RGPD et bulletin de paie : précisions de la CNIL

Article écrit par (1141 articles)
Publié le
Modifié le 20/04/2020
21 387 lectures

Cabinets d'expertise comptable, gestionnaires de paie et responsables des ressources humaines doivent appliquer le règlement général sur la protection des données personnelles ou RGPD au quotidien.

Le référentiel proposé par la CNIL permet de répondre aux questions que se posaient les praticiens et apporte de nombreuses précisions.

Le référentiel proposé par la CNIL s'adresse à tous les organismes publics ou privés et vise à encadrer la mise en ½uvre des traitements courants de gestion du personnel. 

Il ne se limite pas aux seuls salariés mais concerne aussi les stagiaires, les vacataires et plus généralement tous les collaborateurs permanents ou temporaires que peut avoir un employeur.

Enfin, la CNIL rappelle que les employeurs sont tenus de respecter à la fois le RGPD et la loi informatique et libertés et l'ensemble des règles de la législation du travail (textes légaux et réglementaires, conventions collectives...).

Pour rappel, le RGPD est un règlement européen qui est entré en vigueur et doit être mis en place à compter du 25 mai 2018.

Peut-on envoyer un bulletin de paie par mail ?

En principe, et pour la sécurité des données personnelles du salarié, il vaut mieux opter pour une solution d'archivage avec téléchargement par les salariés concernés.

L'envoi de bulletin de paie au format PDF et donc dématérialisé oblige l'employeur à assurer l'archivage et la conservation des bulletins de paie pendant 50 ans en vertu de l'article L3243-8 du code du travail.

Le référentiel de la CNIL a été adopté le 21 novembre 2019 avant d'être publié au Journal officiel du 15 avril 2020. Il contient de nombreux exemples et ne s'applique pas :

  • aux traitements de gestion des ressources humaines qui utilisent des outils innovants comme la psychométrie, les traitements algorithmiques ou le profilage ;
  • aux traitements qui ont pour objet ou effet, le contrôle individuel des salariés.

RGPD et bulletin de paie : les différentes finalités

La CNIL liste 11 finalités différentes pour la mise en ½uvre d'un traitement de gestion du personnel. Elles concernent autant les services RH des entreprises que les cabinets d'expertise comptable.

Les 11 traitements sont :

  • le recrutement ;
  • la gestion administrative des personnels ;
  • la gestion des rémunérations et les formalités administratives associées ;
  • la mise à disposition d'outils professionnels ;
  • l'organisation du travail ;
  • le suivi des carrières et de la mobilité ;
  • la formation ;
  • la tenue des registres obligatoires et les rapports avec les instances représentatives du personnel ;
  • la communication interne ;
  • la gestion des aides sociales ;
  • et enfin, la réalisation des audits, gestion du contentieux et du précontentieux.

Toujours selon le référentiel de la CNIL, le traitement mis en ½uvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l'organisme.

Les informations recueillies pour l'une des finalités ne peuvent être utilisées une nouvelle fois pour poursuivre un objectif incompatible avec la finalité initiale.

RGPD : les traitements possibles au sein des services RH

RGPD et bulletin de paie : les bases légales du traitement

Dès lors qu'il est question de gestion des ressources humaines et d'établissement des bulletins de paie, bulletin de salaire ou fiches de paie, il est possible de mobiliser les bases légales du traitement suivantes :

  • le respect d'une obligation légale incombant à l'organisme (DSN, registre du personnel ...) ;
  • l'exécution d'un contrat auquel l'intéressé est partie (contrat de travail) ou de mesures précontractuelles ;
  • la réalisation de l'intérêt légitime poursuivi par l'organisme ;
  • l'exécution d'une mission d'intérêt public.

Les 3 premières bases légales seront le fondement de la plupart des finalités de traitement des données personnelles des salariés.

La gestion des élections professionnelles, l'organisation des réunions du comité social et économique ou encore la DSN relèvent de l'obligation légale.

La constitution d'une CVthèque, la gestion des agendas professionnels, l'organisation de cession de formation, la gestion des équipements et fournitures à la disposition des salariés relèvent de l'intérêt légitime.

RGPD : quelles bases légales pour l'établissement des bulletins de paie ou la DSN ?

RGPD et bulletin de paie : les données concernées

Lorsque l'on parle du règlement qui doit permettre de protéger les données personnelles des personnes physiques et de bulletin de paie, on pense immédiatement à toutes les données qui peuvent permettre d'identifier le salarié.

Il s'agit des noms, prénoms, adresse, numéro de Sécurité sociale, date et lieu de naissance etc. On pense moins souvent à :

  • l'évaluation des compétences du candidat au moment du recrutement ;
  • au suivi de carrière et à la formation ;
  • à la validation des acquis et de l'expérience ou VAE ;
  • à la gestion des accidents du travail etc.

L'employeur doit seulement collecter et utiliser les données qui sont strictement nécessaires. Pour la CNIL, il n'est pas question de demander un numéro de Sécurité sociale tant que la candidature n'est pas validée. Ce numéro peut être demandé pour la rédaction du contrat de travail et les déclarations relatives à l'embauche, pas au moment d'un entretien préalable.

À quel moment peut-on demander le numéro de Sécurité sociale à un salarié ?

RGPD et bulletin de paie : un accès aux données limité aux personnes habilitées

Les habilitations d'accès aux données personnelles du salarié doivent être documentées et limitées.

En cabinet d'expertise comptable par exemple, seules les personnes habilitées à gérer les paies ou le personnel et leurs supérieurs hiérarchiques devraient pouvoir accéder aux données.



Sandra Schmidt
Rédactrice sur Compta Online de 2014 à 2022, média communautaire 100% digital destiné aux professions du Chiffre depuis 2003.