La sécurité des données RH ne se limite pas au choix d’un logiciel conforme au RGPD. Sur RH Desk, comme sur tout SIRH, le maillon faible se situe souvent dans le paramétrage des accès, la gestion des flux de paie et le choix de l’hébergement. Quels critères concrets permettent de mesurer le niveau de protection réel d’une plateforme RH ?
Paramétrage des droits d’accès sur un SIRH : le risque que les concurrents ignorent
Les articles sur la sécurité des données RH se concentrent sur les cyberattaques et les obligations réglementaires. Ils passent à côté d’un problème plus fréquent : la mauvaise configuration des droits d’accès dans le logiciel RH.
A lire également : Risques liés à la propriété intellectuelle : enjeux et précautions
Un manager qui consulte les bulletins de paie de toute l’entreprise, un stagiaire qui accède aux dossiers disciplinaires, une synchronisation mal calibrée entre le module paie et le SIRH : ces situations résultent de paramétrages par défaut jamais ajustés. Selon Cegid, une part significative des erreurs de DSN en 2026 est directement liée à des logiciels RH mal paramétrés, ce qui crée un risque à la fois social, fiscal et de protection des données pour l’employeur.
Sur RH Desk, la première vérification à effectuer après déploiement consiste à auditer chaque profil utilisateur. Trois questions à se poser :
A voir aussi : GPnet Air France et confidentialité : comment sont protégées vos données ?
- Chaque rôle (gestionnaire paie, responsable RH, direction) dispose-t-il d’un périmètre de données strictement limité à ses missions ?
- Les accès aux données sensibles (arrêts maladie, sanctions, appartenance syndicale) sont-ils restreints par défaut, avec une activation manuelle documentée ?
- Les logs de consultation sont-ils activés pour tracer qui a accédé à quel dossier salarié, et quand ?
Un SIRH bien configuré réduit le risque d’exposition involontaire bien plus efficacement qu’un pare-feu supplémentaire.
Hébergement souverain et certifications : tableau comparatif des garanties pour les données RH
Le choix de l’hébergement détermine le cadre juridique applicable aux données de vos salariés. Depuis 2023, la tendance en Europe pousse les éditeurs RH à proposer un hébergement souverain dans l’UE, pour limiter l’exposition au Cloud Act américain et aux transferts hors Union européenne.
| Critère | Hébergement souverain (UE) | Hébergement hors UE (Cloud Act) |
|---|---|---|
| Droit applicable | Exclusivement droit européen (RGPD) | Droit local + accès potentiel par autorités étrangères |
| Certifications courantes | ISO 27001, HDS, SecNumCloud | SOC 2, ISO 27001 (variable selon le prestataire) |
| Transferts de données | Aucun transfert hors UE | Transferts encadrés par clauses contractuelles types |
| Risque juridique pour l’employeur | Faible si certifications à jour | Exposition aux demandes d’accès extraterritoriales |
| Données concernées (paie, dossiers du personnel) | Protection renforcée par défaut | Protection dépendante des engagements contractuels |
Pour une solution comme RH Desk, vérifier la localisation exacte des serveurs et demander la copie des certifications en cours de validité constitue un préalable. Une certification ISO 27001 couvre la gestion de la sécurité de l’information, mais elle ne garantit pas à elle seule la conformité RGPD. La certification HDS (hébergement de données de santé) devient pertinente dès que le SIRH traite des arrêts maladie ou des données médicales.
Données sensibles des salariés sur RH Desk : ce que le RGPD impose concrètement
Les données RH ne sont pas toutes équivalentes en termes de risque. Le RGPD distingue les données personnelles classiques (nom, adresse, coordonnées bancaires) des données sensibles dont le traitement est strictement encadré : état de santé, appartenance syndicale, données biométriques, infractions.
Sur un SIRH, l’employeur est le responsable de traitement. L’éditeur du logiciel, lui, agit comme sous-traitant au sens du RGPD. Cette distinction a des conséquences directes sur la répartition des responsabilités en cas de fuite.
Obligations de l’employeur utilisateur de RH Desk
L’employeur doit s’assurer que le contrat avec l’éditeur inclut les clauses de sous-traitance prévues par l’article 28 du RGPD. Il doit aussi informer les salariés du traitement de leurs données et leur garantir l’exercice de leurs droits (accès, rectification, suppression).
En pratique, cela signifie qu’un salarié peut demander l’export complet de son dossier personnel stocké sur RH Desk. Si la plateforme ne permet pas cet export facilement, l’employeur reste malgré tout tenu de répondre dans le délai légal d’un mois.
Chiffrement et transmission de documents RH
L’envoi de documents RH confidentiels (contrats, avenants, bulletins de paie) par email classique reste une source majeure de fuite. Le chiffrement de bout en bout protège les documents entre l’expéditeur et le destinataire, sans possibilité d’interception par un tiers, y compris l’hébergeur du service.
BlueFiles, par exemple, propose un service d’envoi sécurisé de documents RH avec chiffrement de bout en bout et hébergement souverain certifié. Sur RH Desk, vérifier si la plateforme intègre nativement ce type de chiffrement pour les échanges de documents, ou s’il faut recourir à un outil tiers.
Bonnes pratiques de sécurité pour les entreprises utilisant RH Desk
La conformité technique ne suffit pas si les pratiques quotidiennes exposent les données. Trois axes réduisent concrètement le risque sur un SIRH.
- Former les collaborateurs RH au paramétrage des droits : un gestionnaire paie ne doit pas avoir accès aux évaluations annuelles, et inversement. Cette formation doit être renouvelée à chaque mise à jour majeure du logiciel.
- Planifier un audit de configuration au moins une fois par an, en vérifiant les profils utilisateurs, les règles de synchronisation entre modules et la cohérence des durées de conservation des documents.
- Activer les alertes de connexion suspecte et les journaux d’accès. Un accès non justifié détecté en quelques heures limite considérablement l’impact d’une fuite.
La protection des données RH relève autant de la gouvernance interne que de l’infrastructure informatique. Un outil comme RH Desk fournit le cadre technique, mais la responsabilité opérationnelle reste celle de l’entreprise qui le déploie. Vérifier les certifications d’hébergement, auditer les droits d’accès après chaque changement organisationnel et former les équipes RH aux risques de mauvaise configuration : ces trois actions couvrent la majorité des vulnérabilités observées sur les plateformes SIRH.
