Les données des ressources humaines constituent une cible privilégiée pour les cybercriminels : elles contiennent des informations sensibles telles que numéros de sécurité sociale, adresses personnelles, historiques salariaux et données bancaires. Pourtant, une étude menée par Workest en 2025 montre que 59% des responsables RH français estiment ne pas avoir les compétences nécessaires pour assurer la protection des données personnelles en conformité avec le RGPD. Cette méconnaissance crée un risque considérable, à la fois pour les salariés dont les données sont exposées et pour les entreprises qui encourent des amendes substantielles en cas de non-conformité.
Les obligations légales et les risques
Le RGPD soumet toutes les données personnelles des salariés à des obligations strictes. Les entreprises doivent documenter les raisons pour lesquelles elles collectent ces données, les durées de rétention, et les mesures de sécurité. Une violation impliquant des données de plusieurs milliers de salariés peut valoir une amende jusqu’à 4% du chiffre d’affaires global, plafonnée à 20 millions d’euros. La CNIL a multiplié les contrôles auprès des services RH, avec des résultats souvent préoccupants : en 2024, elle a relevé des manquements chez 76% des entreprises inspectées sur des points essentiels comme la conservation excessive de données ou l’absence de consentement explicite. Au-delà du risque réglementaire, une fuite de données RH endommage gravement l’image employeur et la confiance des collaborateurs.
Les pratiques RH actuelles et leurs lacunes
Nombre d’entreprises continuent de stocker des données RH de manière dispersée et insuffisamment sécurisée. Les dossiers papier sont entreposés sans contrôle d’accès restrictif, les fichiers Excel et PDF circulent par email sans chiffrement, les données anciennes sont conservées bien au-delà de leur utilité. De plus, les prestataires externes (cabinet de paie, cabinet d’avocats, consultants RH) ont souvent accès à ces données sans que le contrat de sous-traitance précise clairement les obligations de sécurité et de confidentialité. Une PME française ayant connu une fuite de données de 800 salariés après une attaque contre son cabinet de paie a dû verser une indemnisation dépassant les 150 000 euros aux salariés affectés.
Vers une meilleure protection
Les entreprises doivent mettre en place des processus structurés. Cela signifie : audit exhaustif de toutes les données RH détenues, classification selon le niveau de sensibilité, chiffrement des données à risque, limitation des accès à l’équipe RH uniquement, sauvegardes régulières et plan de destruction des données obsolètes. Parallèlement, les responsables RH doivent renforcer leur formation, notamment en comprenant les fondamentaux du RGPD et les enjeux de sécurité. Les éditeurs de logiciels RH se concentrent davantage sur la conformité, ce qui peut aider les entreprises à moderniser leurs systèmes. Enfin, une sensibilisation des collaborateurs sur l’importance de la confidentialité des données crée une culture de protection autour de la fonction RH.