Charte de Confidentialité RH (Personnel) France

La charte de confidentialité RH est, en droit français, le document qui encadre l'accès et l'usage des données personnelles des salariés par les services des ressources humaines, fondé sur l'article 28 du RGPD et l'article L1121-1 du Code du travail.

La Charte de Confidentialité RH en France prend une importance croissante dans un contexte où les entreprises traitent de nombreuses catégories de données personnelles des salariés : données d'identification, données contractuelles, données de paie, données de santé (traitées exclusivement par le médecin du travail conformément à l'article L4624-3 du Code du travail), données disciplinaires, données de performance, données de formation professionnelle (via le Compte Personnel de Formation — CPF — et les déclarations auprès des OPCO). L'article 9 du RGPD classe les données de santé comme des données sensibles dont le traitement par l'employeur est strictement encadré.

Le responsable de traitement au sens du RGPD est l'entreprise employeur, représentée par son dirigeant ou son DRH. Le Délégué à la Protection des Données (DPO) est un acteur central de la conformité RGPD : sa nomination est obligatoire pour les organismes traitant des données personnelles à grande échelle ou des données sensibles (art. 37 RGPD). Dans les entreprises de plus de 250 salariés, le DPO est quasi systématiquement nommé. La CNIL tient un registre des DPO notifiés par les entreprises françaises.

La charte de confidentialité RH se distingue du registre de traitements (art. 30 RGPD — document technique interne) et de la politique de confidentialité externe (destinée aux clients et prospects). Elle s'adresse spécifiquement au personnel de l'entreprise pour leur expliquer comment leurs données sont traitées et quels sont leurs droits. Elle documente également les obligations de confidentialité imposées aux collaborateurs traitant les données de leurs collègues : service RH, managers accédant aux données de performance, membres du CSE accédant aux informations sociales, prestataires RH externes (cabinets de paie tels que Silae, Payfit, ADP, mutuelles santé, médecine du travail).

Le traitement des données personnelles des salariés en France est soumis à une hiérarchie de sources : le RGPD en droit européen, la loi Informatique et Libertés en droit national, les arrêts de la Chambre sociale de la Cour de cassation en jurisprudence nationale, et les délibérations et recommandations de la CNIL. La CNIL a publié une fiche pratique spécifique sur la gestion des données RH, disponible sur cnil.fr, détaillant les durées de conservation recommandées pour les différentes catégories de données (bulletins de paie : 5 ans minimum recommandé par la CNIL, 50 ans ou jusqu'aux 75 ans du salarié en vertu de l'article R3243-5 du Code du travail pour les bulletins électroniques).

La Charte de Confidentialité RH en France est nécessaire dès lors que l'entreprise traite des données personnelles de ses salariés, ce qui est le cas de toute entreprise quelle que soit sa taille. Son formalisation est particulièrement urgente dans les situations suivantes.

Lors de l'entrée en vigueur du RGPD (mai 2018, toujours applicable) : l'article 13 du RGPD impose une information complète des personnes concernées sur les traitements de leurs données dès la collecte — en contexte RH, cette information doit être fournie au plus tard lors de la signature du contrat de travail. Une charte de confidentialité RH remise à l'embauche satisfait à cette obligation d'information. Lors d'un contrôle CNIL : la CNIL peut diligenter un contrôle sur pièces, sur place ou en ligne à tout moment (art. 57 RGPD). La charte de confidentialité RH constitue une pièce justificative de la conformité RGPD que la CNIL peut exiger dans les 8 jours suivant la demande. En 2023, la CNIL a réalisé plus de 300 contrôles d'organismes et prononcé 42 sanctions — les entreprises sans documentation RGPD formalisée sont systématiquement sanctionnées. Lors d'une violation de données impliquant des données personnelles de salariés : fichier de paie volé, accès non autorisé au SIRH, envoi d'un fichier de bulletins de salaire au mauvais destinataire. La notification à la CNIL dans les 72 heures (art. 33 RGPD) doit être accompagnée d'une description des mesures de sécurité existantes — la charte RH en est la preuve documentaire principale.

Lors d'une demande d'exercice de droits RGPD par un salarié : droit d'accès à ses données personnelles (art. 15 RGPD — réponse dans 1 mois), droit de rectification (art. 16), droit à l'effacement (art. 17 — limité par les obligations légales de conservation). La charte précise les modalités d'exercice et les délais de réponse, évitant ainsi les plaintes à la CNIL pour absence de réponse. Lors de l'externalisation de la paie à un prestataire externe (Silae, Payfit, ADP, Cegid) — la conclusion d'un DPA (Data Processing Agreement) au sens de l'article 28 du RGPD est impérative, et la charte RH doit référencer les sous-traitants autorisés et les catégories de données qu'ils traitent.

La charte doit être révisée lors de chaque modification significative : déploiement d'un nouveau SIRH (SAP SuccessFactors, Workday, Sage), introduction d'outils d'IA RH (recrutement algorithmique, analyse de performance), nouvelles orientations du CEPD (Comité Européen de la Protection des Données) sur les données RH, ou évolution du Data Privacy Framework UE-USA affectant les outils hébergés aux États-Unis.

La Charte de Confidentialité RH en France doit couvrir les éléments suivants pour être complète et conforme au RGPD.

**Identité du responsable de traitement :** Nom de l'entreprise, SIRET, adresse du siège, identité et coordonnées du DPO si nommé (obligatoire pour certaines catégories d'organismes selon l'art. 37 RGPD), adresse email dédiée pour l'exercice des droits RGPD des salariés (ex : [email protected]).

**Catégories de données traitées :** Données d'identification (état civil, coordonnées personnelles et professionnelles, numéro de sécurité sociale — NIR, autorisé uniquement pour la gestion des salaires et cotisations sociales, art. 83 loi Informatique et Libertés) ; données contractuelles (contrat de travail, avenants, bulletins de paie, solde de tout compte) ; données de santé — traitées exclusivement par le médecin du travail (SPST), la DRH ne reçoit que les conclusions d'aptitude (art. L4624-3 Code du travail) ; données disciplinaires (avertissements, mises en garde — conservation 3 ans maximum) ; données de formation et de compétences (CPF, certifications OPCO) ; données de performance (entretiens annuels obligatoires pour les cadres en forfait jours — art. L3121-65 Code du travail, objectifs trimestriels).

**Bases légales et finalités :** Chaque traitement doit reposer sur l'une des 6 bases légales de l'article 6 du RGPD. En contexte RH : exécution du contrat de travail pour la gestion administrative, paie et formation ; obligation légale pour les déclarations sociales (DSN auprès de l'URSSAF, déclaration AT-MP à la CPAM, registre du personnel) ; intérêt légitime pour la sécurité informatique, la prévention des risques professionnels et la lutte contre la fraude. Le consentement est explicitement déconseillé en contexte RH par la CNIL et le CEPD (lignes directrices du CEPD 5/2020) en raison du déséquilibre inhérent à la relation employeur-salarié.

**Durées de conservation :** Bulletins de paie électroniques : 50 ans ou jusqu'aux 75 ans du salarié (art. R3243-5 Code du travail) pour leur utilité dans les droits à la retraite ; contrats de travail et avenants : 5 ans après la fin du contrat (art. 2224 Code civil) ; données disciplinaires : 3 ans maximum (recommandation CNIL) ; données de candidature non retenue : 2 ans (recommandation CNIL, fiche pratique RH) ; registre du personnel : 5 ans après le départ du dernier salarié inscrit (art. R1221-26 Code du travail) ; dossiers AT-MP : 5 ans pour la prescription des actions en responsabilité.

**Droits des salariés :** Modalités d'exercice des droits d'accès (art. 15 RGPD — obtenir une copie complète), de rectification (art. 16 — corriger données inexactes), d'effacement (art. 17 — limité par les obligations légales de conservation), de portabilité (art. 20 — données fournies par le salarié), de limitation (art. 18 — pendant une contestation), d'opposition (art. 21 — aux traitements fondés sur l'intérêt légitime). Délai légal de réponse : 1 mois, prorogeable de 2 mois si complexité justifiée. Droit de saisine de la CNIL (cnil.fr — plainte en ligne) si la réponse est insatisfaisante (art. 77 RGPD).

**Sous-traitants et transferts internationaux :** Liste des sous-traitants RH autorisés (cabinets de paie tels que Silae, Payfit, ADP, Cegid ; mutuelles santé complémentaires ; OPCO ; médecine du travail) liés chacun par un DPA conforme à l'article 28 du RGPD ; politique de transferts hors UE (décision d'adéquation pour les États-Unis via le Data Privacy Framework depuis juillet 2023, clauses contractuelles types CCT pour les autres pays tiers). forms-legal.com met à disposition ce modèle de charte RH régulièrement mis à jour en fonction des recommandations de la CNIL et des évolutions du RGPD.

**Obligations des personnes traitant des données RH :** Clause de confidentialité à signer pour le service RH, les managers ayant accès aux données de performance, les membres du CSE accédant aux informations sociales, et les prestataires RH externes — engagement de ne pas communiquer les données à des tiers non autorisés, sous peine de sanction disciplinaire jusqu'au licenciement pour faute grave et responsabilité pénale (art. 226-13 Code pénal — violation du secret professionnel : 1 an et 15 000 €, art. 226-17 — traitement illicite de données : 5 ans et 300 000 €).

Pour rédiger et déployer une Charte de Confidentialité RH en France conforme au RGPD, suivez ces étapes.

**Étape 1 — Cartographie des traitements :** Identifiez toutes les catégories de données personnelles des salariés traitées par votre entreprise, leurs finalités, leurs bases légales, leurs durées de conservation et leurs destinataires internes et externes. Cette cartographie est la base du registre de traitements obligatoire (art. 30 RGPD — obligatoire pour toutes les entreprises traitant des données sensibles ou comportant plus de 250 salariés). Utilisez le modèle de registre proposé par la CNIL sur cnil.fr. Distinguez les traitements courants (paie, formation, gestion du personnel) des traitements spécifiques (biométrie, données de santé, vidéosurveillance) qui nécessitent des bases légales renforcées.

**Étape 2 — Identification du DPO :** Déterminez si la nomination d'un Délégué à la Protection des Données (DPO) est obligatoire pour votre entreprise selon l'article 37 du RGPD. Si obligatoire, notifiez sa désignation à la CNIL via le formulaire dédié sur le portail notifications DPO de cnil.fr. Publiez ses coordonnées internes et externes. Si non obligatoire, désignez néanmoins un référent interne RGPD, chargé de la mise en conformité et du traitement des demandes de droits.

**Étape 3 — Rédaction de la charte :** Adaptez le modèle à votre SIRH (SAP, Workday, Sage, Cegid), à vos prestataires RH et à vos pratiques spécifiques. Précisez les durées de conservation selon les recommandations de la CNIL et les obligations légales (art. R3243-5 Code du travail pour les bulletins électroniques). Vérifiez que les bases légales retenues correspondent aux traitements réels — un traitement fondé sur le consentement en contexte RH sera facilement invalidé par la CNIL ou un tribunal.

**Étape 4 — Conclusion des DPA avec les sous-traitants :** Auditez chaque prestataire RH externe pour vérifier l'existence d'un DPA conforme à l'article 28 du RGPD. Les cabinets de paie (Silae, Payfit, ADP) fournissent généralement des DPA standardisés, mais vérifiez qu'ils couvrent bien l'ensemble des données transmises. Pour les prestataires hébergés hors UE, vérifiez la base du transfert international (décision d'adéquation ou CCT signées avec chaque sous-traitant).

**Étape 5 — Diffusion, formation et procédure de droits :** Remettez la charte à l'ensemble des salariés lors de l'embauche et à chaque mise à jour significative. Formez le service RH et les managers aux obligations RGPD en contexte RH. Mettez en place une procédure formelle pour le traitement des demandes de droits RGPD des salariés (formulaire dédié, délai de réponse d'un mois, log des demandes reçues et des réponses apportées). Intégrez la charte dans le livret d'accueil des nouveaux salariés.

Les exigences légales applicables à la Charte de Confidentialité RH en France sont issues principalement du RGPD, de la loi Informatique et Libertés et du Code du travail.

**RGPD (Règlement UE n°2016/679) :** Article 13 — obligation d'information des personnes concernées lors de la collecte de leurs données (fournie en pratique via la charte RH à l'embauche) ; article 28 — contrat obligatoire (DPA) avec chaque sous-traitant RH ; article 30 — registre des traitements obligatoire pour les entreprises de plus de 250 salariés et celles traitant des données sensibles (données de santé, données biométriques) ; article 32 — mesures de sécurité techniques et organisationnelles adaptées (chiffrement, pseudonymisation, gestion des accès) ; articles 33-34 — notification des violations à la CNIL dans les 72 heures et aux personnes concernées si le risque est élevé.

**Loi Informatique et Libertés n°78-17 modifiée :** Loi n°2018-493 du 20 juin 2018 transposant le RGPD. Dispositions complémentaires spécifiquement françaises : NIR (numéro de sécurité sociale) — traitement autorisé uniquement pour la gestion des salaires et des cotisations sociales (art. 83 de la loi) et non pour d'autres finalités RH ; données biométriques (empreintes digitales, reconnaissance faciale pour le contrôle des accès) — soumises à autorisation CNIL spécifique (délibération CNIL n°2019-001 du 10 janvier 2019) ; données de santé — traitées exclusivement par le médecin du travail ou le SPST (art. L4624-3 Code du travail), la DRH ne peut pas y accéder directement.

**Sanctions en cas de non-conformité :** Amendes administratives CNIL jusqu'à 20 millions d'euros ou 4% du CA mondial annuel (art. 83.5 RGPD pour les violations des principes fondamentaux). Amendes jusqu'à 10 millions ou 2% du CA pour les violations de procédures (art. 83.4 RGPD). Sanctions pénales : article 226-17 Code pénal (traitement irrégulier de données personnelles — 5 ans d'emprisonnement et 300 000 €) ; article 226-13 (violation du secret professionnel — 1 an et 15 000 €). Exemples de sanctions CNIL françaises récentes : CNIL contre AP-HP (300 000 €, délibération SAN-2021-020, violation de données de santé COVID) ; CNIL contre Dedalus Biologie (1,5 M€, délibération SAN-2022-013, défaut de sécurité des données de santé) ; CNIL contre Google France (150 M€, délibération SAN-2022-001, cookies non conformes — example de niveau maximal de sanction).

Les erreurs les plus fréquentes lors de la mise en place d'une Charte de Confidentialité RH en France.

**Erreur 1 — Traitement des données de santé par la DRH :** L'employeur ne peut pas accéder aux données médicales des salariés. Seul le médecin du travail peut traiter ces données. La DRH ne doit recevoir que des données d'aptitude (apte, inapte, apte avec restrictions). Tout accès aux données médicales brutes par la DRH constitue une violation de l'article 9 du RGPD et peut entraîner des poursuites pénales.

**Erreur 2 — Absence de DPA avec les sous-traitants :** Ne pas conclure de contrat de traitement de données (DPA) avec le cabinet de paie externalisé, la mutuelle santé ou l'OPCO. L'article 28 du RGPD est impératif. L'absence de DPA expose l'entreprise à une amende CNIL et à une responsabilité solidaire avec le sous-traitant.

**Erreur 3 — Conservation indéfinie des données :** Conserver les données de candidatures non retenues au-delà de 2 ans, les données disciplinaires au-delà de 3 ans, ou les données des anciens salariés sans limitation. La purge régulière est une obligation RGPD.

**Erreur 4 — Absence de réponse aux demandes de droits RGPD :** Ne pas répondre aux demandes d'accès ou de rectification dans le délai légal d'un mois. La CNIL reçoit de nombreuses plaintes de salariés pour défaut de réponse. Une réponse tardive ou incomplète peut déclencher un contrôle formel.

**Erreur 5 — Transferts hors UE non encadrés :** Utiliser des outils RH hébergés hors UE (SIRH américains, bases de données en Inde) sans cadre juridique de transfert (décision d'adéquation ou clauses contractuelles types CCT). Le Data Privacy Framework UE-USA (juillet 2023) a sécurisé les transferts vers les entreprises certifiées, mais les transferts vers d'autres pays restent soumis aux CCT.