Protection des données personnelles en entreprise : vos obligations RGPD
La protection des données personnelles en entreprise repose sur le respect du RGPD et des recommandations de la CNIL. Chaque employeur collecte des informations sur ses salariés et clients : identité, coordonnées bancaires, données de santé. Sécuriser ces données protège l’entreprise contre des sanctions qui ont atteint 486,8 millions d’euros en France en 2025.
Données personnelles en entreprise : périmètre et définition
Le RGPD (règlement général sur la protection des données) définit une donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. En contexte professionnel, cette définition couvre un spectre large qui dépasse les seules fiches de paie.
Un employeur traite quotidiennement des dizaines de catégories de données sur ses salariés. Le service RH collecte noms, adresses, numéros de sécurité sociale et coordonnées bancaires. Les managers accèdent aux plannings, aux évaluations de performance et aux arrêts maladie.
Catégories de données collectées par l’employeur
Voici les principales catégories de données personnelles traitées en entreprise :
- Identité : nom, prénom, date de naissance, photo, numéro de sécurité sociale
- Coordonnées : adresse postale, email professionnel et personnel, téléphone
- Données bancaires : RIB pour le versement du salaire
- Vie professionnelle : contrat de travail, évaluations, sanctions disciplinaires
- Santé : arrêts maladie, aptitude délivrée par la médecine du travail
- Connexions : logs informatiques, badges d’accès, géolocalisation des véhicules
Chaque catégorie répond à une finalité précise. Le RGPD impose de ne collecter que les données strictement nécessaires : c’est le principe de minimisation prévu par l’article 5 du règlement.
Données sensibles : un régime renforcé
L’article 9 du RGPD interdit par défaut le traitement des données dites sensibles. Cette catégorie inclut l’origine ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale et les données biométriques.
En pratique, un employeur détient certaines de ces données. L’affiliation syndicale apparaît sur les bulletins de paie des salariés qui cotisent via prélèvement. La médecine du travail génère des données de santé. Le traitement reste licite uniquement si une exception légale s’applique, comme une obligation du droit du travail ou le consentement explicite de la personne concernée.
Obligations légales de l’employeur sur les données des salariés
Le cadre réglementaire repose sur deux textes : le RGPD, applicable depuis mai 2018 dans toute l’Union européenne, et la loi Informatique et Libertés de 1978, mise à jour en 2019. La CNIL supervise l’application de ces textes sur le territoire français et prononce des sanctions en cas de manquement.
Registre des traitements et base légale
Toute entreprise de plus de 250 salariés doit tenir un registre des traitements. Ce document recense chaque opération sur des données personnelles : collecte, stockage, consultation, transfert ou suppression. Les structures plus petites sont concernées dès qu’elles traitent des données sensibles ou réalisent un suivi régulier des personnes.
Chaque traitement repose sur une base légale parmi les six prévues par le RGPD. Pour la gestion de la paie, la base légale est l’obligation légale. Pour la vidéosurveillance des locaux, c’est l’intérêt légitime. Le consentement du salarié ne constitue pas une base valable dans la relation employeur-salarié : le déséquilibre de pouvoir entre les parties fausse le caractère libre du consentement.
Durées de conservation réglementaires
Le RGPD interdit la conservation de données au-delà de la durée nécessaire à leur finalité. La CNIL fixe des repères précis.
| Type de données | Durée de conservation | Base réglementaire |
|---|---|---|
| Bulletins de paie | 5 ans après le départ du salarié | Article L3243-4 du Code du travail |
| Candidatures non retenues | 2 ans maximum | Recommandation CNIL |
| Registre du personnel | 5 ans après le départ | Article R1221-26 du Code du travail |
| Contrôle des horaires | 5 ans | Recommandation CNIL |
| Vidéosurveillance | 1 mois maximum | Article L252-3 du Code de la sécurité intérieure |
Un audit régulier des données stockées garantit le respect de ces délais. Les entreprises qui conservent des dossiers de candidature au-delà de deux ans sans accord du candidat s’exposent à une mise en demeure de la CNIL.
Droits des salariés sur leurs données personnelles
Le RGPD accorde aux salariés des droits concrets. Un salarié peut demander l’accès à l’intégralité des données détenues par son employeur, sans justification. L’entreprise dispose de 30 jours pour répondre à cette demande.
Le droit de rectification corrige une information erronée. Le droit à l’effacement s’applique sous conditions, notamment quand les données ne sont plus nécessaires à la finalité initiale. L’employeur doit informer chaque salarié, dès l’embauche, de l’existence de ces droits et des modalités pour les exercer.
Mesures concrètes pour sécuriser les données personnelles
La CNIL a sanctionné 16 organismes en 2025 pour non-respect des règles de vidéosurveillance des salariés. La sécurisation des données professionnelles exige des mesures techniques et organisationnelles proportionnées au niveau de risque.
Sécurité technique
Trois dispositifs techniques réduisent significativement le risque de violation :
- Chiffrement : les données sensibles (RIB, numéros de sécurité sociale) doivent être chiffrées au repos et en transit avec le standard AES-256
- Contrôle d’accès : seuls les collaborateurs habilités accèdent aux données, un gestionnaire de paie n’a pas besoin des dossiers médicaux
- Authentification renforcée : l’authentification multifacteur (MFA) bloque 99,9 % des attaques sur les comptes selon Microsoft
Concrètement, le cloisonnement des accès par rôle limite l’impact d’une compromission. Si un compte est piraté, l’attaquant n’accède qu’aux données autorisées pour ce profil précis.
Organisation et formation
La technologie seule ne protège pas. 65 % des entreprises françaises utilisent déjà l’IA et l’automatisation en cybersécurité selon le rapport IBM 2025. Mais la faille humaine reste le premier vecteur d’attaque : le phishing et les ransomwares représentent le point d’entrée principal des violations.
Former les équipes aux bonnes pratiques de sécurité informatique change la donne. Chaque salarié doit savoir identifier un email suspect, gérer ses mots de passe et signaler un incident. Un programme de sensibilisation trimestriel réduit les erreurs humaines de manière mesurable.
Autre point : la rédaction d’une politique de confidentialité interne formalise les règles. Ce document précise qui accède à quelles données, comment signaler un incident et quelles sanctions s’appliquent en cas de manquement.
Sanctions CNIL et coût des violations de données
Les conséquences financières d’un défaut de protection sont lourdes. Le rapport IBM Cost of a Data Breach 2025 chiffre le coût moyen d’une violation à 3,59 millions d’euros pour une entreprise française. Ce montant couvre la détection, la notification, la réponse à l’incident et les pertes d’exploitation.
Bilan des sanctions CNIL en 2025
La CNIL a prononcé 83 sanctions en 2025, pour un montant cumulé de 486,8 millions d’euros. Trois manquements concentrent la majorité des amendes : sécurisation insuffisante, absence de coopération avec la CNIL et non-respect des droits des personnes.
| Entreprise sanctionnée | Montant de l’amende | Motif principal |
|---|---|---|
| Google (LLC + Ireland) | 325 millions d’euros | Non-respect du RGPD |
| Shein (Infinite Styles) | 150 millions d’euros | Transfert de données hors UE |
| FREE Mobile + FREE | 42 millions d’euros | Violation de données personnelles |
| France Travail | 5 millions d’euros | Défaut de sécurisation |
Les PME ne sont pas épargnées. La procédure simplifiée de la CNIL, instaurée en 2022, a produit 67 sanctions en 2025. Les amendes atteignent jusqu’à 20 000 euros dans cette procédure, un montant significatif pour une petite structure.
Un contexte de menaces croissant
La CNIL a reçu 5 840 notifications de violations de données en 2025 : une hausse de 47 % par rapport à 2024. La France se classe au deuxième rang mondial des pays touchés par les fuites de données selon le bilan annuel de la CNIL.
Cette tendance renforce l’urgence d’une stratégie de sécurité informatique en entreprise structurée. Les entreprises qui investissent dans la détection automatisée contiennent les incidents 88 jours plus rapidement et économisent en moyenne 1,39 million d’euros par violation (rapport IBM, 2025).
Mise en conformité : les étapes concrètes
Protéger les données personnelles en entreprise suppose une démarche structurée. Quatre étapes couvrent l’essentiel du chemin vers la conformité RGPD.
Cartographier les traitements. Identifiez chaque flux de données personnelles dans votre organisation. Qui collecte quoi, pour quelle finalité, avec quelle base légale ? Ce travail alimente directement le registre des traitements obligatoire.
Évaluer les risques. Un audit de cybersécurité identifie les vulnérabilités techniques. Une analyse d’impact (AIPD) est obligatoire pour les traitements présentant un risque élevé pour les droits des personnes.
Déployer les mesures correctives. Chiffrement, contrôle d’accès, politique de mots de passe, procédure de notification de violation : chaque faille identifiée lors de l’audit doit être corrigée avec un plan d’action daté.
Documenter et former. La mise en conformité RGPD exige une documentation complète. Registre, analyses d’impact, procédures de réponse aux droits des personnes : chaque pièce justifie votre conformité en cas de contrôle CNIL. Formez les équipes RH, IT et management chaque année.
Désigner un DPO : dans quels cas ?
La désignation d’un délégué à la protection des données (DPO) est obligatoire pour les organismes publics, les entreprises dont l’activité principale implique un suivi régulier des personnes à grande échelle et les structures traitant des données sensibles à grande échelle.
Pour les autres entreprises, la CNIL recommande cette désignation. Le DPO supervise la conformité, forme les équipes et sert d’interlocuteur en cas de contrôle. Un DPO externalisé coûte entre 5 000 et 15 000 euros par an pour une PME, selon la complexité des traitements.
Classification des documents confidentiels
Chaque document contenant des données personnelles doit porter une mention de classification. Trois niveaux suffisent pour la plupart des organisations : “Public”, “Interne” et “Confidentiel”. Un bulletin de paie porte la mention “Confidentiel”. Un organigramme sans données personnelles reste “Interne”.
Sur le terrain, cette classification guide les comportements. Un document “Confidentiel” ne se partage pas par email non chiffré, ne s’imprime pas sur une imprimante partagée sans retrait immédiat et ne se stocke pas sur un drive personnel. Ces règles, intégrées à la politique de protection des données, deviennent des réflexes avec la formation.
Prochaine étape : auditer vos traitements de données personnelles avec votre DPO ou un prestataire spécialisé. La CNIL met à disposition un outil gratuit, le PIA (Privacy Impact Assessment), pour structurer votre analyse d’impact et prioriser les corrections.
