RGPD, IA et cyber risques : sécurisez vos données RH en 2026

Pourquoi les données RH sont devenues la cible n°1

Les services RH sont de véritables "coffres-forts" de données personnelles. Ils centralisent des informations que les cybercriminels convoitent particulièrement : identité complète, numéro de sécurité sociale, coordonnées bancaires (RIB), bulletins de paie, dossiers médicaux, arrêts de travail, évaluations de performance, sanctions disciplinaires...

Ces données permettent des attaques ciblées redoutables :

• Usurpation d'identité : ouverture de crédits, création de faux documents
• Fraude au virement de salaire : détournement vers un compte frauduleux
• Chantage et extorsion : menace de publier des dossiers disciplinaires ou médicaux
• Phishing hyper-personnalisé : emails générés par IA, imitant parfaitement le style d'un manager

La fraude au virement de salaire explose

La CNIL alerte : les fraudes au virement de salaire se multiplient. Le mode opératoire est rodé :

1. L'escroc obtient des informations sur un salarié (via phishing, fuite de données, ou ingénierie sociale)
2. Il contacte le service RH en se faisant passer pour le salarié
3. Il demande la modification de son RIB pour le versement du prochain salaire
4. Le salaire est versé sur le compte frauduleux

Les conséquences sont lourdes : le salarié ne reçoit pas son salaire, la confiance est rompue, et l'entreprise doit souvent payer deux fois (au fraudeur puis au vrai salarié).

RGPD : vos obligations envers les données des salariés

Toute entreprise qui emploie une personne (CDI, CDD, stagiaire, intérimaire) est soumise au RGPD pour les données de ses collaborateurs. L'employeur est considéré comme responsable de traitement : c'est sur lui que repose la responsabilité de mise en conformité.

Les principes fondamentaux à respecter

Minimisation des données : ne collectez que les informations strictement nécessaires. Un recruteur ne peut pas exiger les loisirs d'un candidat pour un poste de comptable. Au stade du recrutement, il est inutile de demander le numéro de sécurité sociale.

Base légale identifiée : chaque traitement doit reposer sur un fondement juridique :

• L'exécution du contrat de travail : gestion de la paie, des congés, des avantages (base la plus courante)
• L'obligation légale : déclarations sociales, conservation des bulletins de paie
• L'intérêt légitime : évaluation de la performance, annuaire interne (attention aux abus)
• Le consentement : uniquement pour des cas exceptionnels (photo d'équipe sur le site web)

Durées de conservation : ce que vous devez savoir

Le RGPD exige que les données ne soient pas conservées indéfiniment. Voici les principales durées à respecter :

• CV de candidats non retenus : 2 ans maximum (avec leur accord pour rester dans un "vivier")
• Bulletins de paie : 5 ans (obligation légale)
• Contrats de travail : 5 ans après le départ du salarié
• Dossier du personnel : 5 ans après le départ
• Registre du personnel : 5 ans après le départ du dernier salarié inscrit
• Documents liés à la santé au travail : 40 ans pour certains (exposition à des risques)
• Logs de connexion/badgeage : 6 mois maximum selon la CNIL

Les droits des salariés sur leurs données

Vos collaborateurs disposent des mêmes droits que n'importe quelle personne concernée :

• Droit d'accès : obtenir une copie de toutes les données les concernant (bulletins de paie, évaluations, enregistrements téléphoniques, relevés de badgeuse...)
• Droit de rectification : corriger des informations inexactes
• Droit d'opposition : refuser de figurer dans un trombinoscope, par exemple
• Droit à l'effacement : dans certains cas (mais pas pour les documents que vous devez conserver légalement)

Vous disposez d'un mois pour répondre à toute demande. En cas de litige, un ancien salarié peut demander l'accès à son dossier, y compris aux évaluations de performance ou aux échanges internes le concernant.

L'IA dans les RH : nouvelles règles, nouveaux risques

L'intelligence artificielle s'est imposée dans les pratiques RH : tri de CV, matching de profils, analyse prédictive des performances, chatbots de recrutement... Selon McKinsey, 72% des organisations utilisaient régulièrement l'IA générative en 2024.

Mais cette adoption rapide s'accompagne de risques majeurs : biais algorithmiques, opacité des décisions, et désormais un encadrement juridique strict.

L'AI Act : ce qui change en 2026

Le règlement européen sur l'IA (AI Act), entré en vigueur progressivement depuis février 2025, classe les outils d'IA utilisés dans le recrutement et la gestion RH parmi les systèmes "à haut risque".

Concrètement, sont concernés :

• Le tri automatisé de CV et la présélection de candidats
• L'analyse des candidatures et le scoring
• L'évaluation des performances
• Le suivi de localisation des salariés
• Les décisions de promotion ou de licenciement assistées par IA

Ces systèmes doivent respecter des obligations renforcées :

• Documentation technique complète : pouvoir expliquer comment l'IA parvient à ses conclusions
• Supervision humaine obligatoire : l'IA peut présélectionner, mais ne doit jamais disqualifier un candidat sans revue humaine
• Lutte contre les biais : audits réguliers pour détecter les discriminations algorithmiques
• Transparence : informer clairement les candidats du rôle de l'IA dans le processus
• Notification des incidents : signalement aux autorités sous 72 heures

Les biais algorithmiques : un risque réel

Les algorithmes ne sont jamais neutres. S'ils sont entraînés sur des données historiques biaisées, ils reproduisent — voire amplifient — les discriminations existantes.

L'exemple d'Amazon est emblématique : leur système de tri de CV favorisait systématiquement les hommes, car il avait été entraîné sur des données historiques où les recrutements étaient majoritairement masculins. Résultat : l'outil a été abandonné.

Une étude de l'Université de Washington a montré que certains modèles favorisaient 85% des CV à consonance blanche, contre 11% des CV féminins. À l'inverse, une étude de 2025 révèle que, bien paramétrée, l'IA peut être 45% plus équitable que des décisions humaines seules.

La clé : former vos équipes à détecter et corriger les biais, et documenter vos actions pour prouver votre conformité.

RGPD + AI Act : la double conformité

Les deux réglementations se complètent :

• Le RGPD interdit les décisions entièrement automatisées ayant des effets significatifs (comme le rejet automatique d'une candidature). Il impose la transparence, la possibilité de contester les décisions, et une analyse d'impact en cas de risque élevé.
• L'AI Act ajoute des obligations sur la qualité des algorithmes, la supervision humaine, et la documentation technique.

Pour être en règle, vous devez :

• Exiger de vos fournisseurs d'outils IA toutes les garanties : documentation technique, conformité RGPD, transparence des décisions, tests contre les biais
• Réaliser une analyse d'impact (AIPD) intégrant les spécificités de l'IA
• Informer clairement les candidats du rôle de l'IA et de leurs droits
• Maintenir une supervision humaine dans toutes les décisions critiques (embauche, promotion, sanction)
• Documenter rigoureusement le processus

Cybersécurité RH : les menaces de 2026

Les départements RH sont devenus des cibles prioritaires. Les rapports de la CNIL et de l'ANSSI convergent : la montée des fuites de données RH et de paie est nette, avec des conséquences bien plus toxiques qu'un simple vol d'emails marketing.

Les attaques qui visent spécifiquement les RH

1. La fraude au changement de RIB

L'attaquant se fait passer pour un salarié (par email ou téléphone) et demande la modification de ses coordonnées bancaires. Le prochain salaire est versé sur un compte frauduleux.

2. Le phishing hyper-personnalisé

Grâce aux fuites de données et à l'IA générative, les emails de phishing sont devenus quasiment indétectables. Ils imitent parfaitement le style d'un manager ou d'un collègue, utilisent le bon jargon interne, et mentionnent des informations réelles (nom d'un projet, date d'une réunion...).

3. L'extorsion aux données sensibles

Des groupes cybercriminels volent des dossiers disciplinaires, des signalements de harcèlement, ou des données médicales, puis menacent de les publier. La pression est à la fois juridique (risque de sanction RGPD) et réputationnelle (image d'un employeur négligent).

4. Le ransomware sur le SIRH

L'attaque par rançongiciel paralyse le système d'information RH. Conséquences immédiates : impossibilité de verser les salaires, chômage technique, crise sociale majeure à gérer.

Les mesures de protection essentielles

Sécurisation des accès

• Authentification multifacteur (MFA) obligatoire sur tous les accès au SIRH
• Gestion stricte des habilitations : seules les personnes autorisées accèdent aux données sensibles
• Révocation immédiate des accès lors d'un départ

Procédures de vérification

• Double validation pour tout changement de RIB (rappel téléphonique sur le numéro connu, délai de 48h)
• Procédure écrite pour les modifications de données sensibles
• Sensibilisation régulière des équipes aux techniques de fraude

Protection des données

• Chiffrement des données au repos et en transit
• Sauvegardes régulières, testées et stockées hors ligne
• Hébergement des données RH en Europe (attention aux solutions américaines)

Choix des prestataires

• Exigez des certifications reconnues : ISO 27001, SecNumCloud
• Signez un DPA (Data Processing Agreement) solide avec chaque éditeur
• Vérifiez les clauses de réversibilité et de notification d'incident

En cas de violation : les 72 heures critiques

Si vous constatez une fuite de données RH, le RGPD impose une procédure stricte :

Notification à la CNIL

Toute violation de données présentant un risque pour les droits et libertés des personnes doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. Ce délai est très court : il faut donc avoir préparé une procédure en amont.

Information des personnes concernées

Si le risque est élevé (fuite de RIB, de données de santé, de dossiers disciplinaires...), vous devez également informer directement les salariés concernés. Cette communication doit être claire, préciser les données concernées, les risques potentiels, et les mesures prises.

Documentation interne

Même pour les violations mineures, vous devez tenir un registre interne documentant l'incident, ses effets, et les mesures correctives prises.

Checklist : sécuriser vos données RH

Voici les actions prioritaires à mettre en place :

Conformité RGPD

• Tenir un registre des traitements RH (article 30 du RGPD)
• Définir et documenter les durées de conservation par type de document
• Informer les salariés du traitement de leurs données (clause dans le contrat ou note dédiée)
• Mettre en place une procédure de réponse aux demandes d'accès/rectification/effacement
• Réaliser une analyse d'impact pour les traitements à risque (vidéosurveillance, géolocalisation, IA...)

Encadrement de l'IA

• Auditer vos outils IA : conformité RGPD, évaluation des biais, contrôle des transferts de données
• Établir une charte d'utilisation de l'IA en RH : l'IA comme assistant, jamais comme décideur
• Former les équipes RH aux risques éthiques et juridiques
• Interdire ou encadrer strictement les outils d'analyse émotionnelle

Cybersécurité

• Activer l'authentification multifacteur sur tous les accès sensibles
• Instaurer une double validation pour les changements de RIB
• Former régulièrement les équipes aux techniques de phishing
• Préparer un plan de réponse aux incidents (notification CNIL, communication salariés)
• Auditer vos prestataires (certifications, DPA, hébergement)

Votre politique de confidentialité : la première brique

Une politique de confidentialité claire et complète n'est pas qu'une obligation légale : c'est un signal de confiance pour vos collaborateurs. Elle doit expliquer :

• Quelles données vous collectez et pourquoi
• Sur quelle base légale (contrat, obligation légale, intérêt légitime...)
• Qui a accès aux données (service RH, comptabilité, prestataires...)
• Combien de temps vous les conservez
• Comment les salariés peuvent exercer leurs droits

RGPDKit génère automatiquement votre politique de confidentialité, adaptée à votre activité et conforme aux exigences 2026. En 3 minutes, vous obtenez un document professionnel qui couvre vos obligations envers vos salariés comme envers vos clients.

En résumé

Les données RH sont devenues un actif stratégique et une cible de choix pour les cybercriminels. Entre les fuites massives (Urssaf, France Travail, Free...), les fraudes au virement de salaire qui explosent, et l'IA qui s'immisce dans les processus de recrutement, les entreprises font face à une triple menace.

La réponse passe par trois piliers : la conformité RGPD (registre des traitements, durées de conservation, droits des salariés), l'encadrement de l'IA (supervision humaine, lutte contre les biais, interdiction de l'analyse émotionnelle), et une cybersécurité renforcée (MFA, double validation, formation des équipes).

Les sanctions pour non-respect peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Mais au-delà des amendes, c'est la confiance de vos collaborateurs qui est en jeu. Dans un contexte de guerre des talents, une fuite de données RH peut durablement entacher votre marque employeur.

La bonne nouvelle ? Ces enjeux peuvent se transformer en avantage compétitif. Une entreprise qui protège les données de ses salariés envoie un signal fort de respect et de professionnalisme.