{"id":7183,"date":"2021-03-24T15:23:22","date_gmt":"2021-03-24T15:23:22","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-2813\/"},"modified":"2026-05-11T00:19:20","modified_gmt":"2026-05-11T00:19:20","slug":"traduisons-le-texte","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2021\/03\/24\/traduisons-le-texte\/","title":{"rendered":"Protection des donn\u00e9es des dossiers du personnel 2"},"content":{"rendered":"<p style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;margin-bottom:18px;\">10 min de lecture<\/p>\n<p style=\"color:#888;font-size:0.85em;margin-bottom:18px;\">Derni\u00e8re mise \u00e0 jour : mars 2026 | Publi\u00e9 initialement : 2021<\/p>\n<p><b>\u00c0 compter de janvier 2027, la fiche de paie num\u00e9rique devient obligatoire. Parall\u00e8lement, les autorit\u00e9s allemandes de protection des donn\u00e9es infligent des amendes record  &#8211;  jusqu\u2019\u00e0 900 000 euros pour une conservation excessive de donn\u00e9es. Toute entreprise qui g\u00e8re encore ses dossiers du personnel selon les r\u00e8gles en vigueur en 2020 s\u2019expose non seulement \u00e0 des manquements en mati\u00e8re de conformit\u00e9, mais aussi \u00e0 une responsabilit\u00e9 personnelle des dirigeants au titre de la directive NIS2.<\/b><\/p>\n<h2>L&rsquo;essentiel<\/h2>\n<ul>\n<li>\u00c0 compter du 1<sup>er<\/sup> janvier 2027, tous les employeurs doivent tenir leurs documents relatifs \u00e0 la r\u00e9mun\u00e9ration sous forme num\u00e9rique  &#8211;  les demandes d\u2019exemption expirent fin 2026 (7<sup>e<\/sup> loi modifiant le SGB IV).<\/li>\n<li>En 2024, les autorit\u00e9s allemandes de protection des donn\u00e9es ont prononc\u00e9 266 amendes totalisant 2,5 millions d\u2019euros  &#8211;  l\u2019amende individuelle la plus \u00e9lev\u00e9e s\u2019\u00e9levant \u00e0 900 000 euros pour une conservation abusive de donn\u00e9es (dsgvo-portal.de).<\/li>\n<li>37 % de toutes les donn\u00e9es vol\u00e9es lors d\u2019attaques cyber en Allemagne sont des donn\u00e9es personnelles  &#8211;  un taux sup\u00e9rieur \u00e0 celui des donn\u00e9es financi\u00e8res (\u00e9tude cyber de KPMG, 2024).<\/li>\n<li>Le projet de loi sur les donn\u00e9es des employ\u00e9s a \u00e9chou\u00e9 apr\u00e8s la rupture de la coalition en novembre 2024  &#8211;  seuls continuent de s\u2019appliquer l\u2019article 26 de la loi allemande sur la protection des donn\u00e9es (BDSG) comme clause nationale d\u2019ouverture au RGPD.<\/li>\n<li>La directive NIS2 est entr\u00e9e en vigueur en d\u00e9cembre 2025 : toute violation de s\u00e9curit\u00e9 affectant les syst\u00e8mes RH d\u00e9clenche d\u00e9sormais \u00e0 la fois l\u2019obligation de notification pr\u00e9vue par NIS2 et celle relative aux violations de donn\u00e9es du RGPD.<\/li>\n<\/ul>\n<h2>Pourquoi les dossiers du personnel constituent un enjeu strat\u00e9gique de s\u00e9curit\u00e9 en 2026<\/h2>\n<p>Les dossiers du personnel \u00e9taient longtemps consid\u00e9r\u00e9s comme un simple sujet de gestion des ressources humaines. Cette vision a radicalement chang\u00e9. Trois \u00e9volutions contraignent les entreprises \u00e0 repenser leur approche des donn\u00e9es des employ\u00e9s : l\u2019obligation de la fiche de paie num\u00e9rique \u00e0 partir de 2027, le renforcement sensible de l\u2019application du droit \u00e0 la protection des donn\u00e9es par les autorit\u00e9s comp\u00e9tentes, et les obligations de notification pr\u00e9vues par la directive NIS2, qui int\u00e8grent d\u00e9sormais explicitement les syst\u00e8mes RH dans le champ r\u00e9glementaire de la cybers\u00e9curit\u00e9.<\/p>\n<p>La raison ? Les dossiers du personnel constituent l\u2019une des collections de donn\u00e9es les plus pr\u00e9cieuses de l\u2019entreprise. Ils contiennent des coordonn\u00e9es bancaires, des identifiants fiscaux, des donn\u00e9es de sant\u00e9, des \u00e9valuations de performance  &#8211;  autant d\u2019\u00e9l\u00e9ments pouvant servir au vol d\u2019identit\u00e9, \u00e0 des tentatives d\u2019extorsion ou \u00e0 des campagnes cibl\u00e9es de piratage social contre les cadres dirigeants.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">37 %<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">de toutes les donn\u00e9es vol\u00e9es lors d\u2019attaques cyber en Allemagne sont des donn\u00e9es personnelles<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Source : \u00e9tude cyber de KPMG, 2024<\/div>\n<\/div>\n<h2>Le cadre juridique en 2026 : ce qui s\u2019applique\u2026 et ce qui a \u00e9chou\u00e9<\/h2>\n<p>L\u2019espoir d\u2019une loi sp\u00e9cifique sur les donn\u00e9es des employ\u00e9s s\u2019est dissip\u00e9. Le minist\u00e8re f\u00e9d\u00e9ral du Travail et des Affaires sociales avait pr\u00e9sent\u00e9, en octobre 2024, un projet de loi-cadre d\u00e9finissant pour la premi\u00e8re fois des r\u00e8gles claires concernant les donn\u00e9es des candidats, la surveillance m\u00e9dicale sur le lieu de travail et les d\u00e9cisions RH fond\u00e9es sur l\u2019intelligence artificielle. Apr\u00e8s la rupture de la coalition le 6 novembre 2024, ce projet n\u2019a pas pu \u00eatre soumis au Parlement. Le th\u00e8me ne figure pas non plus dans le programme de coalition actuel du gouvernement CDU\/CSU-SPD.<\/p>\n<p>Concr\u00e8tement, cela signifie que la protection des donn\u00e9es des employ\u00e9s reste r\u00e9gie par <a href=\"https:\/\/www.securitytoday.de\/fr\/?p=6865\">l\u2019article 26 du BDSG<\/a>, la clause nationale d\u2019ouverture au RGPD. Une disposition que les sp\u00e9cialistes du droit \u00e0 la protection des donn\u00e9es qualifient eux-m\u00eames de \u00ab mince \u00bb, car elle ne stipule essentiellement qu\u2019une seule chose : les donn\u00e9es des employ\u00e9s peuvent \u00eatre trait\u00e9es dans la mesure o\u00f9 cela est n\u00e9cessaire \u00e0 l\u2019ex\u00e9cution du contrat de travail.<\/p>\n<p>En revanche, l\u2019application du RGPD en Allemagne s\u2019est nettement durcie. L\u2019\u00e9tude DLA Piper de janvier 2025 recense, \u00e0 l\u2019\u00e9chelle europ\u00e9enne, 1,2 milliard d\u2019euros d\u2019amendes prononc\u00e9es en 2024. En Allemagne, 266 proc\u00e9dures se sont sold\u00e9es par une somme totale de 2,5 millions d\u2019euros. L\u2019amende individuelle la plus \u00e9lev\u00e9e s\u2019\u00e9levait \u00e0 900 000 euros  &#8211;  inflig\u00e9e \u00e0 un prestataire de services ayant conserv\u00e9 des donn\u00e9es pendant cinq ans au-del\u00e0 de la dur\u00e9e l\u00e9gale de conservation, sans base juridique valable.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\">\n<p>\n  \u00ab En 2024, l\u2019autorit\u00e9 de protection des donn\u00e9es de Hambourg a engag\u00e9 deux fois plus de proc\u00e9dures d\u2019amende qu\u2019en 2023. Celle de la Saxe a atteint, au cours du premier semestre, le niveau global de l\u2019ann\u00e9e 2023. \u00bb<br \/>\n  <cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\"> &#8211;  Synth\u00e8se des tendances en mati\u00e8re de sanctions (security-insider.de, 2024)<\/cite>\n<\/p>\n<\/blockquote>\n<h2>Deux affaires que toute entreprise devrait conna\u00eetre<\/h2>\n<p>Affaire n\u00b01 : Une structure culturelle avait syst\u00e9matiquement document\u00e9 l\u2019\u00e9tat de sant\u00e9 de ses employ\u00e9s ainsi que leur int\u00e9r\u00eat pour la cr\u00e9ation d\u2019un comit\u00e9 d\u2019entreprise. Objectif : faciliter les licenciements en p\u00e9riode d\u2019essai. L\u2019autorit\u00e9 de protection des donn\u00e9es a inflig\u00e9 une amende de 215 000 euros pour violation de l\u2019article 9 du RGPD (cat\u00e9gories particuli\u00e8res de donn\u00e9es) et de l\u2019article 26 du BDSG.<\/p>\n<p>Affaire n\u00b02 : Surveillance vid\u00e9o clandestine de trois stagiaires \u00e0 l\u2019aide de cam\u00e9ras dissimul\u00e9es dans des prises \u00e9lectriques. Sans information pr\u00e9alable des personnes concern\u00e9es, sans fondement juridique. Amende : 4 000 euros  &#8211;  le pr\u00e9judice financier \u00e9tait limit\u00e9, mais le dommage r\u00e9putationnel subi par l\u2019entreprise, lui, fut consid\u00e9rable.<\/p>\n<p>Ces deux cas montrent que les autorit\u00e9s ne se contentent pas d\u2019\u00e9valuer les mesures techniques mises en \u0153uvre, mais examinent aussi l\u2019intention derri\u00e8re le traitement des donn\u00e9es. Celui qui instrumentalise les dossiers du personnel contre ses employ\u00e9s paiera le prix fort, \u00e0 plusieurs titres.<\/p>\n<h2>D\u00e9lais de conservation : le tableau indispensable \u00e0 toute direction des ressources humaines<\/h2>\n<p>Il n\u2019existe pas de d\u00e9lai l\u00e9gal unique pour \u00ab le dossier du personnel \u00bb. Chaque type de document est soumis \u00e0 des r\u00e8gles sp\u00e9cifiques de conservation  &#8211;  et c\u2019est l\u00e0 l\u2019une des erreurs de conformit\u00e9 les plus fr\u00e9quentes. L\u2019amende de 900 000 euros pour conservation abusive illustre parfaitement les risques li\u00e9s \u00e0 une r\u00e8gle simpliste du type \u00ab on conserve tout pendant dix ans \u00bb.<\/p>\n<table style=\"width:100%;border-collapse:collapse;margin:24px 0;\">\n<thead>\n<tr style=\"background:#f0f9fa;\">\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Type de document<\/th>\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Dur\u00e9e<\/th>\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Base juridique<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Documents fiscaux relatifs \u00e0 la retenue \u00e0 la source, justificatifs ELStAM<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">6 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">\u00a7 41 al. 1 EStG, \u00a7 147 AO<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Bulletins de salaire, justificatifs comptables<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">10 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">\u00a7 257 HGB, \u00a7 147 AO<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Justificatifs d\u2019affiliation \u00e0 la s\u00e9curit\u00e9 sociale<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">5 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">SGB IV<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Justificatifs du salaire minimum<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">2 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">MiLoG<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">R\u00e9gimes de retraite compl\u00e9mentaire d\u2019entreprise<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">jusqu\u2019\u00e0 30 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">BetrAVG (prescription)<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Certificats d\u2019arr\u00eat maladie (moins de 6 semaines\/an)<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">12 mois<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Principe de minimisation des donn\u00e9es du RGPD<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Droits g\u00e9n\u00e9raux en droit du travail<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">3 ans<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">\u00a7\u00a7 195, 199 BGB<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>R\u00e8gle fondamentale :<\/strong> Les obligations l\u00e9gales de conservation pr\u00e9valent sur l\u2019obligation de suppression pr\u00e9vue par le RGPD. Mais d\u00e8s que le dernier d\u00e9lai applicable est expir\u00e9, l\u2019article 17 du RGPD s\u2019applique  &#8211;  et une obligation active de suppression entre en vigueur. En l\u2019absence de processus automatis\u00e9 de suppression, vous stockez in\u00e9vitablement des donn\u00e9es de fa\u00e7on ill\u00e9gale.<\/p>\n<h2>La fiche de paie num\u00e9rique : ce qui devient obligatoire \u00e0 partir de 2027<\/h2>\n<p>La 7<sup>e<\/sup> loi modifiant le SGB IV rend obligatoire, \u00e0 compter du 1<sup>er<\/sup> janvier 2027, la tenue num\u00e9rique des documents relatifs \u00e0 la r\u00e9mun\u00e9ration pour tous les employeurs. La possibilit\u00e9 actuelle de demander une exemption prend fin fin 2026. Sont concern\u00e9s tous les documents li\u00e9s \u00e0 la r\u00e9mun\u00e9ration et \u00e0 la s\u00e9curit\u00e9 sociale :<\/p>\n<ul>\n<li>Attestations d\u2019immatriculation et de membres des caisses d\u2019assurance maladie<\/li>\n<li>Justificatifs de temps de travail et bulletins de salaire<\/li>\n<li>Attestations relatives \u00e0 la r\u00e9mun\u00e9ration et d\u00e9clarations \u00e0 la s\u00e9curit\u00e9 sociale<\/li>\n<\/ul>\n<p>\u00c0 noter : cette obligation concerne le c\u0153ur des documents de paie, et non l\u2019int\u00e9gralit\u00e9 du dossier du personnel. Les \u00e9valuations de performance, les avertissements ou les attestations de formation peuvent continuer \u00e0 \u00eatre conserv\u00e9s sur support papier  &#8211;  m\u00eame si la question se pose alors de savoir si la coexistence de supports num\u00e9riques et papier demeure pertinente.<\/p>\n<p>Les exigences vont bien au-del\u00e0 d\u2019un simple archivage PDF : il faut une tra\u00e7abilit\u00e9 r\u00e9visable, une organisation structur\u00e9e et une attribution sans ambigu\u00eft\u00e9 \u00e0 chaque employ\u00e9. Tout syst\u00e8me ne r\u00e9pondant pas \u00e0 ces crit\u00e8res sera jug\u00e9 non conforme \u00e0 compter de 2027.<\/p>\n<h2>Conservation des dossiers du personnel sur support papier<\/h2>\n<p>M\u00eame si la num\u00e9risation progresse, les dossiers du personnel sur support papier restent une r\u00e9alit\u00e9 dans de nombreuses entreprises. Le BDSG insiste express\u00e9ment, \u00e0 son article 32 alin\u00e9a 2, sur la forme papier du dossier du personnel et impose des exigences strictes en mati\u00e8re de s\u00e9curit\u00e9 physique.<\/p>\n<p>Les armoires et coffres-forts destin\u00e9s \u00e0 la conservation des donn\u00e9es doivent respecter des normes europ\u00e9ennes pr\u00e9cises : EN 1143-1 pour la r\u00e9sistance certifi\u00e9e aux effractions, EN 1047-1 pour la r\u00e9sistance au feu et aux incendies. Des <a href=\"https:\/\/www.kaiserkraft.de\/bueromoebel\/tresore\/c\/63910-KK\/\" target=\"_blank\" rel=\"noopener\">coffres-forts ou armoires de s\u00e9curit\u00e9 pour papiers de Kaiser+Kraft<\/a> permettent de conserver les dossiers du personnel sensibles conform\u00e9ment \u00e0 ces normes.<\/p>\n<p style=\"text-align: right;\"><em>Anzeige<\/em><\/p>\n<p>Quant \u00e0 l\u2019acc\u00e8s aux dossiers du personnel : seules les personnes habilit\u00e9es y sont autoris\u00e9es. M\u00eame les sup\u00e9rieurs hi\u00e9rarchiques n\u2019y disposent pas d\u2019un acc\u00e8s libre  &#8211;  un arr\u00eat fondamental du Tribunal du travail f\u00e9d\u00e9ral (Az. 5 AZR 215\/86) limite strictement le cercle des personnes autoris\u00e9es \u00e0 consulter \u00e0 un strict minimum. L\u2019acc\u00e8s n\u2019est autoris\u00e9 que dans le cadre d\u2019une affaire personnelle concr\u00e8te ou pour les besoins de la gestion administrative du personnel.<\/p>\n<h2>NIS2 et RH : quand les dossiers du personnel deviennent un enjeu de cybers\u00e9curit\u00e9<\/h2>\n<p>Depuis le 6 d\u00e9cembre 2025, la loi allemande de transposition de la directive NIS2 est entr\u00e9e en vigueur. Environ 29 500 entreprises en Allemagne sont concern\u00e9es  &#8211;  celles comptant plus de 50 salari\u00e9s ou r\u00e9alisant un chiffre d\u2019affaires annuel sup\u00e9rieur \u00e0 10 millions d\u2019euros dans les 18 secteurs d\u00e9finis. L\u2019impact sur les donn\u00e9es RH est indirect, mais bien r\u00e9el :<\/p>\n<ul>\n<li><strong>Obligation de gestion des risques :<\/strong> Les entreprises relevant de NIS2 doivent d\u00e9montrer la mise en \u0153uvre d\u2019une gestion syst\u00e9matique des risques pour leurs syst\u00e8mes informatiques. Cela inclut <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/19\/post_id-5412\/\">les syst\u00e8mes RH contenant les dossiers du personnel<\/a>.<\/li>\n<li><strong>Obligation double de notification :<\/strong> Une violation de s\u00e9curit\u00e9 affectant des donn\u00e9es RH d\u00e9clenche \u00e0 la fois l\u2019obligation de notification pr\u00e9vue par NIS2 et celle relative aux violations de donn\u00e9es du RGPD (articles 33 et 34). Deux autorit\u00e9s, deux d\u00e9lais, deux proc\u00e9dures distinctes.<\/li>\n<li><strong>Responsabilit\u00e9 personnelle des dirigeants :<\/strong> <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/20\/post_id-5461\/\">L\u2019article 30 de la BSIG<\/a> rend les dirigeants personnellement responsables en cas de manquement fautif aux obligations de gestion des risques.<\/li>\n<li><strong>Sanctions :<\/strong> Jusqu\u2019\u00e0 10 millions d\u2019euros ou 2 % du chiffre d\u2019affaires mondial annuel.<\/li>\n<\/ul>\n<h2>Pratique-Checkliste : 7 \u00e9tapes vers une gestion conforme des dossiers du personnel<\/h2>\n<ol>\n<li><strong>Mettre en place un concept de suppression :<\/strong> D\u00e9finir des d\u00e9lais de suppression automatis\u00e9s pour chaque type de document (voir tableau ci-dessus). Bannir la r\u00e8gle g\u00e9n\u00e9rale \u00ab 10 ans pour tout \u00bb.<\/li>\n<li><strong>R\u00e9aliser une \u00e9valuation des impacts sur la protection des donn\u00e9es (EIPD) :<\/strong> L\u2019article 35 du RGPD exige une EIPD avant le d\u00e9ploiement de tout nouveau logiciel RH. Pour les syst\u00e8mes existants d\u00e9pourvus d\u2019EIPD, une r\u00e9gularisation est imp\u00e9rative.<\/li>\n<li><strong>V\u00e9rifier le concept d\u2019acc\u00e8s :<\/strong> Appliquer le principe du moindre privil\u00e8ge bas\u00e9 sur les r\u00f4les. Les administrateurs RH ont acc\u00e8s \u00e0 l\u2019int\u00e9gralit\u00e9 des donn\u00e9es, les chefs d\u2019\u00e9quipe uniquement \u00e0 celles de leur ligne directe, la comptabilit\u00e9 uniquement aux donn\u00e9es de paie. Chaque acc\u00e8s est syst\u00e9matiquement enregistr\u00e9.<\/li>\n<li><strong>Impliquer le comit\u00e9 d\u2019entreprise :<\/strong> L\u2019article 87 alin\u00e9a 1 n\u00b0 6 du BetrVG pr\u00e9voit la cod\u00e9cision pour l\u2019introduction de dispositifs techniques de surveillance des employ\u00e9s. Une fiche de paie \u00e9lectronique (ePA) mise en \u0153uvre sans accord d\u2019entreprise est juridiquement contestable.<\/li>\n<li><strong>S\u00e9parer les cat\u00e9gories particuli\u00e8res de donn\u00e9es :<\/strong> Les donn\u00e9es de sant\u00e9, l\u2019appartenance syndicale et les convictions religieuses (article 9 du RGPD) doivent \u00eatre stock\u00e9es s\u00e9par\u00e9ment des donn\u00e9es personnelles g\u00e9n\u00e9rales. Acc\u00e8s distinct, concept de suppression distinct.<\/li>\n<li><strong>Pr\u00e9parer la fiche de paie num\u00e9rique :<\/strong> Mettre en place, avant fin 2026, un syst\u00e8me dot\u00e9 d\u2019une tra\u00e7abilit\u00e9 r\u00e9visable. Exigences : organisation structur\u00e9e, attribution sans ambigu\u00eft\u00e9, protocole complet.<\/li>\n<li><strong>D\u00e9finir une proc\u00e9dure de r\u00e9ponse aux incidents pour les donn\u00e9es RH :<\/strong> Qui notifie quelle autorit\u00e9, dans quel d\u00e9lai ? RGPD : notification \u00e0 l\u2019autorit\u00e9 de protection des donn\u00e9es dans les 72 heures. NIS2 : premi\u00e8re notification au BSI (pour les entreprises relevant de NIS2) dans les 24 heures.<\/li>\n<\/ol>\n<h2>Conclusion : les dossiers du personnel ne sont plus un sujet RH<\/h2>\n<p>Entre l\u2019obligation de la fiche de paie num\u00e9rique en 2027, la mise en \u0153uvre renforc\u00e9e du RGPD et les obligations de notification du NIS2, la gestion des dossiers du personnel est devenue un sujet transversal qui n\u00e9cessite la collaboration entre les ressources humaines, la s\u00e9curit\u00e9 informatique, le service juridique et la direction g\u00e9n\u00e9rale. Ceux qui travaillent encore avec des listes Excel et des dossiers papier n\u2019ont plus beaucoup de marge de man\u0153uvre.<\/p>\n<p>La premi\u00e8re \u00e9tape ne co\u00fbte rien : imprimer le tableau des d\u00e9lais de conservation, le comparer avec le processus de suppression actuel et documenter les lacunes. Si l\u2019on constate qu\u2019il n\u2019y a pas de processus de suppression, on sait au moins par o\u00f9 commencer.<\/p>\n<h2>Questions fr\u00e9quentes<\/h2>\n<h3>Combien de temps les dossiers du personnel peuvent-ils \u00eatre conserv\u00e9s apr\u00e8s la fin du contrat de travail ?<\/h3>\n<p>Il n\u2019y a pas de d\u00e9lai uniforme. Les documents fiscaux doivent \u00eatre conserv\u00e9s pendant 6 ans, et les relev\u00e9s comptables pendant 10 ans (article 147 AO). Les r\u00e9clamations g\u00e9n\u00e9rales en droit du travail prescrivent apr\u00e8s 3 ans (articles 195, 199 BGB). Apr\u00e8s l\u2019expiration de tous les d\u00e9lais applicables, il existe une obligation de suppression conform\u00e9ment \u00e0 l\u2019article 17 RGPD. La pratique de nombreux entreprises de conserver les dossiers pendant 10 ans de mani\u00e8re g\u00e9n\u00e9rale n\u2019est pas juridiquement fond\u00e9e s\u2019il n\u2019existe pas d\u2019obligation sp\u00e9cifique de conservation pour le type de document concern\u00e9.<\/p>\n<h3>Qui peut consulter les dossiers du personnel ?<\/h3>\n<p>Seul un cercle restreint : le service des ressources humaines dans le cadre de la gestion du personnel, le salari\u00e9 lui-m\u00eame (droit d\u2019acc\u00e8s conform\u00e9ment \u00e0 l\u2019article 15 RGPD) et les sup\u00e9rieurs hi\u00e9rarchiques uniquement en cas de situation personnelle concr\u00e8te. La Cour f\u00e9d\u00e9rale du travail (Az. 5 AZR 215\/86) a pr\u00e9cis\u00e9 que le cercle des personnes autoris\u00e9es \u00e0 consulter doit \u00eatre aussi petit que possible. Chaque consultation doit \u00eatre enregistr\u00e9e.<\/p>\n<h3>Les dossiers du personnel doivent-ils \u00eatre enti\u00e8rement num\u00e9riques \u00e0 partir de 2027 ?<\/h3>\n<p>Non, seuls les documents de paie (bulletins de salaire, relev\u00e9s de s\u00e9curit\u00e9 sociale, relev\u00e9s de temps de travail). La loi de mise en \u0153uvre du 7<sup>e<\/sup> amendement au SGB IV oblige \u00e0 partir de janvier 2027 \u00e0 la tenue num\u00e9rique des fiches de paie. Les autres composants tels que les \u00e9valuations de performance ou les avertissements peuvent continuer \u00e0 \u00eatre tenus sous forme papier. Les exigences en mati\u00e8re de tenue num\u00e9rique vont au-del\u00e0 du simple stockage PDF : la tenue d\u2019un protocole conforme aux audits et une organisation structur\u00e9e sont obligatoires.<\/p>\n<h3>Que se passe-t-il en cas de fuite de donn\u00e9es concernant les dossiers du personnel ?<\/h3>\n<p>Deux obligations de notification parall\u00e8les peuvent s\u2019appliquer : l\u2019article 33 RGPD exige une notification \u00e0 l\u2019autorit\u00e9 de protection des donn\u00e9es comp\u00e9tente dans les 72 heures. Si l\u2019entreprise est soumise au NIS2 (\u00e0 partir de 50 employ\u00e9s dans des secteurs r\u00e9glement\u00e9s), une premi\u00e8re notification au BSI (Office f\u00e9d\u00e9ral pour la s\u00e9curit\u00e9 de l\u2019information) dans les 24 heures s\u2019ajoute. En cas de risque \u00e9lev\u00e9 pour les personnes concern\u00e9es, celles-ci doivent \u00eatre inform\u00e9es individuellement en vertu de l\u2019article 34 RGPD.<\/p>\n<h3>Ai-je besoin d\u2019une \u00e9valuation des impacts sur la protection des donn\u00e9es pour les logiciels RH ?<\/h3>\n<p>Dans la plupart des cas, oui. L\u2019article 35 RGPD exige une EIPD si le traitement des donn\u00e9es est susceptible de pr\u00e9senter un risque \u00e9lev\u00e9 pour les droits des personnes concern\u00e9es. Dans le cas des syst\u00e8mes RH qui traitent syst\u00e9matiquement les donn\u00e9es des employ\u00e9s  &#8211;  y compris les cat\u00e9gories particuli\u00e8res telles que les donn\u00e9es de sant\u00e9  &#8211;  c\u2019est g\u00e9n\u00e9ralement le cas. Les autorit\u00e9s allemandes de protection des donn\u00e9es incluent explicitement les syst\u00e8mes de gestion du personnel dans leurs listes positives des traitements soumis \u00e0 l\u2019obligation d\u2019EIPD.<\/p>\n<div class=\"evm-styled-box\" style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">Conseils de lecture de la r\u00e9daction<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/?p=6865\">RGPD 2026 : Ce qui change et ce \u00e0 quoi les entreprises doivent pr\u00eater attention<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/12\/nis2-in-deutschland-was-unternehmen-jetzt-wissen-und-umsetzen-muessen\/\">NIS2 en Allemagne : Ce que les entreprises doivent savoir et mettre en \u0153uvre maintenant<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/19\/post_id-5412\/\">Attaques d\u2019identit\u00e9 2026 : Pourquoi les pirates ne s\u2019introduisent plus par effraction, mais se connectent<\/a><\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">Plus du r\u00e9seau MBF Media<\/h2>\n<ul>\n<li>\u2192 <a href=\"https:\/\/www.cloudmagazin.com\"><strong>cloudmagazin<\/strong><\/a>  &#8211;  Cloud, SaaS et infrastructure informatique<\/li>\n<li>\u2192 <a href=\"https:\/\/www.digital-chiefs.de\"><strong>Digital Chiefs<\/strong><\/a>  &#8211;  Strat\u00e9gies pour les d\u00e9cideurs informatiques<\/li>\n<li>\u2192 <a href=\"https:\/\/mybusinessfuture.com\"><strong>MyBusinessFuture<\/strong><\/a>  &#8211;  Num\u00e9risation des PME<\/li>\n<\/ul>\n<\/div>\n<p style=\"text-align: right;\"><em>Source de l&rsquo;image : Pexels \/ Element5 Digital (px:1370294)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Derni\u00e8re mise \u00e0 jour : mars 2026 | Publi\u00e9 initialement : 2021 \u00c0 compter de janvier 2027, la fiche de paie num\u00e9rique devient obligatoire. Parall\u00e8lement, les autorit\u00e9s allemandes de protection des donn\u00e9es infligent des amendes record &#8211; jusqu\u2019\u00e0 900 000 euros pour une conservation excessive de donn\u00e9es. Toute entreprise qui g\u00e8re [&hellip;]","protected":false},"author":55,"featured_media":5543,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"traduisons","_yoast_wpseo_title":"Protection des donn\u00e9es des dossiers du personnel 2","_yoast_wpseo_metadesc":"Fiche de paie num\u00e9rique : d\u00e9couvrez les obligations d\u00e8s 2027 et pr\u00e9parez-vous en toute s\u00e9r\u00e9nit\u00e9. Agissez maintenant !","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-2813"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-7183","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":15,"wpml_language":"fr","wpml_translation_of":2813,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7183","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7183"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7183\/revisions"}],"predecessor-version":[{"id":14571,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7183\/revisions\/14571"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5543"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}