RGPD et ressources humaines : 5 erreurs courantes à éviter

Radhiyaa Haujee

7/29/20252 min temps de lecture

Depuis l’entrée en vigueur du RGPD en 2018, toutes les structures – entreprises, associations, collectivités doivent respecter des règles strictes dans la gestion des données personnelles.
Mais en pratique, les services RH restent l’un des maillons les plus exposés… et souvent les moins accompagnés.
Voici 5 erreurs que l’on retrouve fréquemment dans les ressources humaines, et des bonnes pratiques simples à mettre en place.

Erreur n°1 : Conserver les CV sans limite de durée

Beaucoup de structures conservent les candidatures reçues pendant plusieurs années, “au cas où”.
Or, les données de candidats ne peuvent être gardées que 2 ans maximum après le dernier contact.

Bonne pratique :

  • Définir une durée de conservation claire (ex. 12 ou 24 mois)

  • Mettre en place une purge automatique ou un rappel trimestriel

  • Informer les candidats de cette durée dans le formulaire de candidature

Erreur n°2 : Partager des données RH sans précaution

Envoyer des documents RH (fiches de paie, contrats, infos personnelles) par email sans cryptage, ou via des plateformes peu sécurisées, est une faille fréquente.

Bonne pratique :

  • Utiliser un espace RH sécurisé avec accès individuel

  • Protéger les fichiers PDF (mot de passe, signature numérique)

  • Sensibiliser les équipes aux risques de fuite d’infos

Erreur n°3 : Oublier d’informer les salariés de leurs droits

Le RGPD impose de donner une information claire, écrite et accessible aux salariés sur le traitement de leurs données.

Bonne pratique :

  • Intégrer une clause RGPD au contrat de travail

  • Fournir une note d’information dès l’embauche

  • Mentionner les droits d’accès, rectification et opposition

Erreur n°4 : Gérer les dossiers RH sans registre

Le RGPD impose de tenir un registre des traitements, y compris pour les opérations RH : paie, formation, recrutement, gestion du temps…

Bonne pratique :

  • Créer un registre RH (Excel ou outil dédié)

  • Y noter : la finalité, la durée, les destinataires, les mesures de sécurité

  • Le mettre à jour dès qu’un nouveau traitement est mis en place

Erreur n°5 : Ne pas se préparer à un contrôle CNIL

Beaucoup pensent que seules les grandes entreprises sont visées. Pourtant, la CNIL effectue aussi des contrôles chez les PME, associations et collectivités.

Bonne pratique :

  • Anticiper : audit RGPD, documentation, procédures écrites

  • Désigner un DPO interne ou externe si besoin

  • Former les équipes RH aux obligations de base

Le RGPD en ressources humaines n’est pas qu’une question juridique : c’est une protection pour les salariés et une assurance pour votre structure.

Chez IT-TSP, nous proposons des formations courtes et concrètes à destination des RH, ainsi que des audits RGPD personnalisés.

Besoin de faire le point sur vos pratiques RH ?


Contactez notre équipe pour un échange rapide ou découvrez notre Pack Découverte incluant une session RGPD dédiée RH.