24. mars 2021 | Imprimer l'article |

Protection des données des dossiers du personnel 2

10 min de lecture

Dernière mise à jour : mars 2026 | Publié initialement : 2021

À compter de janvier 2027, la fiche de paie numérique devient obligatoire. Parallèlement, les autorités allemandes de protection des données infligent des amendes record – jusqu’à 900 000 euros pour une conservation excessive de données. Toute entreprise qui gère encore ses dossiers du personnel selon les règles en vigueur en 2020 s’expose non seulement à des manquements en matière de conformité, mais aussi à une responsabilité personnelle des dirigeants au titre de la directive NIS2.

L’essentiel

  • À compter du 1er janvier 2027, tous les employeurs doivent tenir leurs documents relatifs à la rémunération sous forme numérique – les demandes d’exemption expirent fin 2026 (7e loi modifiant le SGB IV).
  • En 2024, les autorités allemandes de protection des données ont prononcé 266 amendes totalisant 2,5 millions d’euros – l’amende individuelle la plus élevée s’élevant à 900 000 euros pour une conservation abusive de données (dsgvo-portal.de).
  • 37 % de toutes les données volées lors d’attaques cyber en Allemagne sont des données personnelles – un taux supérieur à celui des données financières (étude cyber de KPMG, 2024).
  • Le projet de loi sur les données des employés a échoué après la rupture de la coalition en novembre 2024 – seuls continuent de s’appliquer l’article 26 de la loi allemande sur la protection des données (BDSG) comme clause nationale d’ouverture au RGPD.
  • La directive NIS2 est entrée en vigueur en décembre 2025 : toute violation de sécurité affectant les systèmes RH déclenche désormais à la fois l’obligation de notification prévue par NIS2 et celle relative aux violations de données du RGPD.

Pourquoi les dossiers du personnel constituent un enjeu stratégique de sécurité en 2026

Les dossiers du personnel étaient longtemps considérés comme un simple sujet de gestion des ressources humaines. Cette vision a radicalement changé. Trois évolutions contraignent les entreprises à repenser leur approche des données des employés : l’obligation de la fiche de paie numérique à partir de 2027, le renforcement sensible de l’application du droit à la protection des données par les autorités compétentes, et les obligations de notification prévues par la directive NIS2, qui intègrent désormais explicitement les systèmes RH dans le champ réglementaire de la cybersécurité.

La raison ? Les dossiers du personnel constituent l’une des collections de données les plus précieuses de l’entreprise. Ils contiennent des coordonnées bancaires, des identifiants fiscaux, des données de santé, des évaluations de performance – autant d’éléments pouvant servir au vol d’identité, à des tentatives d’extorsion ou à des campagnes ciblées de piratage social contre les cadres dirigeants.

37 %
de toutes les données volées lors d’attaques cyber en Allemagne sont des données personnelles
Source : étude cyber de KPMG, 2024

Le cadre juridique en 2026 : ce qui s’applique… et ce qui a échoué

L’espoir d’une loi spécifique sur les données des employés s’est dissipé. Le ministère fédéral du Travail et des Affaires sociales avait présenté, en octobre 2024, un projet de loi-cadre définissant pour la première fois des règles claires concernant les données des candidats, la surveillance médicale sur le lieu de travail et les décisions RH fondées sur l’intelligence artificielle. Après la rupture de la coalition le 6 novembre 2024, ce projet n’a pas pu être soumis au Parlement. Le thème ne figure pas non plus dans le programme de coalition actuel du gouvernement CDU/CSU-SPD.

Concrètement, cela signifie que la protection des données des employés reste régie par l’article 26 du BDSG, la clause nationale d’ouverture au RGPD. Une disposition que les spécialistes du droit à la protection des données qualifient eux-mêmes de « mince », car elle ne stipule essentiellement qu’une seule chose : les données des employés peuvent être traitées dans la mesure où cela est nécessaire à l’exécution du contrat de travail.

En revanche, l’application du RGPD en Allemagne s’est nettement durcie. L’étude DLA Piper de janvier 2025 recense, à l’échelle européenne, 1,2 milliard d’euros d’amendes prononcées en 2024. En Allemagne, 266 procédures se sont soldées par une somme totale de 2,5 millions d’euros. L’amende individuelle la plus élevée s’élevait à 900 000 euros – infligée à un prestataire de services ayant conservé des données pendant cinq ans au-delà de la durée légale de conservation, sans base juridique valable.

« En 2024, l’autorité de protection des données de Hambourg a engagé deux fois plus de procédures d’amende qu’en 2023. Celle de la Saxe a atteint, au cours du premier semestre, le niveau global de l’année 2023. »
– Synthèse des tendances en matière de sanctions (security-insider.de, 2024)

Deux affaires que toute entreprise devrait connaître

Affaire n°1 : Une structure culturelle avait systématiquement documenté l’état de santé de ses employés ainsi que leur intérêt pour la création d’un comité d’entreprise. Objectif : faciliter les licenciements en période d’essai. L’autorité de protection des données a infligé une amende de 215 000 euros pour violation de l’article 9 du RGPD (catégories particulières de données) et de l’article 26 du BDSG.

Affaire n°2 : Surveillance vidéo clandestine de trois stagiaires à l’aide de caméras dissimulées dans des prises électriques. Sans information préalable des personnes concernées, sans fondement juridique. Amende : 4 000 euros – le préjudice financier était limité, mais le dommage réputationnel subi par l’entreprise, lui, fut considérable.

Ces deux cas montrent que les autorités ne se contentent pas d’évaluer les mesures techniques mises en œuvre, mais examinent aussi l’intention derrière le traitement des données. Celui qui instrumentalise les dossiers du personnel contre ses employés paiera le prix fort, à plusieurs titres.

Délais de conservation : le tableau indispensable à toute direction des ressources humaines

Il n’existe pas de délai légal unique pour « le dossier du personnel ». Chaque type de document est soumis à des règles spécifiques de conservation – et c’est là l’une des erreurs de conformité les plus fréquentes. L’amende de 900 000 euros pour conservation abusive illustre parfaitement les risques liés à une règle simpliste du type « on conserve tout pendant dix ans ».

Type de document Durée Base juridique
Documents fiscaux relatifs à la retenue à la source, justificatifs ELStAM 6 ans § 41 al. 1 EStG, § 147 AO
Bulletins de salaire, justificatifs comptables 10 ans § 257 HGB, § 147 AO
Justificatifs d’affiliation à la sécurité sociale 5 ans SGB IV
Justificatifs du salaire minimum 2 ans MiLoG
Régimes de retraite complémentaire d’entreprise jusqu’à 30 ans BetrAVG (prescription)
Certificats d’arrêt maladie (moins de 6 semaines/an) 12 mois Principe de minimisation des données du RGPD
Droits généraux en droit du travail 3 ans §§ 195, 199 BGB

Règle fondamentale : Les obligations légales de conservation prévalent sur l’obligation de suppression prévue par le RGPD. Mais dès que le dernier délai applicable est expiré, l’article 17 du RGPD s’applique – et une obligation active de suppression entre en vigueur. En l’absence de processus automatisé de suppression, vous stockez inévitablement des données de façon illégale.

La fiche de paie numérique : ce qui devient obligatoire à partir de 2027

La 7e loi modifiant le SGB IV rend obligatoire, à compter du 1er janvier 2027, la tenue numérique des documents relatifs à la rémunération pour tous les employeurs. La possibilité actuelle de demander une exemption prend fin fin 2026. Sont concernés tous les documents liés à la rémunération et à la sécurité sociale :

  • Attestations d’immatriculation et de membres des caisses d’assurance maladie
  • Justificatifs de temps de travail et bulletins de salaire
  • Attestations relatives à la rémunération et déclarations à la sécurité sociale

À noter : cette obligation concerne le cœur des documents de paie, et non l’intégralité du dossier du personnel. Les évaluations de performance, les avertissements ou les attestations de formation peuvent continuer à être conservés sur support papier – même si la question se pose alors de savoir si la coexistence de supports numériques et papier demeure pertinente.

Les exigences vont bien au-delà d’un simple archivage PDF : il faut une traçabilité révisable, une organisation structurée et une attribution sans ambiguïté à chaque employé. Tout système ne répondant pas à ces critères sera jugé non conforme à compter de 2027.

Conservation des dossiers du personnel sur support papier

Même si la numérisation progresse, les dossiers du personnel sur support papier restent une réalité dans de nombreuses entreprises. Le BDSG insiste expressément, à son article 32 alinéa 2, sur la forme papier du dossier du personnel et impose des exigences strictes en matière de sécurité physique.

Les armoires et coffres-forts destinés à la conservation des données doivent respecter des normes européennes précises : EN 1143-1 pour la résistance certifiée aux effractions, EN 1047-1 pour la résistance au feu et aux incendies. Des coffres-forts ou armoires de sécurité pour papiers de Kaiser+Kraft permettent de conserver les dossiers du personnel sensibles conformément à ces normes.

Anzeige

Quant à l’accès aux dossiers du personnel : seules les personnes habilitées y sont autorisées. Même les supérieurs hiérarchiques n’y disposent pas d’un accès libre – un arrêt fondamental du Tribunal du travail fédéral (Az. 5 AZR 215/86) limite strictement le cercle des personnes autorisées à consulter à un strict minimum. L’accès n’est autorisé que dans le cadre d’une affaire personnelle concrète ou pour les besoins de la gestion administrative du personnel.

NIS2 et RH : quand les dossiers du personnel deviennent un enjeu de cybersécurité

Depuis le 6 décembre 2025, la loi allemande de transposition de la directive NIS2 est entrée en vigueur. Environ 29 500 entreprises en Allemagne sont concernées – celles comptant plus de 50 salariés ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros dans les 18 secteurs définis. L’impact sur les données RH est indirect, mais bien réel :

  • Obligation de gestion des risques : Les entreprises relevant de NIS2 doivent démontrer la mise en œuvre d’une gestion systématique des risques pour leurs systèmes informatiques. Cela inclut les systèmes RH contenant les dossiers du personnel.
  • Obligation double de notification : Une violation de sécurité affectant des données RH déclenche à la fois l’obligation de notification prévue par NIS2 et celle relative aux violations de données du RGPD (articles 33 et 34). Deux autorités, deux délais, deux procédures distinctes.
  • Responsabilité personnelle des dirigeants : L’article 30 de la BSIG rend les dirigeants personnellement responsables en cas de manquement fautif aux obligations de gestion des risques.
  • Sanctions : Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.

Pratique-Checkliste : 7 étapes vers une gestion conforme des dossiers du personnel

  1. Mettre en place un concept de suppression : Définir des délais de suppression automatisés pour chaque type de document (voir tableau ci-dessus). Bannir la règle générale « 10 ans pour tout ».
  2. Réaliser une évaluation des impacts sur la protection des données (EIPD) : L’article 35 du RGPD exige une EIPD avant le déploiement de tout nouveau logiciel RH. Pour les systèmes existants dépourvus d’EIPD, une régularisation est impérative.
  3. Vérifier le concept d’accès : Appliquer le principe du moindre privilège basé sur les rôles. Les administrateurs RH ont accès à l’intégralité des données, les chefs d’équipe uniquement à celles de leur ligne directe, la comptabilité uniquement aux données de paie. Chaque accès est systématiquement enregistré.
  4. Impliquer le comité d’entreprise : L’article 87 alinéa 1 n° 6 du BetrVG prévoit la codécision pour l’introduction de dispositifs techniques de surveillance des employés. Une fiche de paie électronique (ePA) mise en œuvre sans accord d’entreprise est juridiquement contestable.
  5. Séparer les catégories particulières de données : Les données de santé, l’appartenance syndicale et les convictions religieuses (article 9 du RGPD) doivent être stockées séparément des données personnelles générales. Accès distinct, concept de suppression distinct.
  6. Préparer la fiche de paie numérique : Mettre en place, avant fin 2026, un système doté d’une traçabilité révisable. Exigences : organisation structurée, attribution sans ambiguïté, protocole complet.
  7. Définir une procédure de réponse aux incidents pour les données RH : Qui notifie quelle autorité, dans quel délai ? RGPD : notification à l’autorité de protection des données dans les 72 heures. NIS2 : première notification au BSI (pour les entreprises relevant de NIS2) dans les 24 heures.

Conclusion : les dossiers du personnel ne sont plus un sujet RH

Entre l’obligation de la fiche de paie numérique en 2027, la mise en œuvre renforcée du RGPD et les obligations de notification du NIS2, la gestion des dossiers du personnel est devenue un sujet transversal qui nécessite la collaboration entre les ressources humaines, la sécurité informatique, le service juridique et la direction générale. Ceux qui travaillent encore avec des listes Excel et des dossiers papier n’ont plus beaucoup de marge de manœuvre.

La première étape ne coûte rien : imprimer le tableau des délais de conservation, le comparer avec le processus de suppression actuel et documenter les lacunes. Si l’on constate qu’il n’y a pas de processus de suppression, on sait au moins par où commencer.

Questions fréquentes

Combien de temps les dossiers du personnel peuvent-ils être conservés après la fin du contrat de travail ?

Il n’y a pas de délai uniforme. Les documents fiscaux doivent être conservés pendant 6 ans, et les relevés comptables pendant 10 ans (article 147 AO). Les réclamations générales en droit du travail prescrivent après 3 ans (articles 195, 199 BGB). Après l’expiration de tous les délais applicables, il existe une obligation de suppression conformément à l’article 17 RGPD. La pratique de nombreux entreprises de conserver les dossiers pendant 10 ans de manière générale n’est pas juridiquement fondée s’il n’existe pas d’obligation spécifique de conservation pour le type de document concerné.

Qui peut consulter les dossiers du personnel ?

Seul un cercle restreint : le service des ressources humaines dans le cadre de la gestion du personnel, le salarié lui-même (droit d’accès conformément à l’article 15 RGPD) et les supérieurs hiérarchiques uniquement en cas de situation personnelle concrète. La Cour fédérale du travail (Az. 5 AZR 215/86) a précisé que le cercle des personnes autorisées à consulter doit être aussi petit que possible. Chaque consultation doit être enregistrée.

Les dossiers du personnel doivent-ils être entièrement numériques à partir de 2027 ?

Non, seuls les documents de paie (bulletins de salaire, relevés de sécurité sociale, relevés de temps de travail). La loi de mise en œuvre du 7e amendement au SGB IV oblige à partir de janvier 2027 à la tenue numérique des fiches de paie. Les autres composants tels que les évaluations de performance ou les avertissements peuvent continuer à être tenus sous forme papier. Les exigences en matière de tenue numérique vont au-delà du simple stockage PDF : la tenue d’un protocole conforme aux audits et une organisation structurée sont obligatoires.

Que se passe-t-il en cas de fuite de données concernant les dossiers du personnel ?

Deux obligations de notification parallèles peuvent s’appliquer : l’article 33 RGPD exige une notification à l’autorité de protection des données compétente dans les 72 heures. Si l’entreprise est soumise au NIS2 (à partir de 50 employés dans des secteurs réglementés), une première notification au BSI (Office fédéral pour la sécurité de l’information) dans les 24 heures s’ajoute. En cas de risque élevé pour les personnes concernées, celles-ci doivent être informées individuellement en vertu de l’article 34 RGPD.

Ai-je besoin d’une évaluation des impacts sur la protection des données pour les logiciels RH ?

Dans la plupart des cas, oui. L’article 35 RGPD exige une EIPD si le traitement des données est susceptible de présenter un risque élevé pour les droits des personnes concernées. Dans le cas des systèmes RH qui traitent systématiquement les données des employés – y compris les catégories particulières telles que les données de santé – c’est généralement le cas. Les autorités allemandes de protection des données incluent explicitement les systèmes de gestion du personnel dans leurs listes positives des traitements soumis à l’obligation d’EIPD.

Plus du réseau MBF Media

Source de l’image : Pexels / Element5 Digital (px:1370294)

Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH