Sommaire
- 1. Pourquoi la donnée RH est un cas à part
- 2. Cartographie des systèmes RH et de leurs données
- 3. Le cadre juridique : RGPD, Code du travail, IA Act
- 4. Les trois zones de risque les plus fréquentes
- 5. Construire un registre des traitements RH
- 6. La matrice RACI de la donnée collaborateur
- 7. Cycle de vie et politique de rétention
- 8. Biais algorithmique : détecter et auditer
- 9. People analytics : cas d’usage à forte valeur
- 10. Dialogue social et conduite du changement
- FAQ
- Regard d’expert
- Passons à l’action
- Références
La fonction RH est aujourd’hui l’une des directions qui manipule le plus de données personnelles sensibles dans l’entreprise — santé, rémunération, évaluations de performance, données de recrutement, parfois données syndicales ou d’origine — et pourtant c’est souvent la dernière direction à bénéficier d’une vraie gouvernance data, loin derrière la finance ou les ventes. Le people analytics promet des décisions RH plus objectives, plus rapides, plus prédictives. Sans cadre de gouvernance, il peut aussi devenir un outil de surveillance qui détruit la confiance qu’il était censé renforcer, et qui expose l’entreprise à un risque juridique bien réel.
Ce guide s’adresse aux DRH, responsables SIRH, DPO et directions de la transformation qui doivent structurer cette gouvernance sans ni freiner l’innovation RH, ni l’exposer à un contentieux ou à une crise de confiance interne.
1. Pourquoi la donnée RH est un cas à part
Contrairement à une donnée de vente, de stock ou de production, la donnée RH concerne des personnes physiques identifiées, avec un cadre juridique spécifique qui combine le RGPD, le droit du travail national, les accords collectifs, et dans certains cas des réglementations sectorielles. Une erreur de gouvernance ici n’est pas qu’un problème de reporting mal calé : c’est un risque juridique direct (sanction CNIL, contentieux prud’homal), un risque de marque employeur (fuite d’une pratique de scoring perçue comme discriminatoire), et un risque de dialogue social (perte de confiance des représentants du personnel).
Trois caractéristiques distinguent la donnée RH de toute autre donnée d’entreprise :
- Elle est intrinsèquement sensible : santé, situation familiale, opinions (dans certains contextes), origine, autant de catégories qui, lorsqu’elles sont déductibles même indirectement d’un traitement de données, entrent dans le régime renforcé du RGPD (article 9).
- Elle a un impact direct sur les personnes : une erreur de donnée RH peut affecter une rémunération, une évolution de carrière, un accès à une formation, ou pire, une décision de recrutement ou de licenciement.
- Elle est collectée dans un rapport de subordination : le collaborateur n’a pas la même liberté de consentement qu’un client vis-à -vis d’une marque ; c’est pourquoi le RGPD encadre plus strictement les traitements RH fondés sur le consentement, souvent jugé non libre dans une relation de travail.
C’est cette combinaison de sensibilité, d’impact et d’asymétrie qui justifie un traitement différencié — et qui explique pourquoi les erreurs de gouvernance RH coûtent, en moyenne, plus cher (financièrement et réputationnellement) que des erreurs équivalentes ailleurs dans l’entreprise.
2. Cartographie des systèmes RH et de leurs données
Avant de gouverner quoi que ce soit, il faut savoir où vit réellement la donnée collaborateur. Dans une organisation de taille moyenne à grande, on retrouve typiquement :
- Le SIRH central (Workday, SAP SuccessFactors, Cegid, PeopleSoft…) qui porte la donnée administrative de référence
- La paie, souvent externalisée chez un prestataire distinct, avec ses propres exports et son propre calendrier de synchronisation
- L’ATS (Applicant Tracking System) pour le recrutement, qui contient des données de candidats qui ne sont pas encore, ou ne deviendront jamais, des collaborateurs
- Les plateformes de formation (LMS), qui tracent les parcours d’apprentissage et parfois des scores d’évaluation
- Les outils d’enquête d’engagement (Officevibe, Culture Amp, Glint…), qui collectent du ressenti souvent perçu comme anonyme par les collaborateurs, mais qui peut être recoupé
- Les outils de gestion de la performance, distincts du SIRH dans de nombreuses organisations
- Les tableurs « fantômes » : la réalité de terrain que peu de DRH aiment admettre, mais qui existe presque partout — des fichiers Excel de suivi RH qui échappent à toute gouvernance
Chacun de ces systèmes génère sa propre version de la donnée collaborateur, rarement synchronisée en temps réel. Le premier livrable d’une gouvernance RH sérieuse n’est donc pas un outil, mais une cartographie : quel système porte quelle donnée, à quelle fréquence elle est mise à jour, et surtout, quel système fait référence en cas de divergence.
3. Le cadre juridique : RGPD, Code du travail, IA Act
Trois strates réglementaires s’appliquent simultanément à la donnée RH en Europe, et leur articulation est rarement bien maîtrisée en interne.
Le RGPD
Il impose une base légale documentée pour chaque traitement (contrat de travail, obligation légale, intérêt légitime…), un principe de minimisation (ne collecter que ce qui est nécessaire), une durée de conservation limitée et justifiée, et le droit pour chaque collaborateur d’accéder, de rectifier et, dans certains cas, de s’opposer à un traitement.
Le droit du travail et le dialogue social
En France notamment, l’article L.2312-38 du Code du travail impose une information-consultation du CSE avant l’introduction de tout traitement automatisé ayant une incidence sur les conditions de travail — ce qui couvre de facto la plupart des outils de people analytics ou de scoring RH.
L’IA Act européen
Entré en application progressive, il classe explicitement les systèmes d’IA utilisés pour le recrutement, l’évaluation ou la promotion des collaborateurs comme systèmes à haut risque, ce qui impose une documentation technique renforcée, une supervision humaine effective et une traçabilité des décisions. Un outil de scoring de candidats basé sur l’IA, aujourd’hui déployé sans cette documentation, expose l’entreprise à une non-conformité directe.
La difficulté n’est pas de connaître chacune de ces règles isolément — la plupart des DRH en ont une connaissance générale. Elle est de les articuler concrètement au moment de déployer un nouvel outil, ce qui suppose une gouvernance transverse associant RH, juridique, DPO et DSI dès la phase de sélection de l’outil, pas après son déploiement.
4. Les trois zones de risque les plus fréquentes
1. La dispersion des systèmes sans référentiel commun
SIRH, paie externalisée, ATS, LMS, enquêtes d’engagement : chaque outil génère sa propre base de données collaborateur, rarement synchronisée. Résultat concret observé en mission : deux systèmes affichant une date d’ancienneté différente pour le même collaborateur, avec un impact direct sur le calcul d’une prime d’ancienneté contractuelle.
2. L’absence de base légale documentée
Chaque traitement de donnée RH — évaluation de performance, scoring d’un candidat, détection d’un risque d’attrition — doit reposer sur une base légale RGPD claire et documentée dans le registre des traitements. En pratique, de nombreuses directions RH utilisent des outils de people analytics achetés sur étagère sans avoir formalisé cette base légale, ce qui expose l’entreprise en cas de contrôle CNIL ou d’action collective.
3. Le biais algorithmique non contrôlé
Un outil de scoring de candidats ou de détection de risque d’attrition entraîné sur des données historiques peut reproduire, voire amplifier, des biais existants (genre, âge, origine du diplôme, établissement de formation). Sans audit régulier documenté, un dispositif d’IA RH peut discriminer silencieusement pendant des mois avant que quiconque ne s’en aperçoive — avec un risque juridique direct et cumulatif pour l’entreprise.
5. Construire un registre des traitements RH
Le registre des traitements, exigé par l’article 30 du RGPD, est souvent traité comme une formalité administrative alors qu’il devrait être le document de pilotage central de la gouvernance RH. Un registre RH utile documente, pour chaque traitement : la finalité précise (pas « gestion RH » en général, mais « calcul de la prime variable annuelle » par exemple), la base légale, les catégories de données concernées, les destinataires internes et externes, la durée de conservation, et les mesures de sécurité associées.
La bonne pratique observée sur le terrain consiste à construire ce registre non pas de façon théorique en un seul atelier, mais système par système, en interrogeant directement les équipes qui les opèrent au quotidien — c’est souvent à ce moment que l’on découvre des traitements non documentés, notamment autour des tableurs de suivi RH mentionnés plus haut.
6. La matrice RACI de la donnée collaborateur
Au-delà du registre réglementaire, une gouvernance opérationnelle suppose de clarifier qui fait quoi sur la donnée elle-même. Une matrice RACI RH type distingue, pour chaque catégorie de donnée (administrative, paie, performance, formation, santé) :
- Responsible : qui saisit ou met à jour la donnée au quotidien (souvent le gestionnaire RH ou le collaborateur lui-même via un self-service)
- Accountable : qui est responsable en dernier ressort de l’exactitude et de la conformité de cette donnée (souvent le DRH ou le responsable SIRH)
- Consulted : qui doit être consulté avant toute modification structurelle (DPO, juridique, dans certains cas le CSE)
- Informed : qui doit être tenu informé des évolutions (managers, direction financière pour les données impactant la masse salariale)
Cette matrice devient particulièrement critique dans les groupes multi-entités ou multi-pays, où chaque filiale peut avoir historiquement développé ses propres pratiques, souvent incompatibles entre elles au moment d’une consolidation ou d’une migration SIRH.
7. Cycle de vie et politique de rétention
Une donnée RH n’a pas vocation à être conservée indéfiniment. Le Code du travail et la CNIL fixent des durées précises selon la nature de la donnée : les données de candidature non retenue doivent en principe être supprimées après une durée limitée sauf accord explicite du candidat pour une CVthèque, les données de paie ont des durées de conservation légales propres, les dossiers disciplinaires suivent des règles différentes des évaluations de performance courantes.
Une politique de rétention documentée et, idéalement, automatisée (purge programmée plutôt que suppression manuelle aléatoire) réduit à la fois le risque juridique et le volume de données à sécuriser — un principe de minimisation qui sert autant la conformité que la performance des systèmes.
8. Biais algorithmique : détecter et auditer
Détecter un biais algorithmique dans un outil RH ne relève pas de la science des données pure ; c’est avant tout une démarche de gouvernance. La méthode minimale consiste à comparer les résultats du modèle (scores, recommandations, alertes) par catégorie protégée — genre, tranche d’âge, origine géographique du diplôme — sur un échantillon représentatif, et à documenter les écarts significatifs.
Cet audit doit être renouvelé périodiquement, pas seulement au moment du déploiement initial : un modèle de détection d’attrition entraîné sur des données de l’année N peut dériver progressivement si la composition de l’effectif évolue, sans qu’aucune modification technique n’ait été apportée à l’algorithme lui-même. C’est un point souvent mal compris : l’absence de changement dans le code ne garantit pas l’absence de dérive du comportement du modèle.
9. People analytics : cas d’usage à forte valeur
Une fois ce cadre de gouvernance posé, le people analytics apporte une vraie valeur opérationnelle, à condition de rester dans des cas d’usage explicables :
- Détection précoce des signaux de désengagement à l’échelle d’une équipe (jamais à l’échelle individuelle sans cadre explicite), permettant une action managériale préventive plutôt que curative
- Optimisation des parcours de formation en identifiant les écarts de compétences réels par rapport aux besoins métiers projetés, plutôt que par obligation réglementaire seule
- Prévision des besoins de recrutement par compétence plutôt que par intitulé de poste, ce qui améliore la pertinence des plans de succession
- Analyse d’équité salariale, où l’IA sert justement à détecter des écarts non justifiés plutôt qu’à en créer
Le point commun de ces cas d’usage à forte valeur : chacun reste explicable à un collaborateur qui en ferait la demande, et chacun s’inscrit dans un traitement documenté plutôt que dans un usage exploratoire non cadré.
10. Dialogue social et conduite du changement
La dimension la plus souvent sous-estimée d’une gouvernance RH de la donnée n’est pas technique ni même juridique : c’est le dialogue social. Un outil de people analytics parfaitement conforme sur le papier peut être rejeté, voire créer une crise de confiance durable, s’il est perçu par les collaborateurs et leurs représentants comme un outil de surveillance imposé plutôt qu’expliqué.
Les organisations qui réussissent ce type de déploiement associent systématiquement les représentants du personnel en amont, pas seulement pour l’information-consultation légale, mais comme partie prenante de la définition des cas d’usage acceptables. Elles communiquent également de façon transparente aux collaborateurs sur ce qui est mesuré, pourquoi, et ce qui ne l’est pas — cette transparence proactive réduit significativement le risque de perception négative, même lorsque le dispositif technique reste inchangé.
Regard d’expert
Sur des missions de transformation RH multi-pays, la question qui revient systématiquement des DRH n’est pas « quel outil choisir » mais « comment j’explique ça aux représentants du personnel ». Une gouvernance RH de la donnée qui ne prévoit pas cette dimension de dialogue social est vouée à l’échec, quelle que soit la qualité technique du dispositif. J’ai vu des projets techniquement irréprochables être abandonnés après six mois faute d’avoir anticipé cette dimension humaine — et à l’inverse, des dispositifs plus modestes réussir durablement parce que la confiance avait été construite en amont plutôt que gérée en réaction à une crise.
FAQ
Le people analytics est-il compatible avec le RGPD ?
Oui, à condition de documenter la base légale, de limiter la finalité du traitement à ce qui est strictement nécessaire, et de permettre l’exercice effectif des droits des personnes concernées (accès, rectification, opposition).
Faut-il consulter le CSE avant de déployer un outil de people analytics ?
En France, oui dans la grande majorité des cas — tout outil de traitement automatisé de données ayant un impact sur les conditions de travail relève de l’information-consultation du CSE au titre de l’article L.2312-38 du Code du travail.
Comment détecter un biais algorithmique dans un outil RH existant ?
Un audit comparatif des résultats du modèle par catégorie protégée (genre, âge, origine du diplôme) est le point de départ minimal, à documenter et à renouveler périodiquement, pas seulement au moment du déploiement initial.
Combien de temps prend la mise en place d’une gouvernance RH de la donnée ?
Pour une organisation mono-pays de taille moyenne, comptez 3 à 4 mois pour le registre des traitements et la matrice RACI. Pour un groupe multi-pays, la trajectoire s’étend généralement sur 9 à 12 mois, en raison de la diversité des cadres juridiques locaux à articuler.
Qui doit porter ce chantier en interne ?
Le DRH doit en être le sponsor métier, mais la réussite dépend d’un pilotage conjoint avec le DPO, le juridique et la DSI dès la phase de cadrage, pas seulement au moment de la mise en conformité finale.
Passons à l’action
Si votre fonction RH multiplie les outils de people analytics sans cadre de gouvernance commun, le risque juridique et humain grandit avec chaque nouveau déploiement. Découvrez notre e-book Gouvernance des Données à l’Ère de l’IA Agentique, qui inclut un modèle de RACI directement adaptable à la fonction RH et un dictionnaire de données réutilisable, ou contactez-nous pour un diagnostic de maturité de votre gouvernance RH.
Références
Notoriti — retour de terrain sur des missions de transformation RH, de gouvernance de la donnée et de programmes multi-pays. Règlement Général sur la Protection des Données (UE) 2016/679. Code du travail français, article L.2312-38. Règlement européen sur l’intelligence artificielle (IA Act), classification des systèmes à haut risque en matière d’emploi.
