Réglementation

Hrforyou sécurisé : ce que vous devez savoir sur la protection de vos données personnelles

Femme professionnelle consultant un portail RH sécurisé sur ordinateur portable au bureau pour protéger ses données personnelles

HRforyou centralise des données RH parmi les plus sensibles du périmètre RGPD : bulletins de paie, coordonnées bancaires, arrêts maladie, évaluations annuelles. La question n’est pas de savoir si la plateforme est « sécurisée » au sens marketing, mais si les mesures techniques et organisationnelles déployées répondent aux exigences de l’article 32 du Règlement UE 2016/679.

Sommaire
Transferts de données hors UE et Data Privacy Framework : ce qui change pour un SIRH SaaSSanctions CNIL sur les traitements RH : les erreurs qui coûtent cherPoints de contrôle prioritaires dans HRforyouMinimisation des données et durées de conservation dans un SIRHDurées de conservation à paramétrerDroits des salariés et obligations pratiques du service RHPortabilité et changement de prestataireChecklist RGPD avant déploiement d’un espace RH en ligne

Nous passons en revue les points de vigilance concrets que tout responsable RH ou DPO devrait vérifier avant de confier ses traitements à un SIRH en mode SaaS.

A lire également : Pappers et données légales : ce que vous pouvez vraiment vérifier gratuitement

Transferts de données hors UE et Data Privacy Framework : ce qui change pour un SIRH SaaS

Un SIRH hébergé chez un prestataire cloud américain pose un problème structurel de transfert de données personnelles. Depuis juillet 2023, le EU-US Data Privacy Framework offre un cadre de transfert jugé adéquat par la Commission européenne, mais uniquement pour les entreprises américaines ayant obtenu la certification correspondante.

Avant de souscrire à HRforyou ou à tout autre outil RH en ligne, nous recommandons de vérifier trois éléments :

Lire également : WATERP et protection des données clients : ce qu'il faut absolument vérifier

  • L’hébergeur final des données (datacenter localisé en France, en UE ou aux États-Unis) et la présence éventuelle de sous-traitants ultérieurs soumis au droit américain.
  • La certification Data Privacy Framework du prestataire, consultable sur le registre officiel du département du Commerce américain.
  • Les clauses contractuelles types (CCT) ou les garanties supplémentaires prévues dans le contrat de sous-traitance au sens de l’article 28 du RGPD.

Si le prestataire ne peut pas documenter ces points, le transfert reste juridiquement fragile, quel que soit le niveau de chiffrement affiché.

Homme travaillant depuis son bureau à domicile sur les paramètres de protection des données d'un logiciel RH sécurisé

Sanctions CNIL sur les traitements RH : les erreurs qui coûtent cher

La CNIL intensifie ses contrôles sur les traitements liés aux ressources humaines. Depuis 2022, les principaux motifs de sanction publiés concernent des manquements très opérationnels : vidéosurveillance disproportionnée des salariés, mots de passe insuffisants sur les espaces RH, absence de notification de violation de données dans le délai réglementaire.

Ces décisions montrent que le risque ne vient pas d’un défaut d’architecture logicielle sophistiquée. Il vient de lacunes basiques : un mot de passe partagé entre plusieurs gestionnaires de paie, un export CSV de données salariales envoyé par email non chiffré, un ancien compte administrateur jamais désactivé.

Points de contrôle prioritaires dans HRforyou

Un audit rapide de votre espace HRforyou devrait couvrir au minimum la politique de mots de passe (longueur, renouvellement, interdiction de réutilisation), la gestion des habilitations par rôle et la journalisation des accès aux dossiers du personnel. Si la plateforme ne propose pas de journal d’accès consultable, c’est un signal d’alerte.

Vérifiez aussi la procédure de notification de violation de données. Le RGPD impose une notification à la CNIL dans un délai maximal après la découverte d’une fuite. Votre contrat avec le prestataire doit préciser son obligation de vous alerter sans délai, faute de quoi la responsabilité retombe intégralement sur l’employeur en tant que responsable de traitement.

Minimisation des données et durées de conservation dans un SIRH

Collecter moins reste la meilleure protection. Le principe de minimisation prévu par le RGPD s’applique avec une rigueur particulière en contexte RH, parce que la tentation de stocker « au cas où » est forte : anciens CV de candidats non retenus, copies de pièces d’identité conservées après la vérification initiale, historiques de géolocalisation issus d’un outil de pointage.

Dans HRforyou, nous recommandons de cartographier chaque catégorie de données collectées et de la confronter à une finalité documentée. Si la donnée ne sert aucun traitement actif ni aucune obligation légale (conservation des bulletins de paie, par exemple), elle doit être purgée ou archivée avec accès restreint.

Durées de conservation à paramétrer

Les durées varient selon la nature du document. Les bulletins de paie obéissent à une obligation de conservation légale longue. Les données de candidature, en revanche, doivent être supprimées dans un délai raisonnable après la fin du processus de recrutement, sauf consentement explicite du candidat pour un vivier.

Un SIRH sécurisé ne se contente pas de stocker : il automatise les purges. Si HRforyou ne propose pas de règles de rétention paramétrables par type de document, il faut compenser par une procédure manuelle documentée, auditée au moins une fois par an.

Deux collègues RH examinant une checklist de conformité RGPD et de protection des données personnelles en salle de réunion

Droits des salariés et obligations pratiques du service RH

Le droit d’accès, le droit de rectification et le droit à l’effacement s’appliquent aux données détenues dans un SIRH exactement comme sur n’importe quel autre support. Un salarié peut demander l’intégralité des informations le concernant dans HRforyou, y compris les notes d’entretien, les historiques de formation et les éventuels commentaires de managers.

Le délai de réponse est encadré par le RGPD. En pratique, la difficulté est technique : pouvoir extraire un dossier complet, lisible, dans un format structuré. Nous observons que beaucoup de services RH découvrent cette contrainte au moment de la première demande d’accès, faute d’avoir testé la fonctionnalité d’export de la plateforme en amont.

Portabilité et changement de prestataire

Le droit à la portabilité permet au salarié (et, dans une certaine mesure, à l’entreprise qui change de SIRH) de récupérer les données dans un format exploitable. Avant de s’engager avec HRforyou, testez l’export complet des données dans un format ouvert (CSV, XML). Un prestataire qui rend la migration difficile crée une dépendance technique incompatible avec une bonne gouvernance des données.

Checklist RGPD avant déploiement d’un espace RH en ligne

  • Identifier le responsable de traitement (l’employeur) et le sous-traitant (l’éditeur du SIRH), puis formaliser un contrat de sous-traitance conforme à l’article 28 du RGPD.
  • Vérifier la localisation de l’hébergement et l’existence de garanties de transfert si les données quittent l’UE.
  • Paramétrer les habilitations par rôle : un gestionnaire paie n’a pas besoin d’accéder aux entretiens annuels, et inversement.
  • Activer la journalisation des accès et planifier une revue trimestrielle des logs.
  • Documenter les durées de conservation par catégorie de données et configurer des alertes de purge.
  • Tester la procédure d’exercice des droits (accès, rectification, effacement, portabilité) avant la mise en production.

La conformité RGPD d’un SIRH comme HRforyou ne se vérifie pas sur une page marketing. Elle se mesure dans la configuration réelle de la plateforme, dans les clauses du contrat de sous-traitance et dans les procédures internes du service RH. Un outil conforme mal paramétré reste un outil à risque.

D'autres articles

Recherche

Articles en vogue