Formation RGPD Salariés 2026

Les données personnelles en entreprise

Module 2 / 5

Module 2 : Données en entreprise 18 min de lecture

2.1 Cartographie des données collectées sur les salariés

La plupart des entreprises sous-estiment le volume de données qu'elles collectent sur leurs salariés. Bien avant le poste de travail, le cycle commence dès le CV et ne s'achève qu'après le départ. Vue d'ensemble, étape par étape, des grandes catégories de traitements RH et opérationnels.

1

Le cycle de vie de la donnée salarié

D'un côté la candidature, de l'autre la fin du préavis : entre les deux, l'entreprise accumule des centaines de données. Ce panorama ne prétend pas être exhaustif — il vise à montrer l'ampleur du phénomène.

Étape Données typiquement collectées Conservation indicative
Recrutement CV, lettre de motivation, prétentions, tests, entretiens, références 2 ans après dernier contact
Embauche État civil, NIR, RIB, copie pièce ID, justificatif domicile, contrat, DPAE, mutuelle Durée du contrat + 5 ans
Vie du contrat (RH) Bulletins de paie, congés, formations, entretiens annuels, sanctions 5 ans (paie) / 6 ans (DSN)
Outils opérationnels Comptes informatiques, e-mail, badge, géoloc, vidéo, ERP, GED Variable (1 mois à 5 ans)
Santé / Sécurité Visites médicales, fiche d'aptitude, AT/MP, accidents Min. 5 ans, jusqu'à 50 ans (CMR)
Sortie Solde de tout compte, attestation France Travail, reçu, certificat 5 ans (prescription prud'homale)

Les durées indicatives reposent sur la doctrine CNIL et le Code du travail. Une obligation légale spécifique (URSSAF, DSN, DGFiP) peut imposer une conservation plus longue dans certains cas.

2

Les données invisibles : ce que produit le poste de travail

Un salarié connecté huit heures par jour génère une masse considérable de données techniques, souvent ignorées du périmètre RH. Pourtant, elles sont toutes des données personnelles au sens du RGPD.

Poste informatique
  • Logs de connexion (heure, durée, IP)
  • Historique de navigation web
  • E-mails envoyés / reçus / archivés
  • Documents créés et modifiés (métadonnées)
  • Logs des applications (ERP, CRM, GED)
  • Données de visioconférence (Teams, Zoom)
Site et terrain
  • Badges d'entrée / sortie (horaires)
  • Vidéosurveillance des locaux
  • Géolocalisation véhicule de service
  • Pointeuse, comptage de présence
  • Téléphonie professionnelle (factures détaillées)
  • Capteurs de production (industrie 4.0)
3

Contrôle de l'activité : ce que l'employeur peut (et ne peut pas)

L'employeur peut surveiller son personnel — mais dans des limites strictes posées par le Code du travail (Art. L1121-1, L1222-4) et la jurisprudence. Trois conditions cumulatives.

Information préalable

Du salarié et du CSE (avant la mise en place — pas après)

Proportionnalité

Adapté à l'objectif (sécurité, productivité, etc.) — pas de surveillance permanente sans motif

Finalité légitime

Sécurité des biens, des personnes, lutte contre la fraude — pas la simple curiosité

Ce qui est interdit
  • Caméra filmant en permanence un poste de travail individuel (sauf manipulation d'argent / cas exceptionnels)
  • Géolocalisation hors temps de travail ou pour évaluer la performance individuelle
  • Keylogger ou logiciel espion enregistrant chaque frappe
  • Lecture systématique du contenu des e-mails (sauf risque pour l'entreprise)
  • Caméras dans les vestiaires, sanitaires, salles de pause
Ce qui est autorisé sous conditions
  • Vidéosurveillance des entrées, parkings, zones de stockage (avec affichage)
  • Suivi global de l'activité (volume d'appels, statistiques agrégées)
  • Géolocalisation véhicule pour optimisation de tournée et sécurité
  • Contrôle ponctuel d'usage informatique en cas de suspicion légitime
4

Le registre des traitements : la photographie de la conformité

L'article 30 du RGPD impose à toute entreprise de tenir un registre des activités de traitement. Il liste, pour chaque traitement (paie, recrutement, vidéosurveillance, gestion clients…) un ensemble d'informations standardisées.

Informations à renseigner par traitement
  • Nom et coordonnées du responsable et du DPO
  • Finalités du traitement
  • Catégories de personnes concernées
  • Catégories de données collectées
  • Catégories de destinataires
  • Transferts hors UE éventuels
  • Durées de conservation
  • Mesures de sécurité techniques et organisationnelles
Pourquoi c'est crucial

Le registre est le premier document demandé par la CNIL en cas de contrôle. Son absence — ou sa tenue défaillante — constitue à elle seule un manquement à l'article 30.

La CNIL met à disposition un modèle gratuit pour les structures de moins de 250 salariés sur cnil.fr — il n'y a aucune raison de ne pas en disposer.

Synthèse du chapitre

  • Le cycle de vie d'un salarié génère des données du CV au solde de tout compte
  • Les données techniques (logs, badge, vidéo) sont aussi des données personnelles
  • Tout contrôle de l'activité exige information préalable, proportionnalité et finalité légitime
  • Le registre des traitements (Art. 30) est obligatoire et premier document contrôlé
RGPD pour Salariés