RH : comment sécuriser les contrats et documents salariés en PDF

Voici une cartographie des documents RH par niveau de sensibilité et les mesures de protection recommandées : Niveau maximal (chiffrement obligatoire) : contrats de travail avec clauses salariales, bulletins de paie, soldes de tout compte, lettres de licenciement, accords de rupture conventionnelle, dossiers disciplinaires, rapports d'entretien annuel avec évaluation et rémunération. Niveau élevé (chiffrement fortement recommandé) : offres d'embauche avec détail de la rémunération, grilles salariales, bilan social, documents de négociation syndicale. Niveau standard (protection selon canal de transmission) : règlement intérieur, accords d'entreprise publiés, convocations à entretien sans mention de motif disciplinaire. Le principe directeur est simple : tout document contenant la rémunération nominative d'un salarié doit être protégé, quel que soit le canal de transmission.

1. 1Établissez un inventaire des types de documents PDF produits par votre service RH et classez-les par niveau de sensibilité.
2. 2Définissez une politique d'envoi : canal de transmission autorisé (email chiffré, espace RH dédié, courrier postal) selon le type de document.
3. 3Pour les bulletins de paie électroniques, utilisez un portail RH sécurisé avec authentification plutôt qu'un simple email.
4. 4Pour les documents transmis directement par email, protégez systématiquement le PDF et envoyez le mot de passe par SMS.
5. 5Documentez cette politique dans votre registre de traitements RGPD et formez l'ensemble de l'équipe RH à son application.

La rupture conventionnelle est un document particulièrement sensible : il contient l'identité du salarié, la date de rupture du contrat, et surtout le montant de l'indemnité spécifique de rupture — une information que ni l'employeur ni le salarié ne souhaitent voir diffusée. Lorsque vous transmettez un formulaire de rupture conventionnelle (Cerfa 14598*01) ou une convention de rupture par email au salarié pour relecture avant la réunion de signature, protégez ce PDF avec un mot de passe. Communiquez le mot de passe par téléphone. Cela évite que le document soit accidentellement accessible à un tiers (famille du salarié, autre collègue) avant que les conditions soient définitivement arrêtées. Applique la même protection aux contrats de travail lors de leur transmission avant signature. Un candidat recruté pourrait partager le document avec son employeur actuel ou avec des collègues, ce qui créerait des tensions ou des négociations internes non souhaitées.

1. 1Finalisez le contrat ou accord en PDF depuis votre SIRH ou logiciel RH.
2. 2Ouvrez LazyPDF et protégez le PDF avec un mot de passe unique par salarié.
3. 3Restreignez la modification du document pour garantir que le salarié ne peut pas altérer le contenu avant signature.
4. 4Envoyez le PDF protégé par email avec pour instruction 'Mot de passe transmis par SMS'.
5. 5Envoyez le mot de passe par SMS et conservez-le dans votre SIRH associé au dossier du salarié.

Dans le processus de négociation d'un accord d'entreprise ou d'une convention collective d'établissement, de nombreuses versions du document circulent entre la DRH, la direction générale, les délégués syndicaux et parfois les avocats de l'entreprise. Le filigrane de version permet d'éviter les confusions et de s'assurer que chaque partie travaille sur la bonne version. Apposez un filigrane 'Projet v1 — RH — [Date]', 'Projet v2 — DG — [Date]' etc. sur chaque version pour garantir la traçabilité des modifications. Quand l'accord final est signé, la version officielle peut être filigrannée 'Version signée — [Date de signature]' pour la distinguer des brouillons. Pour les dossiers disciplinaires, le filigrane 'Confidentiel — DRH uniquement — Ne pas diffuser' sur chaque page rappelle les obligations de confidentialité à toute personne qui accède au document. Cette mention est d'autant plus importante que ces documents peuvent être consultés lors de litiges prud'homaux.

Les services RH sont au cœur des obligations RGPD d'une entreprise. En tant que responsable du traitement des données personnelles des salariés, l'entreprise doit maintenir un registre de traitement précis couvrant notamment : la gestion de la paie, le suivi des candidatures, la gestion des performances, les données de santé liées aux arrêts maladie. Les salariés disposent d'un droit d'accès à leurs données personnelles (article 15 RGPD), y compris aux documents RH les concernant. Ce droit doit être exercé dans un délai d'un mois. Lorsque vous transmettez des données en réponse à une demande d'exercice de droit, protégez les PDF correspondants — paradoxalement, même en répondant à un droit d'accès, vous devez vous assurer que le document arrive bien au bon destinataire. La CNIL recommande également de ne pas conserver les données RH au-delà de leur durée de conservation légale : 5 ans après la fin du contrat de travail pour les bulletins de paie, 1 an pour les candidatures non retenues (avec accord du candidat), 10 ans pour les éléments constitutifs du dossier de retraite.