le respect du reglement.
Les donnees personnelles dans le SIRH
Un SIRH contient des categories de donnees particulierement sensibles : les donnees d’identification des salaries (etat civil, numero de securite sociale, photo), les donnees contractuelles (contrat de travail, avenant, remuneration), les donnees bancaires (RIB pour le virement des salaires), les donnees de sante (arrets maladie, amenagements de poste, reconnaissance de handicap), les evaluations et entretiens professionnels, les donnees de formation et de parcours professionnel, et les donnees de gestion du temps (pointage, conges, absences). Cette diversite impose une vigilance renforcee.
Les bases legales des traitements RH
Les traitements RH reposent sur plusieurs bases legales selon leur finalite. La gestion de la paie et des declarations sociales releve de l’obligation legale. L’execution du contrat de travail justifie le traitement des donnees contractuelles. La gestion des arrets maladie et des visites medicales releve de l’obligation legale en matiere de sante au travail. Les evaluations et la gestion des carrieres peuvent s’appuyer sur l’interet legitime de l’employeur. Le consentement est rarement utilise en contexte RH en raison du desequilibre de la relation employeur-salarie.
Configurer les droits d’acces dans le SIRH
Le cloisonnement des acces dans le SIRH est fondamental. Les managers ne doivent acceder qu’aux donnees de leurs equipes directes et uniquement aux informations necessaires a leur role. Le service paie accede aux donnees de remuneration mais pas aux evaluations. Le service recrutement n’a pas acces aux dossiers des salaries en poste. Le medecin du travail dispose d’un acces specifique aux donnees de sante. Configurez des profils d’acces granulaires et revisez-les regulierement.
Les durees de conservation des donnees RH
Les durees de conservation des donnees RH sont encadrees par des textes specifiques. Les bulletins de paie doivent etre conserves 5 ans par l’employeur (50 ans sous forme dematerialisee). Les donnees relatives aux contrats de travail sont conservees 5 ans apres la fin de la relation contractuelle. Les donnees de candidature non retenue sont supprimees au maximum 2 ans apres le dernier contact. Les donnees de formation sont conservees pendant la duree de la relation de travail. Les dossiers disciplinaires ne peuvent etre conserves plus de 3 ans. Parametrez votre SIRH pour automatiser ces purges.
Les droits des salaries sur leurs donnees
Les salaries disposent des memes droits que toute personne concernee au titre du RGPD. Le droit d’acces leur permet d’obtenir une copie de l’ensemble de leur dossier RH. Le droit de rectification leur permet de corriger des informations erronees. Le droit a la portabilite leur donne droit a recevoir leurs donnees dans un format structure lors de leur depart. Mettez en place une procedure claire pour traiter ces demandes et formez les equipes RH a y repondre dans le delai d’un mois impose par le RGPD.
La relation avec l’editeur du SIRH
L’editeur du SIRH agit generalement en tant que sous-traitant au sens du RGPD. Un contrat de sous-traitance conforme a l’article 28 doit etre signe avec lui. Verifiez les lieux d’hebergement des donnees (privilegiez un hebergement en France ou en Europe), les mesures de securite mises en oeuvre, les conditions d’acces aux donnees par le support technique de l’editeur, et les modalites de restitution et de suppression des donnees en fin de contrat. Evaluez regulierement les garanties de conformite de votre editeur.
Conclusion
La conformite RGPD du SIRH est un chantier prioritaire en 2025. Les donnees RH, par leur volume et leur sensibilite, exigent un encadrement rigoureux couvrant les bases legales, les droits d’acces, les durees de conservation et les droits des salaries. En collaborant etroitement avec votre editeur et en formant vos equipes RH, vous construisez un SIRH conforme qui protege les donnees de vos collaborateurs.
