Quelles obligations RGPD régissent l'archivage des échanges sur l'évolution dans le dossier RH ?

Réponse courte

L'archivage des échanges relatifs à l'évolution professionnelle (entretiens, candidatures, évaluations, décisions de promotion) constitue un traitement de données personnelles au sens du RGPD (règlement UE 2016/679) et de la loi du 1er août 2018. L'employeur doit identifier la base légale (intérêt légitime ou exécution du contrat — art. 6 RGPD), respecter le principe de minimisation, fixer une durée de conservation des documents RH liés à la promotion précise (généralement 5 ans après fin de contrat), et garantir la sécurité technique (chiffrement, journalisation, contrôle d'accès).

Les droits des salariés (accès, rectification, opposition, portabilité — art. 15 à 22 RGPD) doivent pouvoir être exercés dans le délai d'un mois. La CNPD sanctionne les manquements jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial. L'article L.261-1 du Code du travail encadre par ailleurs les traitements de surveillance des salariés en imposant l'information préalable des instances représentatives du personnel et leurs prérogatives (L.414-3).

Définition

L'archivage des échanges sur l'évolution désigne la conservation systématique et organisée des documents relatifs aux entretiens d'évaluation, candidatures internes, décisions de promotion ou de refus, et avenants associés. Ces documents constituent des données personnelles dès qu'ils permettent l'identification directe ou indirecte d'un salarié.

La minimisation (art. 5 RGPD) impose que les données collectées et conservées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité poursuivie.

Questions fréquentes

Combien de temps conserver les documents RH liés à l'évolution professionnelle ?

La durée de conservation est généralement de 5 ans après la fin de contrat, conformément au principe de limitation prévu à l'article 5 du RGPD. La suppression doit être automatisée à l'issue de cette durée, et les documents tenus à disposition pour les recours.

Faut-il consulter la délégation du personnel sur les outils d'archivage RH ?

Oui, l'article L.261-1 du Code du travail encadre les traitements de surveillance et impose l'information préalable des instances représentatives. La délégation doit être consultée selon l'article L.414-3 sur les outils de gestion des données salariales.

Que faire en cas de violation de données personnelles RH ?

Toute violation doit être notifiée à la CNPD dans les 72 heures conformément à l'article 33 du RGPD et, dans certains cas, au salarié concerné. L'employeur doit documenter l'incident, les mesures prises et leur efficacité.

Quelles mesures techniques pour sécuriser les échanges RH ?

L'employeur doit mettre en place une habilitation nominative des accès, une authentification forte (mot de passe robuste ou double facteur), une journalisation automatique des consultations et une procédure d'audit annuel des habilitations pour révoquer les comptes inactifs.

Quelles obligations RGPD régissent l'archivage des échanges sur l'évolution professionnelle ?

L'archivage des échanges (entretiens, candidatures, évaluations, décisions de promotion) constitue un traitement de données personnelles soumis au RGPD et à la loi du 1er août 2018. L'employeur doit identifier la base légale, respecter la minimisation, fixer une durée et garantir la sécurité technique.

Quelles sanctions en cas de manquement RGPD sur l'archivage RH ?

La CNPD sanctionne les manquements jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Le défaut de traçabilité des accès au dossier RH peut constituer un manquement, notamment sur les décisions sensibles comme une promotion ou sanction.

Quels droits ont les salariés sur leur dossier RH ?

Les salariés disposent des droits d'accès, de rectification, d'opposition et de portabilité prévus aux articles 15 à 22 du RGPD. L'employeur doit pouvoir y répondre dans un délai d'un mois et formaliser une procédure interne dédiée.

Conditions d’exercice

Les obligations RGPD s'imposent à tous les outils de gestion du dossier RH (SIRH, archives papier, plateformes externalisées) et à toutes les phases du cycle (collecte, conservation, transmission, destruction).

Condition	Exigence
Base légale identifiée	Intérêt légitime ou exécution du contrat (art. 6 RGPD)
Minimisation	Données strictement nécessaires à la finalité (gestion RH, contentieux)
Durée de conservation	Délai défini, généralement 5 ans après fin de contrat
Sécurité technique	Chiffrement, contrôle d'accès, journalisation des consultations
Information du salarié	Notice RGPD à l'embauche, mise à jour si évolution du traitement
Droits des salariés	Accès, rectification, opposition, portabilité (art. 15-22 RGPD)
Information délégation	Consultation préalable de la délégation (L.414-3)

Modalités pratiques

Le registre des activités de traitement (art. 30 RGPD) est l'outil central de la conformité : il documente les finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité associées au dossier RH.

Démarche	Précision
Registre des activités	Inscription du traitement « gestion des évolutions professionnelles »
Notice d'information	Remise au salarié à l'embauche et lors de toute modification
Habilitation nominative	Accès limité aux personnels RH expressément habilités
Authentification forte	Identifiant et mot de passe robustes ou double facteur
Journalisation	Enregistrement automatique des accès et modifications
Procédure droits salariés	Formalisation du process de réponse sous 1 mois
Suppression à échéance	Effacement automatisé à l'issue de la durée légale de conservation

Pratiques et recommandations

Désigner un délégué à la protection des données (DPO) pour piloter la conformité RGPD du dossier RH et de ses échanges associés.

Documenter la base légale et la finalité de chaque catégorie d'échange (entretien, candidature, décision) dans le registre des activités.

Limiter strictement les accès au dossier RH par profil utilisateur et tracer toutes les consultations sensibles (promotion, sanction).

Notifier toute violation de données à la CNPD dans les 72 heures conformément à l'article 33 du RGPD.

Auditer annuellement les habilitations d'accès au SIRH pour révoquer les comptes inactifs ou obsolètes.

Anticiper les demandes d'accès des salariés en formalisant une procédure de réponse dans le délai d'un mois imposé par le RGPD.

Cadre juridique

Référence	Objet
Règlement (UE) 2016/679 (RGPD)	Protection des personnes physiques à l'égard du traitement de données
Loi du 1er août 2018	Mise en œuvre du RGPD au Luxembourg
Art. 5 RGPD	Principes de licéité, minimisation, limitation de la conservation
Art. 6 RGPD	Bases légales du traitement
Art. 30 RGPD	Registre des activités de traitement
Art. 33 RGPD	Notification d'une violation à la CNPD
Art. L.261-1 du Code du travail	Encadrement des traitements de surveillance
Art. L.414-3	Information de la délégation sur les outils de gestion

Note

Toute violation de données personnelles RH doit être notifiée à la CNPD dans les 72 heures et, dans certains cas, au salarié concerné. Le défaut de traçabilité des accès au dossier RH peut constituer un manquement passible d'une sanction administrative jusqu'à 20 millions €.