La sécurisation des données RH ne se limite pas au chiffrement et aux mots de passe. Avec rh desks, la question porte sur la manière dont le SIRH structure les flux de données sensibles, depuis la paie jusqu’aux évaluations, et sur les responsabilités juridiques qui en découlent lorsqu’on y greffe des briques d’intelligence artificielle.
AIPD sur les traitements RH : une obligation que rh desks doit intégrer nativement
Tout déploiement d’un SIRH qui traite des données d’évaluation, de contrôle ou de surveillance des salariés déclenche l’obligation de réaliser une Analyse d’Impact relative à la Protection des Données. Depuis 2024, la CNIL a renforcé ses sanctions contre les entreprises dont l’AIPD est absente ou manifestement insuffisante sur ces traitements RH à fort enjeu.
A découvrir également : Activités principales d'une entreprise individuelle : ce que regardent vraiment l'URSSAF et le fisc
Nous observons que beaucoup de solutions se contentent d’afficher une conformité RGPD générique sans outiller la production d’une AIPD exploitable. Avec rh desks, le point de vigilance est précis : le système doit permettre de documenter chaque finalité de traitement, de cartographier les flux de données entre modules (paie, gestion des talents, formation) et d’exporter un registre structuré à destination du DPO.
Une AIPD ne se rédige pas une fois pour toutes. Chaque nouvelle fonctionnalité activée dans le SIRH (scoring de candidatures, alertes d’absentéisme, tableaux de pilotage croisés) modifie le périmètre du traitement et impose une mise à jour. Si rh desks ne fournit pas de mécanisme de versioning de l’AIPD, c’est à l’entreprise de compenser, souvent dans l’urgence après un contrôle.
A lire aussi : Délai solde de tout compte : comment calculer ce que l'employeur vous doit ?

Convergence AI Act et RGPD : le piège du fine-tuning sur données RH
Les articles classiques sur la sécurité des SIRH ignorent largement l’AI Act. Les deux cadres s’appliquent simultanément dès qu’un module de rh desks utilise un modèle d’IA, même open source.
Le risque juridique le plus sous-estimé concerne le fine-tuning. Une entreprise qui adapte un modèle open source pour un usage RH qualifié de « haut risque » (aide à la décision de recrutement, détection de désengagement, analyse prédictive de turnover) peut être requalifiée en fournisseur d’IA au sens de l’AI Act. La responsabilité complète sur la conformité et la sécurité du système lui incombe alors, et non au fournisseur initial du modèle.
Nous recommandons de vérifier trois points avant d’activer toute brique IA dans rh desks :
- Le module utilise-t-il un modèle entraîné ou ré-entraîné sur des données internes ? Si oui, la qualification juridique du rôle de l’entreprise doit être tranchée en amont avec le DPO.
- Le traitement entre-t-il dans la catégorie « haut risque » de l’AI Act (emploi, gestion des travailleurs, accès au travail indépendant) ? La majorité des usages RH prédictifs y figurent.
- Le registre de conformité IA est-il distinct du registre RGPD ? Les deux doivent coexister sans se substituer l’un à l’autre.
Cas concret : l’assistant IA d’analyse de CV
Un module d’analyse automatisée des candidatures intégré à rh desks combine traitement de données personnelles (RGPD) et système d’IA à haut risque (AI Act). L’absence de double conformité expose à des sanctions cumulées sur les deux réglementations. Le contrôle d’accès aux résultats de l’IA, la traçabilité des décisions et le droit à l’explication humaine doivent être paramétrés dans le SIRH, pas gérés par un process parallèle.
Contrôle des accès et cloisonnement des données de paie dans rh desks
La granularité des droits d’accès reste le point faible de nombreux SIRH déployés en PME. Les données de paie, les informations bancaires et les dossiers médicaux exigent un cloisonnement strict que le paramétrage par défaut d’une solution SaaS ne garantit pas toujours.
Avec rh desks, nous recommandons de vérifier que le système permet un contrôle d’accès par rôle et par périmètre organisationnel. Un gestionnaire de paie sur le site de Lyon ne devrait pas accéder aux bulletins de Marseille. Un manager ne devrait pas visualiser les données salariales de collaborateurs hors de son périmètre hiérarchique direct.
Le risque ne vient pas uniquement de l’extérieur. La majorité des incidents de fuite de données RH proviennent d’accès internes trop larges, souvent hérités d’un déploiement initial où les profils ont été configurés à la hâte. Un audit des droits effectifs (qui accède réellement à quoi) devrait être planifié dans les trois mois suivant la mise en production, puis répété au moins une fois par an.

Pilotage de la conformité après le déploiement du SIRH
La sécurisation des données RH ne s’arrête pas à la mise en production de rh desks. Le pilotage post-déploiement est souvent le maillon faible, parce qu’il mobilise des ressources que le projet initial n’a pas budgétées.
Trois indicateurs méritent un suivi régulier :
- Le taux de comptes actifs non utilisés depuis plus de six mois : chaque compte dormant est un vecteur d’accès non surveillé.
- Le délai moyen de réponse aux demandes d’exercice des droits des salariés (accès, rectification, effacement) : un SIRH conforme doit permettre de traiter ces demandes sous 30 jours.
- Le nombre de modifications de paramétrage non documentées : chaque changement de règle de gestion, de workflow ou de droits d’accès doit être tracé et horodaté.
Formation des équipes RH à la sécurité du SIRH
Un SIRH correctement paramétré ne protège rien si les utilisateurs partagent leurs identifiants ou exportent des fichiers de paie sur des clés USB non chiffrées. La formation ne doit pas se limiter à la prise en main fonctionnelle de rh desks. Elle doit couvrir les gestes de sécurité quotidiens : verrouillage de session, vérification des destinataires avant export, signalement des anomalies d’accès.
Le déploiement d’un SIRH comme rh desks sécurise les données RH à condition que l’entreprise traite la conformité comme un processus continu. L’AIPD, le cloisonnement des accès et la double conformité RGPD-AI Act forment un socle technique que le paramétrage seul ne suffit pas à garantir. Le pilotage post-déploiement, appuyé sur des indicateurs concrets et une formation ciblée, transforme l’outil en véritable solution de protection.

