5€ par salarié par mois, tout compris. Essai gratuit de 30 jours sans engagement et sans carte bancaire. Tarif dégressif à partir de 100 salariés.

Le logiciel est-il conforme à la législation française ?

Oui, RH5 intègre les 340 conventions collectives françaises, les 16 cotisations sociales 2025, les entretiens professionnels obligatoires conformément à la Loi 2025, et la préparation DSN.

Mes données sont-elles sécurisées ?

Oui, les données sensibles (numéros de sécurité sociale, IBAN) sont chiffrées en AES-256. L'application est multi-tenant avec isolation complète entre entreprises, conforme RGPD, avec sauvegardes quotidiennes chiffrées.

Puis-je essayer gratuitement ?

Oui, 30 jours d'essai gratuit avec toutes les fonctionnalités, sans carte bancaire. Vous pouvez aussi tester la démo en un clic sur la page de connexion.

Pourquoi RH5 est-il moins cher que les autres SIRH ?

Les SIRH premium du marché facturent 15 à 25€ par salarié et par mois avec des modules vendus séparément (congés, paie, talents). RH5 facture 5€/salarié/mois avec les 27 modules inclus. Pas d'investisseur, pas de commercial, automatisation maximale : on répercute l'économie sur le tarif. Pour 50 salariés, l'économie annuelle peut atteindre 11 400€.

RH5 gère-t-il la paie complète ?

RH5 propose un module Pré-paie informatif : préparation des variables (brut, heures, primes, absences), estimation des 16 cotisations sociales 2025, pré-bulletins PDF et export CSV/Silae vers votre expert-comptable. L'édition du bulletin légal et la DSN mensuelle restent à la charge de votre expert-comptable ou d'un logiciel de paie agréé.

Combien de conventions collectives sont intégrées ?

340 conventions collectives françaises sont intégrées (toutes les CC actives répertoriées DILA/KALI). 49 sont enrichies avec les paramètres extraits du texte officiel Légifrance (périodes d'essai, préavis, primes). Les 291 autres utilisent les minimums légaux du Code du travail.

Faut-il être comptable pour utiliser RH5 ?

Non. L'interface est conçue pour les DRH, RRH, gestionnaires de paie internes ou même les dirigeants de PME sans équipe RH dédiée. La préparation des variables de paie est automatisée à partir des données employé et contrat. Aucune connaissance comptable avancée nécessaire.

Mes données sont-elles hébergées dans l'Union européenne ?

Oui, l'hébergement est localisé dans l'Union européenne chez Hostinger (Union européenne). Aucun transfert de données personnelles hors UE. Conforme RGPD article 44 sur les transferts de données.

Que se passe-t-il en cas de résiliation ?

Vous pouvez exporter toutes vos données en CSV et Excel à tout moment. En cas de résiliation, vos données sont conservées 30 jours puis automatiquement supprimées. Le préavis est d'un mois pour le plan mensuel.

Y a-t-il une application mobile ?

RH5 est une PWA (Progressive Web App) installable sur iOS et Android depuis le navigateur. Pas besoin de passer par les stores. Mode offline pour consulter ses congés et documents sans connexion.

Comment fonctionne la signature électronique des entretiens ?

Signature manuscrite via canvas tactile, hash SHA-256 du contenu et horodatage serveur. Conforme eIDAS niveau simple. Les signatures sont infalsifiables et vérifiables à tout moment depuis le tableau de bord.

L'Index égalité professionnelle (Pénicaud) est-il calculé automatiquement ?

Oui. RH5 calcule automatiquement les 4 indicateurs officiels pour les entreprises de 50 à 249 salariés (écart de rémunération sur 40 points, écart taux d'augmentation sur 35 points, retour congé maternité sur 15 points, top 10 rémunérations sur 10 points) selon l'arrêté du 31 janvier 2019. Génération du rapport PDF prêt à publier sur votre site web avant le 1er mars. Alertes automatiques si index inférieur à 75 (risque pénalité 1% masse salariale).

Est-ce que je peux suivre les quotas de femmes cadres dirigeantes (Loi Rixain) ?

Oui. Le tableau de bord Parité H/F affiche en temps réel le pourcentage de femmes cadres dirigeantes vs les cibles légales : 30% en 2026, 40% en 2029 (Loi n°2021-1774 du 24 décembre 2021). Alertes automatiques si les objectifs ne sont pas atteints.

ConformitéPublié le 12 avril 2026· Mis à jour le 23 avril 2026· 12 min de lecture

RGPD et données RH : guide de conformité pour les entreprises

Par Hakim Snoussi

Fondateur de RH5, expert SIRH pour PME

RGPD et données RH : guide de conformité pour les PME

Le Règlement Général sur la Protection des Données (Règlement UE 2016/679), entré en application le 25 mai 2018, impose à toute entreprise qui traite des données personnelles des obligations strictes. Les ressources humaines sont en première ligne : bulletins de paie, contrats, dossiers médicaux, évaluations, vidéosurveillance, géolocalisation... Chaque brique du SIRH manipule des données sensibles. Les PME pensent souvent être épargnées par les contrôles CNIL : c'est faux. En 2024, 40 % des sanctions prononcées concernaient des structures de moins de 250 salariés. Ce guide synthétise les règles essentielles, les durées de conservation, les droits des salariés et les obligations concrètes de l'employeur.

Le RGPD en bref : ce qui s'applique aux RH

Le RGPD s'applique dès qu'une entreprise établie dans l'UE traite des données personnelles, quelle que soit sa taille. Il complète la loi Informatique et Libertés du 6 janvier 1978 modifiée, qui reste le socle national français. La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle compétente en France : elle peut auditer, mettre en demeure et sanctionner.

Trois principes cardinaux gouvernent tout traitement RH :

- Licéité, loyauté et transparence : le salarié doit savoir quelles données sont collectées, pourquoi et par qui.

- Minimisation : on ne collecte que ce qui est strictement nécessaire à la finalité déclarée.

- Limitation de la conservation : les données ne sont gardées que le temps utile, puis archivées ou supprimées.

L'article 25 du RGPD impose en outre la protection des données dès la conception (privacy by design) et par défaut (privacy by default). Un SIRH conforme doit donc intégrer le chiffrement, la traçabilité et le cloisonnement des accès dès son architecture.

Les données RH concernées par le RGPD

Les RH manipulent l'éventail le plus large de catégories de données personnelles dans l'entreprise. On distingue :

Données d'identité et administratives : nom, prénom, date de naissance, nationalité, situation familiale, NIR (numéro de sécurité sociale), coordonnées personnelles, photo d'identité.

Données contractuelles et financières : contrat de travail, rémunération, primes, IBAN, avantages en nature, frais professionnels.

Données de carrière : diplômes, formations, évaluations annuelles, entretiens professionnels, plans de développement, sanctions disciplinaires.

Données sensibles au sens de l'article 9 RGPD : état de santé (arrêts maladie, visite médicale, invalidité, handicap RQTH), opinions religieuses ou philosophiques (rarement justifié), appartenance syndicale, données biométriques (empreinte digitale, reconnaissance faciale). Ces données bénéficient d'une protection renforcée : leur traitement est en principe interdit, sauf exceptions strictement encadrées (obligation légale de l'employeur, consentement explicite, médecine du travail).

Données de surveillance : pointeuses, badges d'accès, vidéosurveillance, géolocalisation de véhicules de service, logs informatiques, e-mails professionnels.

Le NIR mérite une attention particulière : son usage est strictement limité aux finalités paie, déclarations sociales (DSN, DPAE) et gestion des cotisations. Il ne peut pas servir d'identifiant interne ou de clé de recherche dans un SIRH.

Les 6 bases légales du RGPD appliquées aux RH

L'article 6 du RGPD liste six bases légales possibles. En RH, trois dominent largement.

Point critique : le consentement est la base la plus fragile en contexte RH. Le déséquilibre de subordination entre employeur et salarié rend le consentement rarement libre au sens du RGPD. La CNIL recommande donc de privilégier l'exécution du contrat ou l'obligation légale, et de réserver le consentement aux usages réellement optionnels (diffusion de photo, activités extra-professionnelles).

Durées de conservation : tableau récapitulatif

La durée de conservation doit être définie pour chaque traitement et documentée dans le registre. Voici les durées de référence recommandées par la CNIL et le Code du travail.

Toute donnée conservée au-delà de sa durée légale sans justification constitue une violation du RGPD.

Les 6 obligations concrètes de l'employeur

1. Tenir un registre des activités de traitement (art. 30). Obligatoire pour toute entreprise de plus de 250 salariés, mais également pour les PME dès qu'elles traitent des données sensibles (santé, biométrie) ou de manière non occasionnelle — ce qui est le cas de 100 % des employeurs. Le registre recense chaque traitement : finalité, catégories de personnes, durées, destinataires, mesures de sécurité.

2. Désigner un DPO (délégué à la protection des données) si l'entreprise dépasse 250 salariés ou traite des données sensibles à grande échelle. Le DPO peut être interne ou mutualisé (DPO externe mutualisé pour PME). Il est l'interlocuteur CNIL et salariés.

3. Réaliser une AIPD (analyse d'impact) pour tout traitement à risque élevé (art. 35). En RH : vidéosurveillance permanente, biométrie, géolocalisation, cybersurveillance, profilage par IA. L'AIPD identifie les risques et les mesures correctrices.

4. Notifier toute violation de données sous 72 heures à la CNIL (art. 33), et informer les personnes concernées si le risque pour leurs droits est élevé. Un vol d'ordinateur contenant des bulletins de paie non chiffrés entre dans ce cadre.

5. Garantir la sécurité des traitements (art. 32) : chiffrement des bases, authentification forte, MFA pour les accès sensibles, sauvegardes chiffrées, traçabilité des accès, gestion stricte des habilitations.

6. Informer les salariés de manière claire et accessible. Remise d'une notice d'information lors de l'embauche, affichage dans les locaux pour la vidéosurveillance, mise à jour du règlement intérieur et consultation du CSE pour toute surveillance nouvelle.

Les droits des salariés sur leurs données

Le RGPD reconnaît six droits fondamentaux aux personnes concernées. L'employeur doit répondre dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes).

- Droit d'accès (art. 15) : obtenir copie de toutes les données le concernant, avec les finalités, durées et destinataires.

- Droit de rectification (art. 16) : corriger une donnée inexacte (adresse, RIB, situation familiale).

- Droit à l'effacement (art. 17, dit "droit à l'oubli") : limité en RH par les obligations légales de conservation. Un candidat non retenu peut obtenir la suppression de son CV à tout moment.

- Droit à la portabilité (art. 20) : récupérer ses données dans un format structuré et lisible.

- Droit d'opposition (art. 21) : refuser un traitement fondé sur l'intérêt légitime, sauf motif impérieux de l'employeur.

- Droit à la limitation (art. 18) : geler temporairement un traitement contesté.

L'employeur doit mettre en place une procédure interne de gestion des demandes : formulaire dédié, registre des demandes, délais de réponse, éventuelle transmission au DPO.

Cas concrets en PME

Vidéosurveillance

Autorisée pour sécuriser les biens et les personnes, interdite pour surveiller en continu des salariés à leur poste de travail. Les caméras ne doivent pas filmer les zones de pause, les toilettes ou les espaces syndicaux. Information par affichage obligatoire. Consultation préalable du CSE. Durée de conservation des images : un mois maximum, sauf procédure en cours.

Géolocalisation des véhicules

Licite pour optimiser les tournées, facturer des prestations ou assurer la sécurité du véhicule. Interdite pour contrôler les horaires ou les itinéraires des représentants. Le dispositif doit être désactivable pendant les pauses et les trajets personnels (véhicule de fonction). Information individuelle et consultation du CSE requises.

Cybersurveillance et télétravail

L'employeur peut lire les e-mails professionnels s'ils ne sont pas marqués "personnel", contrôler les connexions internet et conserver les logs. La charte informatique, annexée au règlement intérieur, doit détailler les modalités. En télétravail, la surveillance permanente de l'écran, de la webcam ou de la productivité par logiciel (mouchard) est prohibée : la CNIL a rappelé en 2023 qu'un logiciel de keylogger constitue une collecte déloyale et disproportionnée.

BYOD (Bring Your Own Device)

Utiliser son smartphone personnel pour le travail pose un problème de cloisonnement des données. Une charte BYOD est indispensable : elle précise les données autorisées, les mesures de sécurité (MDM, chiffrement, mot de passe) et le droit de l'employeur à effacer à distance les données professionnelles en cas de départ. Sans cadre, le BYOD expose l'entreprise à une fuite de données non maîtrisée.

Sanctions et cas réels CNIL

L'article 83 du RGPD prévoit des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu). La CNIL peut aussi prononcer des mises en demeure publiques, des injonctions et des astreintes.

Au-delà de l'amende, la publication de la sanction sur le site de la CNIL entraîne un préjudice réputationnel durable.

Checklist de conformité RGPD RH — 15 points

Registre des activités de traitement rédigé et à jour.

AIPD réalisée pour chaque traitement à risque (vidéo, géoloc, biométrie).

DPO désigné et déclaré à la CNIL si obligatoire.

Notice d'information RGPD remise à chaque embauche.

Durées de conservation définies et documentées par traitement.

Procédure d'archivage et de purge automatisée.

Procédure de gestion des demandes de droits (accès, rectification, effacement).

Charte informatique annexée au règlement intérieur, CSE consulté.

Contrats de sous-traitance conformes à l'article 28 (paie externalisée, SIRH, cloud).

Chiffrement des bases et sauvegardes, MFA sur les accès RH.

Journalisation des accès aux données sensibles.

Procédure de notification de violation sous 72 h opérationnelle.

Habilitations revues au moins une fois par an.

Formation RGPD du service RH et des managers (traçabilité).

Consultation CSE documentée pour tout nouveau dispositif de surveillance.

Comment un SIRH aide à la conformité RGPD

Un SIRH cloud moderne centralise les données RH dans un environnement audité, ce qui simplifie considérablement la mise en conformité. Les fonctions clés à rechercher :

- Cloisonnement multi-tenant par isolation forte (row-level security) pour garantir qu'aucune donnée ne fuite entre clients.

- Chiffrement des données sensibles au repos (AES-256) et en transit (TLS 1.3).

- Gestion fine des habilitations par rôle (RH, manager, salarié, paie, admin) avec principe du moindre privilège.

- Journalisation complète des accès et modifications, horodatée et inaltérable, pour prouver la traçabilité en cas de contrôle.

- Purges automatiques selon les durées de conservation paramétrées par type de document.

- Coffre-fort salarié pour les bulletins de paie, garantissant l'accès à vie au salarié.

- MFA (double authentification) obligatoire pour les profils sensibles.

- Hébergement UE pour éviter les transferts hors UE non encadrés.

RH5, SIRH cloud pensé pour les PME, intègre ces garanties dès la conception (privacy by design, art. 25) : RLS forcée sur PostgreSQL, MFA TOTP, journalisation applicative, hébergement dans l'Union européenne (Hostinger (Union européenne)), contrat de sous-traitance conforme à l'article 28 fourni dès l'onboarding.

FAQ — RGPD et RH

Mon entreprise compte 30 salariés, dois-je désigner un DPO ?

Pas obligatoirement, sauf si vous traitez des données sensibles à grande échelle ou si votre activité principale implique un suivi régulier des personnes. Mais désigner un référent RGPD interne est fortement recommandé : il centralise les demandes, met à jour le registre et dialogue avec la CNIL en cas de contrôle.

Puis-je conserver les CV des candidats non retenus dans une CVthèque ?

Oui, dans la limite de deux ans après le dernier contact, et uniquement si le candidat en a été informé et ne s'y est pas opposé. Au-delà, vous devez supprimer le CV ou redemander son accord explicite. La CNIL vérifie régulièrement ce point lors de ses contrôles.

Un salarié peut-il exiger la suppression de son bulletin de paie ?

Non. Le bulletin de paie est conservé cinq ans par l'employeur au titre d'une obligation légale (article L3243-4 du Code du travail). Le droit à l'effacement (art. 17 RGPD) ne s'applique pas quand une obligation légale impose la conservation. En revanche, après cinq ans, la suppression devient obligatoire.

La paie est externalisée chez un expert-comptable : qui est responsable ?

Vous restez le responsable de traitement : l'expert-comptable est sous-traitant au sens de l'article 28. Vous devez signer un contrat ou un avenant précisant les obligations du sous-traitant : sécurité, confidentialité, sous-traitance ultérieure, restitution et suppression des données en fin de mission.

Un contrôle CNIL peut-il cibler une PME ?

Oui, totalement. La CNIL mène des contrôles aléatoires, thématiques (vidéosurveillance, géolocalisation) ou déclenchés par une plainte de salarié. Les PME représentent une part croissante des sanctions. Un salarié mécontent, un ancien stagiaire ou un syndicat peuvent saisir la CNIL en quelques clics.

Puis-je installer une pointeuse biométrique ?

Très difficilement. La biométrie relève de l'article 9 (données sensibles). La CNIL n'autorise la biométrie qu'en cas de fort besoin de sécurité (laboratoires, zones classifiées) et après AIPD obligatoire. Pour un simple contrôle horaire, un badge RFID classique suffit et est proportionné.

Dois-je consulter le CSE pour installer un nouveau SIRH ?

Oui. L'article L2312-38 du Code du travail impose la consultation du CSE avant la mise en place de tout moyen technique permettant un contrôle de l'activité des salariés. Un SIRH comprenant pointeuse, géolocalisation ou évaluations entre dans ce champ. La consultation doit être documentée (ordre du jour, procès-verbal).

Conclusion

La conformité RGPD en RH n'est ni un luxe ni une formalité : c'est un bouclier contre des sanctions lourdes et un gage de confiance vis-à-vis des salariés. Registre, durées de conservation, droits des personnes, sécurité et information : ces cinq chantiers structurent une démarche robuste. Un SIRH conçu privacy by design transforme ces contraintes en automatismes, libérant les RH du fardeau documentaire.

Base légale	Article	Cas d'usage RH typique
Exécution du contrat	6.1.b	Paie, gestion des congés, versement du salaire, suivi du temps de travail
Obligation légale	6.1.c	DSN, DPAE, registre du personnel, bulletins de paie, visite médicale
Intérêt légitime	6.1.f	Annuaire interne, badges d'accès, sécurité des locaux, prévention de la fraude
Consentement	6.1.a	Photo sur site web, newsletter interne, adhésion au CE, covoiturage
Sauvegarde intérêts vitaux	6.1.d	Urgence médicale, évacuation
Mission d'intérêt public	6.1.e	Rarement applicable au privé

Donnée RH	Durée active	Archivage intermédiaire	Fondement
CV candidat non retenu	2 ans max après dernier contact	—	Recommandation CNIL
Contrat de travail	Durée du contrat	5 ans après fin	Prescription prud'homale
Bulletin de paie (employeur)	5 ans	—	Art. L3243-4 Code du travail
Bulletin de paie (salarié)	À vie	—	Art. L3243-4
DPAE et DSN	5 ans	—	Code du travail
Documents fiscaux et comptables	10 ans	—	Code de commerce
Dossier médical du travail	50 ans	—	Code du travail R4624-46
Données de badgeage / pointeuse	5 ans	—	CNIL délibération 2019
Vidéosurveillance	1 mois max	—	CNIL
Géolocalisation de véhicules	2 mois (trajets)	1 an (synthèses)	CNIL
Sanctions disciplinaires	3 ans	—	Art. L1332-5
Évaluations professionnelles	Durée d'emploi + 5 ans	—	Intérêt légitime

Année	Entreprise	Manquement RH	Sanction
2020	Spartoo	Vidéosurveillance et écoute continue des salariés	250 000 €
2022	TotalEnergies	Prospection sans base légale, données salariés	1 000 000 €
2023	Amazon France Logistique	Surveillance excessive des salariés (scanner)	32 000 000 €
2024	PME transport régionale	Géolocalisation sans information CSE	20 000 €
2024	Cabinet recrutement	Conservation CV > 5 ans, pas de registre	40 000 €