Comment veiller au respect du RGPD dans l’élaboration du bulletin de paie ?

La mise en place d’un cadre réglementaire de protection des données à caractère personnel avec le RGPD, acronyme de règlement général sur la protection des données, oblige chaque citoyen européen à le respecter. Les entreprises n’échappent pas à cette règle. 

En tant qu’employeur, vous devez donc appliquer le RGPD tout au long du processus de paie. Toutefois, il n’y a aucune mention liée au RGPD à faire apparaître sur le bulletin de paie. 

En tant qu’employeur vous souhaitez vérifier que l’élaboration de la paie est bien en conformité avec le RGPD. PayFit vous guide.

Qu’est-ce que le RGPD ? 

Le RGPD est un règlement européen qui encadre le traitement et la circulation des données à caractère personnel. 

Concrètement, ce règlement oblige les personnes qui traitent des données (nom, prénom, numéro de sécurité sociale, numéro de pièce d’identité, etc.) à veiller à leur protection afin de renforcer les droits des personnes. 

Ainsi, chaque entreprise qui utilise des données personnelles, et donc ici les données de ses salariés, doit veiller au respect du RGPD. 

Les données personnelles d’un salarié sont toutes les informations sur son identité personnelle (nom, adresse, etc) mais également toutes les informations relatives à son poste de travail, à sa rémunération, etc. 

En tant qu'employeur, vous devez donc veiller au respect du RGPD dans les bulletins de paie et lors de leur élaboration. 

Quelles sont les finalités du RGPD dans l’élaboration du bulletin de paie ? 

Dans le cadre de la gestion de la paie, le dirigeant d’une entreprise est obligé de traiter certaines données personnelles de ses salariés pour : 

• la gestion des rémunérations et les formalités administratives qui en découlent, comme la date de paiement du salaire ; 

• l’organisation du travail, notamment le planning de travail ; 

• la gestion des aides sociales ; 

• la formation. 

⚠️  Attention : la CNIL (Commission nationale de l’informatique et des libertés) précise que le traitement des données d’une personne doit toujours : “répondre à un objectif précis et être justifié au regard des missions et des activités de l’organisme.” 

En effet, la CNIL et le RGPD, à des fins RH, imposent aux employeurs des secteurs privés ou publics de le respecter. 

Exemple : un employeur ne peut pas échanger ou vendre les numéros de téléphone de ses salariés à d'autres entreprises, y compris s’il s’agit de partenaires commerciaux, à des fins de démarchage téléphonique. En effet avec le RGPD, l’employeur ne peut utiliser les données liées au bulletin de paie de ses salariés que pour organiser le travail et gérer la paie.

Quelles sont les informations sensibles en lien avec le RGPD sur le bulletin de paie ? 

💡 Bon à savoir : en tant qu’employeur, vous êtes autorisés à stocker les données personnelles d’un salarié uniquement lorsque le contrat de travail est officiellement signé. 

Lors de l’émission du bulletin de paie, la CNIL, pour les données personnelles d’un salarié, considère que toutes les informations qui permettent de l’identifier doivent être protégées par l’employeur au regard du RGPD. 

C’est notamment le cas de :

• son identité (nom et prénom) ; 

• sa date de naissance ; 

• son adresse postale ; 

• son NIR ou NTT (autrement appelé numéro de Sécurité sociale) ; 

• son poste.

Le RGPD dans un bulletin de paie concerne également toutes les informations relatives à la rémunération du salarié, comme notamment : 

• ses primes ; 

• ses congés payés ; 

• son taux d’imposition relatif au prélèvement à la source ; 

• ses absences ou arrêts maladies ; 

• ses avantages en nature.

Comment veiller au respect du RGPD sur le bulletin de paie ? 

Depuis que c'est devenu la norme, on assiste indéniablement à une généralisation du bulletin de paie dématérialisé. 

💡 Bon à savoir : il peut être utile de mettre en place un coffre-fort électronique pour stocker les bulletins de paie dématérialisés et ainsi créer un espace personnel et sécurisé pour le salarié. 

Vous devez sensibiliser vos salariés au RGPD, notamment sur le bulletin de paie car c’est un document personnel et confidentiel. Dailleurs, le bulletin de salaire doit faire l’objet d’un traitement spécifique notamment lors de sa transmission au salarié. 

Dans ce sens, lors de l’édition de la fiche de paie (bulletin de paie version papier, ou bulletin de paie par mail), le RGPD doit être respecté. En effet, sa durée de conservation doit être précisée au salarié ainsi que les différents traitements possibles des données. 

Le salarié doit être conscient de votre politique RGPD concernant la gestion de la paie. A ce titre, vous devez l’informer de la finalité de la collecte des informations et de l’exploitation de ces dernières. 

Afin de veiller au respect du RGPD dans l’élaboration du processus de paie, il est important de respecter plusieurs étapes : 

Étape 1 : préciser au salarié la durée de conservation de ses données personnelles et les différents traitements de ses données personnelles. 

Étape 2 : informer le salarié de la communication de ses données personnelles pour permettre la gestion par l’entreprise de son personnel et la gestion de la paie ainsi que pour toutes les communications internes à l’entreprise. Il s’agit généralement d’insérer une clause de données personnelles dans le contrat de travail.

Étape 3 : créer un accès sécurisé pour que les personnes habilitées puissent accéder aux données en toute sécurité. 

Étape 4 : informer les salariés sur l’identité des personnes habilitées à consulter ou à traiter leurs données personnelles. 

Quelles sont les sanctions encourues en cas de non-respect du RGPD par l’employeur ? 

Si vous ne respectez pas le RGPD dans le cadre de l’élaboration de la paie, vous encourez diverses sanctions.

Mesures correctrices 

En cas de non-respect du RGPD, vous pouvez être rappelé à l’ordre par la CNIL, notamment par : 

• un simple avertissement ; 

• une mise en demeure ; 

• une obligation de rectification ou d’effacement ; 

• une sanction administrative (amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial).

Sanctions administratives 

Si vous ne réparez pas vos erreurs et que vous persistez à ne pas respecter le RGPD sur les bulletins de paie, alors l’entreprise risque des amendes administratives. 

Sanctions pénales 

Pour les violations les plus graves (détournement des données personnelles ou collecte illicite), vous risquez des sanctions pénales : 

• amende de 300 000 € ; 

• 5 ans de prison.