Guide pratique : Assurer la mise à disposition des bulletins de salaire dans le respect du RGPD
La mise à disposition des bulletins de salaire est une obligation légale pour tout employeur. Cependant, cette opération implique le traitement de données personnelles sensibles, soumises aux règles du Règlement général sur la protection des données (RGPD).
Ce guide pratique vise à aider les employeurs à assurer la conformité de leur processus de gestion des bulletins de salaire, depuis leur mise à disposition jusqu'à leur conservation et destruction.
1. Avant la mise à disposition : préparer un processus conforme
✅ Choisir une base légale appropriée
Le traitement des données personnelles pour l'émission des bulletins de salaire repose sur :
- L'obligation légale (article 6(1)c du RGPD).
- L'exécution du contrat de travail (article 6(1)b du RGPD).
📝 Informer les salariés
L'employeur doit informer ses salariés des modalités de mise à disposition et du traitement de leurs données personnelles. Cette information peut figurer dans :
- La politique de confidentialité interne.
- Le livret d'accueil ou une note de service.
Elle doit préciser :
- Les finalités du traitement
- La durée de conservation
- Les destinataires des données
- Les droits des salariés (accès, rectification, opposition, effacement)
- Les coordonnées du DPO (si applicable)
- Déterminer le mode de transmission
Deux options principales sont possibles :
- 📄 Bulletin papier : remis en main propre ou envoyé sous pli cacheté.
- 💻 Bulletin dématérialisé : via un portail sécurisé ou un coffre-fort numérique.
Depuis la loi Travail (2017), le bulletin électronique est le mode par défaut, sauf opposition du salarié. L'employeur doit informer le salarié au moins un mois avant le passage au format dématérialisé et lui permettre de refuser cette option.
2. Pendant la mise à disposition : garantir la sécurité et la confidentialité
🛡️ Protéger les bulletins de salaire
- Accès restreint : seuls les salariés et les personnes autorisées doivent y avoir accès.
- Chiffrement des données : obligatoire pour les bulletins électroniques.
- Authentification sécurisée : préférer une connexion avec double authentification (2FA).
- Journalisation des accès : tracer les connexions aux bulletins électroniques.
📌 Respecter le choix du salarié
- Un salarié peut s'opposer à la dématérialisation et exiger un bulletin papier (dans cette hypothèse, l’employeur dispose de 3 mois pour mettre en place le retour au format papier).
⏳ Garantir la disponibilité
- Dans tous les cas, une version électronique du bulletin doit rester accessible pendant 50 ans ou jusqu'aux 75 ans du salarié.
- Il faut informer les salariés en cas de changement de système (ex. fermeture d'un portail).
🔎 Pourquoi cette durée de 50 ans ? La réglementation impose une conservation des bulletins électroniques sur une très longue durée afin d’assurer aux salariés la possibilité d’y accéder tout au long de leur carrière et même après leur départ à la retraite. Cette durée permet notamment aux anciens employés de justifier de leurs droits sociaux et de leurs cotisations en cas de besoin pour leur retraite, des démarches administratives ou encore des litiges éventuels avec d’anciens employeurs. |
💡 Bonnes pratiques pour garantir cette accessibilité :
- Opter pour un coffre-fort numérique certifié garantissant la conservation des documents sur plusieurs décennies.
- S’assurer que le prestataire de stockage respecte les normes de sécurisation des archives numériques et qu’il prévoit une solution de récupération des bulletins en cas de cessation de son activité.
- Informer régulièrement les salariés sur l’accès à leurs bulletins, y compris après leur départ de l’entreprise.
- Prévoir une procédure de transfert des bulletins si l’entreprise change de prestataire afin d’éviter toute perte d’accès (les salariés doivent être informés de ce changement au moins 3 mois en amont afin de pouvoir prendre leurs propres dispositions le cas échéant).
🤝 Recours à un prestataire externe
Si l'employeur confie la gestion des bulletins de salaire à un prestataire externe (éditeur de logiciel de paie, service de coffre-fort numérique), certaines précautions doivent être prises pour assurer la conformité au RGPD :
- Contrat de sous-traitance conforme (article 28 du RGPD) : le prestataire doit être lié par un contrat précisant ses obligations en matière de sécurité et de confidentialité des données.
- Hébergement des données : privilégier un prestataire hébergeant les données en Union européenne ou garantissant un niveau de protection équivalent.
- Informations des salariés : les salariés doivent être clairement informés du fait que le traitement de leurs bulletins de salaire est réalisé par un tiers à l’entreprise (l’identité du tiers devant être précisée).
- Garantie d’accès : s’assurer que les salariés pourront récupérer leurs bulletins même en cas de changement de prestataire ou de cessation d’activité de celui-ci.
- Audit et contrôle : effectuer régulièrement des vérifications pour s’assurer que le prestataire respecte bien ses engagements en matière de protection des données.
3. Après la mise à disposition : conservation et suppression des bulletins
🗂️ Durée de conservation
L'employeur doit conserver un double du bulletin de salaire pendant 5 ans (à compter de l'émission).
Après cette période, les bulletins doivent être supprimés ou archivés en base intermédiaire de manière sécurisée (à condition d’en avoir l’utilité pour satisfaire à des obligations légales, ou pour l’exercice des droits à la défense en cas de contentieux).
🔎 Attention : il faut distinguer la conservation par l’employeur et la disponibilité pour le salarié. Comme vu précédemment, le salarié peut avoir besoin d’accéder à ses bulletins sur une très longue durée (50 ans). Cependant, cela n’implique pas que l’employeur doive lui-même garder les données nominatives pendant 50 ans dans ses propres systèmes actifs. En pratique, la solution du coffre-fort électronique permet de transférer cette charge d’archivage à un tiers de confiance et au salarié lui-même. |
❌ Suppression des bulletins expirés
- 📃 Papier : destruction par broyeur ou prestataire certifié
- 🖥️ Numérique : suppression définitive des fichiers et des sauvegardes associées
🚨 Gestion des incidents et violations de données
En cas de fuite de bulletins de salaire (erreur d'envoi, piratage...), et tout au long de sa durée de vie, les règles en matière de violations de données continuent de s'appliquer :
- ⚠️ Notifier la CNIL sous 72 heures si le risque est significatif
- 📢 Informer les salariés concernés si le risque est élevé
- 🔧 Mettre en place des mesures correctives (changement de système, sensibilisation...)
💡 La gestion des bulletins de salaire implique un devoir de protection des données personnelles. En appliquant ces bonnes pratiques, les employeurs garantissent la conformité avec le RGPD et la sécurité des informations sensibles des salariés. Une mise en conformité rigoureuse permet non seulement d'éviter des sanctions, mais aussi de renforcer la confiance des salariés dans la protection de leurs données.
Autres articles susceptibles de vous intéresser :
- RGPD - Les durées de conservation - Les ressources humaines (RH)
- Traitement de données RH : la schématisation du référentiel de la CNIL
- Les bases légales et les données collectées dans les traitements Ressources Humaines
______________________________
Article rédigé par Ninon MAIRE, le 27/02/2025
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
