Conformite des donnees employes: guide pratique pour les equipes SaaS

La conformite des donnees employes est le systeme operationnel qui permet a une entreprise SaaS de traiter correctement les donnees personnelles des employes, candidats, contractants et utilisateurs internes. Elle couvre dossiers RH, paie, recrutement, avantages, performance, journaux d'acces, securite, outils de productivite, analytique interne, donnees de sante ou d'absence et fournisseurs associes.

Le but n'est pas d'ajouter une politique RH. L'equipe doit savoir quelles donnees existent, pourquoi elles sont traitees, quelle base juridique s'applique, si des donnees sensibles sont presentes, qui possede le workflow, combien de temps les donnees sont conservees, quels fournisseurs les recoivent et quelles preuves confirment l'execution.

Sous le RGPD, les donnees employes restent des donnees personnelles. L'article 88 permet aussi des regles plus specifiques dans le contexte de l'emploi. Les equipes SaaS globales doivent donc traiter ce sujet comme une discipline de gouvernance, pas comme un simple back-office.

Pourquoi cela compte en SaaS

Les entreprises SaaS developpent souvent leurs outils internes plus vite que leur gouvernance. Email, paie et identite deviennent HRIS, ATS, MDM, notes de frais, outils de securite, support, enregistrement d'appels, analytics de productivite et outils AI. Chacun peut traiter des donnees employes ou candidats.

Si l'entreprise ne peut pas expliquer le flux, les demandes de droits, due diligence, questionnaires enterprise, questions regulatoraires et incidents deviennent plus difficiles.

Quand cela s'applique

Cela s'applique quand l'entreprise collecte, utilise, partage, surveille, stocke ou supprime des donnees personnelles sur travailleurs, candidats, contractants, advisors ou utilisateurs internes. Les workflows typiques sont recrutement, contrats, paie, equity, avantages, absences, evaluations, dossiers disciplinaires, formation, device management, access management, logs securite, incident response, monitoring et offboarding.

Cela s'applique aussi lorsqu'un outil interne change l'usage des donnees: assistant AI, telemetrie endpoint, enregistrement d'appels, champs sante ou diversite, ou nouvelle analyse de productivite.

Commencer par un inventaire

Listez les workflows reels. Pour chaque workflow, capturez finalite, personnes concernees, categories de donnees, systemes, fournisseurs, acces internes, base juridique, condition additionnelle pour donnees sensibles, retention, owner, declencheur de revue et emplacement des preuves.

L'inventaire doit etre assez precis pour RH, securite, legal, compliance et operations.

Choisir la base juridique tot

Les orientations EDPB rappellent qu'une base valide est necessaire avant le traitement. Dans l'emploi, le consentement demande une attention particuliere a cause du desequilibre entre employeur et travailleur.

Selon le workflow, la paie peut relever du contrat et d'obligations legales; le monitoring securite peut relever d'interets legitimes ou d'obligations; les donnees de sante peuvent exiger une base article 6 et une condition article 9.

Traiter les donnees sensibles separement

Sante, handicap, absences, affiliation syndicale, biometrie, diversite, background checks ou griefs exigent acces plus restreint, retention claire, preuves plus fortes et revues explicites. Ces donnees ne devraient pas se retrouver dans feuilles de calcul, drives partages, outils analytics ou prompts AI sans decision documentee.

Controler acces, retention et fournisseurs

La conformite echoue souvent quand trop de personnes voient les donnees et que personne ne sait quand les supprimer. L'acces doit suivre role et finalite. Les fournisseurs RH, paie, ATS, identite, MDM, avantages, securite et AI interne doivent avoir owner, finalite, categories de donnees, contrat, transferts et offboarding.

Assigner l'ownership par workflow

RH peut posseder le dossier d'emploi, securite les logs d'identite, finance les exports paie, IT les donnees appareils et managers les notes de performance. Chaque workflow a besoin d'un business owner et d'un evidence owner.

Bonnes preuves

Les preuves utiles incluent inventaire, liste systemes, matrice des bases juridiques, registre fournisseurs, access reviews, retention schedule, privacy notice, screenings DPIA, regles donnees sensibles, monitoring assessment, notes incident et checklist offboarding.

Erreurs courantes

Les erreurs courantes sont de supposer que les donnees employes sont plus simples que les donnees clients, utiliser le consentement par defaut, separer RH et securite, oublier l'AI interne et ne pas revoir apres nouveaux pays, fournisseurs, remote work, licenciements ou outils securite.

FAQ

Quel est le but pratique?

Rendre les workflows de donnees employes visibles, licites, attribues et prouves.

Quand cela s'applique-t-il?

Lorsqu'une equipe traite des donnees sur candidats, employes, contractants, advisors ou utilisateurs internes.

Que documenter d'abord?

Workflow, finalite, base juridique, donnees sensibles, fournisseurs, acces, retention, owner et declencheur de revue.

Sources

• General Data Protection Regulation
• EDPB: Process personal data lawfully
• ICO: Employment practices and data protection: keeping employment records
• ICO: Data protection and workers' health information