Formation RGPD Salariés 2026

Comprendre le RGPD : cadre et principes

Module 1 / 5

Module 1 : Cadre & Principes 22 min de lecture

1.3 Les 7 principes fondamentaux du RGPD

L'article 5 du RGPD énonce sept principes qui forment la colonne vertébrale du texte. Chaque action de l'entreprise sur des données personnelles doit pouvoir être rattachée à ces principes. Les connaître permet d'évaluer en quelques secondes si une pratique est conforme — ou s'il faut alerter.

1

Licéité, loyauté et transparence

Toute collecte de données doit reposer sur une base légale clairement identifiée (cf. Module 2), être réalisée de manière loyale (sans tromper la personne) et faire l'objet d'une information préalable compréhensible.

Conforme

Un formulaire de candidature qui indique clairement : « Vos données sont collectées par [société X] pour gérer votre candidature, conservées 2 ans, vous pouvez exercer vos droits auprès de [contact DPO]. »

Non conforme

Une caméra de vidéosurveillance installée discrètement « pour observer le rendement » sans information du personnel ni consultation du CSE. Sanction CNIL très probable.

2

Limitation des finalités

Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne peuvent être utilisées ultérieurement de manière incompatible. C'est l'un des principes les plus violés en pratique.

Exemple : le badge d'accès

Un badge d'accès est collecté pour la sécurité des locaux. Le réutiliser pour contrôler les heures de pause ou évaluer la productivité constitue un détournement de finalité — sauf nouvelle base légale et information complète des salariés.

3

Minimisation des données

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité. Le réflexe « on collecte au cas où » est explicitement interdit.

Finalité Donnée nécessaire Donnée excessive
Verser un salaire Nom, IBAN, NIR, qualification, taux horaire Photo, situation familiale détaillée, opinion politique
Annuaire interne Nom, fonction, e-mail pro, téléphone pro Date de naissance, adresse personnelle, état de santé
Recrutement Parcours, compétences, prétentions Origine ethnique, religion, situation matrimoniale
4

Exactitude

Les données doivent être exactes et tenues à jour. Toute donnée inexacte doit être effacée ou rectifiée sans délai. Ce principe sous-tend le droit de rectification (cf. Module 3).

Exemple : un dossier de paie qui n'a pas été mis à jour après un changement de domicile, un mariage ou une naissance n'est pas seulement administrativement gênant — il viole l'article 5-1-d du RGPD.

5

Limitation de la conservation

Les données ne doivent être conservées que le temps strictement nécessaire à la finalité. Au-delà, elles doivent être supprimées ou archivées (avec accès restreint).

CV non retenus

2 ans maximum après le dernier contact (recommandation CNIL)

Bulletins de paie

5 ans (Code du travail) — durée de prescription des cotisations

Vidéosurveillance

1 mois maximum sauf incident (doctrine CNIL)

Logs de connexion

6 mois maximum (sauf obligation légale anti-fraude)

Dossier salarié

5 ans après départ (durée prescription contractuelle)

Géolocalisation véhicule

2 mois maximum (recommandation CNIL)

Ces durées sont indicatives — voir le référentiel CNIL « Gestion des ressources humaines » et la doctrine sectorielle.

6

Intégrité et confidentialité (sécurité)

Les données doivent être protégées contre l'accès non autorisé, la perte, la destruction ou l'altération par des mesures techniques et organisationnelles appropriées (article 32 RGPD). Le RGPD n'impose pas de mesure spécifique mais une obligation de résultat proportionnée au risque.

Mesures techniques
  • Chiffrement (TLS, disques chiffrés, sauvegardes chiffrées)
  • Authentification forte (MFA), gestion des mots de passe
  • Cloisonnement des accès (principe du moindre privilège)
  • Sauvegardes régulières testées
  • Anti-virus, EDR, mises à jour de sécurité
  • Journalisation et détection d'incidents
Mesures organisationnelles
  • Charte informatique signée
  • Politique de sécurité des systèmes d'information (PSSI)
  • Sensibilisation et formation des salariés
  • Procédure de gestion des départs (révocation des accès)
  • Plan de continuité et de reprise (PCA / PRA)
  • Procédure de réponse aux incidents
7

Responsabilité (Accountability)

Le responsable de traitement doit non seulement respecter les six principes ci-dessus, mais aussi être en mesure de démontrer qu'il les respecte. C'est la révolution juridique du RGPD : l'inversion de la charge de la preuve.

Outils de la conformité documentée
  • Registre des traitements (Art. 30) — recense l'ensemble des activités de traitement
  • AIPD / DPIA — analyse d'impact pour les traitements à risque élevé
  • Politique de protection des données et procédures internes
  • Contrats de sous-traitance conformes à l'article 28
  • Mentions d'information et formulaires de recueil du consentement
  • Traces des demandes d'exercice de droits et de leur suivi

En cas de contrôle CNIL, l'absence de ces documents constitue à elle seule un manquement, indépendamment du fait que le traitement soit licite ou non sur le fond.

Les 7 principes en un coup d'œil

1. Licéité, loyauté, transparence
2. Limitation des finalités
3. Minimisation des données
4. Exactitude
5. Limitation de la conservation
6. Intégrité et confidentialité
7. Accountability — démontrer la conformité, pas seulement la respecter
RGPD pour Salariés