Comment veiller au respect du RGPD dans l’élaboration du bulletin de paie ?

Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la gestion des données à caractère personnel est devenue un enjeu stratégique et juridique incontournable pour toutes les entreprises européennes. En tant qu'employeur, vous manipulez quotidiennement des informations hautement confidentielles, notamment lors du processus de paie.

Bien qu’aucune mention explicite liée au RGPD ne doive figurer directement sur le bulletin de salaire de vos collaborateurs, l’ensemble de la chaîne de production, de transmission et de conservation de ce document doit être strictement conforme à la réglementation.

Qu’est-ce que le RGPD appliqué à la gestion de la paie ?

Le RGPD est le cadre européen qui encadre le traitement, la circulation et la sécurisation des données à caractère personnel. Il impose à toute entité juridique qui manipule ces informations de veiller à leur protection et de garantir les droits des personnes concernées (droit d'accès, de rectification, d'effacement, etc.).

Dans le cadre des ressources humaines, les données personnelles d’un salarié comprennent non seulement ses informations d’identité civile (nom, prénom, adresse postale), mais aussi toutes les variables liées à son poste, son parcours et sa rémunération. 

L'élaboration du bulletin de paie concentre ainsi une quantité critique de données personnelles qui obligent l’employeur à une vigilance renforcée.

Quelles sont les finalités du RGPD dans l’élaboration du bulletin de paie ? 

Les finalités du RGPD dans l'élaboration du bulletin de paie sont limitées à la gestion administrative et RH du salarié : rémunération, déclarations sociales, organisation du travail et formation. Le traitement ne peut pas se faire de manière arbitraire, la CNIL rappelle qu'un traitement doit toujours répondre à un objectif précis (une finalité) et être justifié au regard des missions et des activités de l’organisme.

Dans le cadre de la gestion de la paie, la collecte de ces données est juridiquement légitime pour :

• la gestion des rémunérations et l'accomplissement des formalités administratives associées (déclarations sociales, DSN, prélèvement à la source, etc.) ;

• l’organisation du travail (suivi du temps de travail, plannings de travail, gestion des congés) ;

• la gestion des aides sociales et des cotisations ;

• le suivi des actions de formation.

⚠️ Attention : un employeur ne peut en aucun cas utiliser, échanger ou vendre les coordonnées ou données de paie de ses salariés à des tiers (y compris des partenaires commerciaux) à des fins de prospection ou de démarchage. Les données collectées pour la paie doivent rester cantonnées exclusivement aux finalités RH et administratives.

Quelles sont les informations sensibles en lien avec le RGPD sur le bulletin de paie ? 

Lors de l’émission de la fiche de paie, la CNIL considère que toutes les informations permettant d’identifier directement ou indirectement le salarié doivent faire l’objet d’une protection renforcée. Sont notamment concernés :

• l'identité et la situation personnelle : nom, prénom, date de naissance, adresse postale, numéro de Sécurité sociale (NIR ou NTT) ;

• les éléments de poste : intitulé du poste, classification, coefficient, ancienneté ;

• les éléments financiers et de rémunération : salaire de base, primes, avantages en nature, taux d’imposition lié au prélèvement à la source ;

• le suivi du temps de travail et des absences : congés payés, RTT, heures supplémentaires, mais aussi motifs d'absences ou arrêts maladie (les données de santé étant classées comme des données sensibles par le RGPD).

💡 Bon à savoir : un employeur n'est autorisé à collecter et stocker les données personnelles d'un candidat qu'à partir du moment où le contrat de travail est officiellement signé (hors données strictement nécessaires au processus de recrutement).

Quelles sont les durées de conservation des données RH ?

Le 2 avril 2026, la CNIL a publié un nouveau référentiel visant à guider les entreprises dans la détermination des durées de conservation pertinentes pour la gestion administrative du personnel. Ce texte distingue deux phases essentielles de traitement : la base active et l'archivage intermédiaire.

1. Le dossier professionnel du salarié

La conservation des données du salarié dans son dossier professionnel obéit à des règles précises de gestion et de durée de conservation, selon les phases de la relation de travail et les obligations légales de l’employeur :

• en base active (données facilement accessibles par les services RH opérationnels) : les données sont conservées par principe pour toute la durée de la relation de travail (tant que le salarié fait partie des effectifs) ;

• en archivage intermédiaire (accès restreint et motivé) : après la rupture du contrat de travail, l'employeur peut conserver les données pour répondre à ses obligations légales ou pour se constituer une preuve en cas de contentieux, et ce dans la limite des délais de prescription ou de forclusion applicables au type de contentieux concerné (2 ans pour la contestation de la rupture du contrat, 3 ans pour les actions en paiement de salaires, jusqu'à 5 ans en matière de discrimination).

2. Le Registre Unique du Personnel (RUP)

Les mentions obligatoires figurant dans le registre unique du personnel doivent être maintenues en base active tant que le salarié est présent, puis basculées en archivage intermédiaire pendant une durée de 5 ans à compter de la date à laquelle le salarié a quitté l'établissement (conformément à l'article R. 1221-26 du Code du travail).

3. Les justificatifs de gestion du temps de travail (heures de travail)

Les documents récapitulant le nombre d’heures de travail accomplies chaque mois et les compensations associées (qui servent de base au calcul de la paie) obéissent à des règles strictes :

• en base active : de leur collecte jusqu’à l’émission du bulletin de paie de la période concernée ;

• en archivage intermédiaire (en vue d’une éventuelle contestation du temps de travail) : durant 1 an (ou pendant la durée de la période de référence en cas d'aménagement du temps de travail supérieur à l'année), ou 3 ans pour les salariés soumis à une convention de forfait (articles D. 3171-16 et L. 3245-1 du Code du travail).

👉 À noter : l'ensemble de ces fichiers et traitements liés à la gestion du personnel doit obligatoirement être inscrit de manière transparente dans le Registre des activités de traitement tenu par l'employeur.

Comment veiller au respect du RGPD sur le bulletin de paie ? 

Veiller au respect du RGPD sur le bulletin de paie repose sur 4 étapes clés, avec la généralisation du bulletin de paie dématérialisé, la sécurisation des flux numériques est devenue indispensable.

• étape 1 : informer et faire preuve de transparence. Vous devez obligatoirement informer le salarié de la finalité de la collecte de ses données, de leur utilisation, ainsi que de leurs durées de conservation (en distinguant base active et archivage). Cette information prend généralement la forme d'une clause dédiée intégrée au contrat de travail ou d'une charte informatique ;

• étape 2 : sécuriser la transmission et le stockage. L'envoi de bulletins de paie par simple courriel non sécurisé est à proscrire. Il est vivement recommandé de mettre en place un coffre-fort électronique sécurisé, garantissant au salarié un espace personnel unique, chiffré et conforme, accessible même après son départ de l'entreprise ;

• étape 3 : restreindre les accès. Seules les personnes dûment habilitées (le service RH, le service comptabilité ou le prestataire de paie externe) doivent pouvoir accéder à ces fichiers. Les salariés doivent d’ailleurs être informés de l'identité ou des fonctions des personnes ayant accès à leurs données ;

• étape 4 : sensibiliser les équipes. Le bulletin de salaire étant un document hautement confidentiel, vos gestionnaires de paie et managers doivent être formés aux bonnes pratiques de sécurité informatique (gestion des mots de passe, verrouillage des sessions, destruction des impressions papier inutiles).

Quelles sont les sanctions encourues en cas de non-respect du RGPD par l’employeur ? 

Le non-respect des règles édictées par le Règlement général sur la protection des données et le Code du travail expose l’entreprise et son dirigeant à de lourdes conséquences.

Mesures correctrices 

En cas de contrôle ou de signalement, la CNIL peut prononcer plusieurs types de mesures graduées :

• un avertissement ou un rappel à l'ordre ;

• une mise en demeure de se mettre en conformité dans un délai imparti ;

• une injonction de rectification ou d’effacement des données indûment conservées ;

• des sanctions administratives financières : des amendes pouvant s’élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise.

Sanctions pénales 

Pour les manquements les plus graves, tels que le détournement de données personnelles, la collecte frauduleuse ou illicite, ou le non-respect des durées maximales d'archivage, l'employeur s'expose à des poursuites pénales pouvant aller jusqu'à :

• 300 000 € d'amende ;

• 5 ans d'emprisonnement.

Assurer la conformité RGPD de vos processus de paie n’est pas seulement une stricte obligation légale, renforcée par le référentiel CNIL du 2 avril 2026 sur les durées de conservation des données RH : c'est également un gage de confiance et de transparence indispensable à la bonne gestion de vos relations de travail. Un outil de paie conforme et un accompagnement adapté s'avèrent être vos meilleurs alliés pour avancer sereinement.

Envie de gagner du temps sur la paie ?

Demander une démo