17.02.2026

RGPD et ressources humaines : les 5 erreurs les plus fréquentes des employeurs

Vidéosurveillance, géolocalisation, contrôle des e-mails : découvrez les 5 erreurs RGPD les plus courantes en droit social et comment les éviter.

Prendre rendez-vous

RGPD et ressources humaines : les 5 erreurs les plus fréquentes des employeurs

Depuis l'entrée en application du Règlement général sur la protection des données (RGPD) en mai 2018, les employeurs sont soumis à des obligations renforcées en matière de traitement des données personnelles de leurs salariés. Pourtant, force est de constater que de nombreuses entreprises commettent encore des erreurs récurrentes, parfois par méconnaissance, parfois par négligence.

Ces manquements ne sont pas sans conséquence. Ils exposent l'employeur à des sanctions de la CNIL, mais aussi à des contentieux prud'homaux dans lesquels le salarié invoque une atteinte à sa vie privée ou conteste la liceité d'une preuve obtenue en violation du RGPD.

Erreur n°1 : l'absence d'information des salariés

C'est sans doute l'erreur la plus répandue. Le RGPD impose à l'employeur d'informer chaque salarié de manière claire, complète et accessible sur les traitements de données le concernant. Cette information doit porter sur la nature des données collectées, les finalités du traitement, la base légale, les destinataires, la durée de conservation et les droits dont dispose le salarié.

En pratique, beaucoup d'entreprises se contentent d'une mention générique dans le règlement intérieur ou dans le contrat de travail. Or, la jurisprudence et les recommandations de la CNIL exigent une information spécifique pour chaque traitement. L'employeur qui met en place un système de vidéosurveillance, de géolocalisation ou de contrôle des messageries doit délivrer une information dédiée.

L'enjeu est de taille : une preuve obtenue sans information préalable du salarié peut être écartée par le juge prud'homal, même si elle démontre une faute grave.

Erreur n°2 : la vidéosurveillance non encadrée

La vidéosurveillance sur le lieu de travail est légale, mais elle est strictement encadrée. Elle doit répondre à une finalité légitime (sécurité des biens et des personnes, prévention des vols) et respecter le principe de proportionnalité.

Les caméras ne peuvent pas filmer en permanence les salariés à leur poste de travail, sauf circonstances exceptionnelles justifiées. Les salles de pause, les vestiaires et les locaux syndicaux sont des zones interdites. Les salariés doivent être informés de l'existence du dispositif, et le CSE doit être consulté préalablement à sa mise en place.

L'employeur qui installe des caméras sans respecter ces formalités s'expose non seulement à une sanction de la CNIL, mais aussi à l'irrecevabilité des images comme moyen de preuve devant le juge.

Erreur n°3 : le contrôle illimité des messageries professionnelles

L'employeur a le droit d'accéder aux messages envoyés et reçus par un salarié sur sa messagerie professionnelle, mais ce droit n'est pas absolu. La jurisprudence distingue clairement les messages à caractère professionnel, présumés accessibles par l'employeur, des messages identifiés comme personnels, qui bénéficient de la protection de la vie privée.

Un message identifié comme "personnel" ou "privé" dans son objet ne peut pas être ouvert par l'employeur en dehors de la présence du salarié, sauf risque ou événement particulier justifiant cette atteinte.

De plus, tout dispositif de surveillance systématique des e-mails (logiciel de monitoring, lecture automatisée) doit faire l'objet d'une information préalable du salarié et d'une consultation du CSE. L'absence de ces formalités rend le dispositif illicite et les preuves obtenues inutilisables.

Erreur n°4 : la conservation excessive des données RH

Le RGPD impose une durée de conservation limitée des données personnelles, proportionnée à la finalité du traitement. En matière de ressources humaines, de nombreuses entreprises conservent des données bien au-delà de ce qui est nécessaire.

Les CV de candidats non retenus doivent être supprimés ou anonymisés dans un délai raisonnable, généralement fixé à deux ans maximum par la CNIL. Les données relatives à la paie doivent être conservées pendant la durée légale de prescription, puis archivées ou supprimées. Les dossiers disciplinaires obéissent à des règles spécifiques liées à la prescription des sanctions.

La conservation indéfinie de données RH constitue un manquement au principe de limitation de la conservation et peut être sanctionnée par la CNIL. Elle peut également constituer un argument du salarié dans le cadre d'un litige pour contester la loyauté de l'employeur.

Erreur n°5 : la géolocalisation sans cadre juridique

La géolocalisation des véhicules de société ou des outils professionnels est de plus en plus répandue. Mais elle constitue un traitement de données personnelles particulièrement intrusif, soumis à des conditions strictes.

La géolocalisation ne peut pas être utilisée pour contrôler le respect des horaires de travail lorsqu'il existe d'autres moyens moins intrusifs de le faire. Elle ne peut pas non plus servir à suivre les déplacements des représentants du personnel dans l'exercice de leur mandat.

Le salarié doit pouvoir désactiver la géolocalisation en dehors de ses heures de travail, et les données de localisation ne doivent pas être conservées au-delà de deux mois, sauf justification particulière.

Comme pour la vidéosurveillance, l'information du salarié et la consultation du CSE sont des préalables obligatoires dont le non-respect vicie l'ensemble du dispositif.

Comment se mettre en conformité ?

La mise en conformité RGPD en matière de ressources humaines passe par plusieurs étapes essentielles. La première est la réalisation d'un audit des traitements de données RH existants : recrutement, gestion administrative, paie, évaluation, surveillance. Cet audit permet d'identifier les écarts et de définir un plan d'action prioritaire.

La deuxième étape consiste à mettre à jour les documents obligatoires : mentions d'information à destination des salariés et des candidats, clauses contractuelles relatives aux données personnelles, registre des traitements.

Enfin, il convient d'encadrer juridiquement chaque dispositif de surveillance (vidéosurveillance, géolocalisation, contrôle des messageries, badgeuses) en vérifiant le respect des formalités d'information et de consultation.

L'accompagnement du Cabinet Auron

Le Cabinet Auron accompagne les entreprises dans la mise en conformité RGPD de leurs pratiques RH. De l'audit initial à la rédaction des documents obligatoires, en passant par l'encadrement des dispositifs de surveillance, le cabinet propose une approche pragmatique et adaptée à la taille et aux besoins de chaque structure.

Pour les besoins de mise en conformité dépassant le strict cadre du droit social, le cabinet travaille en partenariat avec des prestataires spécialisés pouvant assurer un accompagnement global. L'objectif est de sécuriser l'entreprise sur le plan juridique tout en préservant un environnement de travail respectueux des droits de chacun.

Auteur de l'article
Arnaud Sirven
Fondateur d'Auron Avocat
Heading 2
Organiser un rendez-vous

Publications associés

14.04.2026
Transparence salariale : guide complet de la directive au projet de loi
Vous êtes salarié et vous vous demandez si votre rémunération est équitable par rapport à celle de vos collègues ? Vous êtes employeur et vous cherchez à anticiper les nouvelles obligations en matière de transparence salariale ? La directive européenne 2023/970 du 10 mai 2023, dite “transparence salariale”, et l’avant-projet de loi français qui la transpose, s’apprêtent à transformer en profondeur les règles du jeu. Obligation d’afficher les salaires dans les offres d’emploi, interdiction de demander l’historique salarial des candidats, refonte complète de l’index égalité femmes-hommes, nouvelles sanctions financières : le cadre juridique de la rémunération en France est sur le point de connaître un bouleversement majeur. Cet article vous explique, point par point, ce qui va changer et comment vous y préparer.
14/4/26
Peut-on travailler le 1er mai ? Le guide complet de vos droits
Peut-on vous obliger à travailler le 1er mai ? Qui peut travailler le 1er mai et dans quelles conditions ? Quelle majoration de salaire devez-vous percevoir si vous travaillez ce jour-là ? Chaque année, ces questions reviennent pour des millions de salariés français. Le travail le 1er mai obéit à des règles très spécifiques en droit du travail français, car il s’agit du seul jour férié dont le chômage est imposé par la loi. Pourtant, des exceptions existent, notamment dans la restauration, la boulangerie ou pour les fleuristes, et il est essentiel de les connaître pour faire valoir vos droits. Dans ce guide complet, Auron Avocat vous explique tout ce que vous devez savoir sur le travail le 1er mai, de l’interdiction de travailler le 1er mai aux cas où votre employeur peut légalement vous le demander, en passant par la majoration salariale et les recours possibles.
13/4/26
Inspection du travail : tout ce qu'un employeur (et un salarié) doit savoir avant le contrôle
Un agent se présente à l’accueil, carte professionnelle à la main. Il demande à entrer, à voir des registres, à s’entretenir avec quelques salariés. En quelques minutes, un contrôle de l’inspection du travail s’ouvre, souvent sans préavis, parfois sans motif énoncé. Pour le chef d’entreprise, ce n’est presque jamais une formalité. Pour le salarié, c’est souvent la seule voie concrète pour faire bouger une situation que la hiérarchie ignore. Ce guide n’est pas un cours magistral. Il adopte une approche pratique et pédagogique, à partir d’une question simple : que se passe-t-il, concrètement, lorsqu’un agent franchit la porte de l’entreprise ? Que peut-il consulter, qui peut-il interroger, jusqu’où peut-il aller, et où ses prérogatives s’arrêtent-elles ? Chaque section est illustrée par des exemples inspirés de la pratique, pour les employeurs qui veulent anticiper comme pour les salariés qui s’interrogent sur l’opportunité d’une saisine. En clair : l’inspection du travail dispose de pouvoirs d’investigation très larges, mais ces pouvoirs s’arrêtent au seuil de droits protégés : propriété, vie privée, secret de l’avocat, secret médical, confidentialité des enquêtes internes. L’enjeu, pour l’employeur, n’est pas de se soustraire au contrôle ; c’est d’y coopérer utilement sans renoncer aux garanties qui protègent l’entreprise et ses salariés. Pour le salarié, c’est un levier puissant, à condition de savoir comment le mobiliser.
Prendre un rendez-vous
OURAMA | Création de site internet pour avocatsMentions légales