Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/BambooHR et RGPD : guide de conformite 2026
RGPD

BambooHR et RGPD : guide de conformite 2026

BambooHR est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : BambooHR comme sous-traitant
  2. Analyse du DPA BambooHR
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee
  6. Points d’attention specifiques a BambooHR
  7. FAQ

BambooHR est une plateforme americaine de gestion des ressources humaines fondee en 2008 a Lindon (Utah). L’outil cible principalement les PME et couvre les fonctionnalites classiques d’un SIRH : gestion des dossiers du personnel, suivi des conges et absences (PTO), onboarding, evaluation des performances, reporting RH et suivi des candidatures. BambooHR est utilise par des entreprises dans le monde entier, y compris en France, notamment par des filiales de groupes anglo-saxons ou des PME internationalisees.

Du point de vue du RGPD, BambooHR pose une problematique que les solutions europeennes comme PayFit ou Personio n’ont pas : c’est une entreprise americaine qui heberge ses donnees principalement aux Etats-Unis. Stocker les donnees salariales de vos employes francais – incluant le numero de securite sociale, les coordonnees bancaires, les arrets maladie et la remuneration – sur des serveurs americains soumis au CLOUD Act et au FISA Section 702 souleve des questions serieuses en matiere de transferts de donnees hors UE.

Cela ne signifie pas que BambooHR est interdit par le RGPD. Mais cela signifie que son utilisation exige une analyse plus approfondie et des garanties supplementaires par rapport a une solution europeenne. C’est precisement ce que ce guide detaille.

Consultez egalement nos analyses de PayFit et RGPD, Personio et RGPD, Silae et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dediee au RGPD et ressources humaines.

Qualification juridique : BambooHR comme sous-traitant

Lorsque vous utilisez BambooHR pour gerer vos processus RH, BambooHR agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui determinez les finalites (gestion du personnel, suivi des absences, recrutement, evaluation) et les moyens essentiels du traitement.

La qualification est claire pour les fonctionnalites principales de la plateforme. BambooHR stocke et traite les donnees de vos salaries sur vos instructions et pour votre compte.

Categories de donnees traitees

Un SIRH comme BambooHR centralise des donnees personnelles hautement sensibles :

  • Donnees d’identite : nom, prenom, date de naissance, nationalite, numero de securite sociale, photo
  • Donnees de contact : adresse postale, email personnel, telephone
  • Donnees bancaires : coordonnees bancaires pour les virements de salaire
  • Donnees de remuneration : salaire, primes, avantages, historique de paie
  • Donnees de sante : arrets maladie, accidents du travail, handicap, informations medicales
  • Donnees familiales : situation matrimoniale, personnes a charge
  • Donnees contractuelles : contrat, poste, anciennete, classification
  • Donnees d’evaluation : performances, objectifs, feedbacks
  • Donnees de recrutement : CV, candidatures, notes d’entretien

Personnes concernees : salaries, anciens salaries, candidats, stagiaires.

Ces donnees incluent des donnees sensibles au sens de l’article 9 du RGPD : donnees de sante (arrets maladie, handicap) et potentiellement affiliation syndicale. Le fait de stocker ces donnees aux Etats-Unis renforce la necessite d’une analyse rigoureuse.

Documentez chaque traitement dans votre registre avec la base legale appropriee : execution du contrat de travail pour la gestion du personnel, obligation legale pour les declarations sociales, interet legitime pour les evaluations de performance.

Analyse du DPA BambooHR

BambooHR propose un Data Processing Agreement (DPA) accessible dans sa documentation contractuelle. Voici notre evaluation au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 Couverture BambooHR Commentaire
Objet, duree, nature du traitement Oui Defini par reference aux services souscrits
Instructions documentees du RT Oui BambooHR traite sur instructions documentees
Confidentialite du personnel Oui Engagement de confidentialite des employes
Mesures de securite (Art. 32) Oui Mesures de securite documentees
Sous-traitants ulterieurs Oui Liste disponible, notification prealable
Assistance droits des personnes Oui BambooHR aide le RT a repondre aux demandes
Suppression/restitution en fin de contrat Oui Export et suppression apres resiliation
Audits Partiel Via rapports SOC 2, pas d’audit sur site
Transferts hors UE Oui DPF + CCT comme mecanismes de transfert

Points forts : le DPA couvre les exigences formelles de l’article 28. BambooHR est certifie au Data Privacy Framework (DPF), ce qui fournit une base legale pour les transferts vers les Etats-Unis.

Points d’attention : le DPA de BambooHR est redige dans une logique juridique americaine. Verifiez attentivement les clauses relatives aux droits d’audit (souvent limites aux rapports de certification), aux sous-traitants ulterieurs (sont-ils tous soumis aux memes garanties ?) et aux conditions de suppression des donnees en fin de contrat. Pour les entreprises ayant des exigences elevees, une negociation du DPA peut etre necessaire – mais BambooHR, ciblant les PME, offre generalement moins de flexibilite contractuelle que les solutions enterprise comme Workday.

Transferts internationaux et TIA

C’est le point critique de l’analyse RGPD de BambooHR. En tant qu’entreprise americaine hebergeant les donnees aux Etats-Unis, l’utilisation de BambooHR implique un transfert de donnees personnelles vers un pays tiers au sens du chapitre V du RGPD.

Hebergement des donnees

BambooHR heberge ses donnees principalement aux Etats-Unis. A la date de redaction de ce guide, BambooHR ne propose pas d’option standard de residence des donnees dans l’Union europeenne. Toutes les donnees salariales (identite, remuneration, coordonnees bancaires, arrets maladie) sont donc stockees sur des serveurs americains.

Mecanismes de transfert

BambooHR s’appuie sur les mecanismes suivants pour encadrer les transferts :

  1. EU-US Data Privacy Framework (DPF). BambooHR est certifie au DPF. La decision d’adequation de la Commission europeenne du 10 juillet 2023 fournit une base legale pour les transferts vers les entreprises americaines certifiees. Tant que cette certification est maintenue et que la decision d’adequation n’est pas invalidee, le transfert dispose d’une base legale.

  2. Clauses contractuelles types (CCT). Le DPA integre les CCT de la Commission europeenne (version 2021) comme mecanisme supplementaire.

Risques lies au CLOUD Act et FISA 702

BambooHR, en tant qu’entreprise americaine, est soumise au CLOUD Act et potentiellement au FISA Section 702. Cela signifie que les autorites americaines peuvent exiger l’acces aux donnees, y compris les donnees de salaries europeens, sans que les personnes concernees en soient informees et sans controle juridictionnel equivalent aux standards europeens.

Pour des donnees RH – qui incluent des donnees de sante, des coordonnees bancaires et le numero de securite sociale – ce risque est particulierement significatif.

TIA : obligatoire

L’utilisation de BambooHR necessite une analyse d’impact sur les transferts (TIA) conforme aux recommandations du CEPD (Comite europeen de la protection des donnees). Cette TIA doit evaluer :

  • La legislation americaine applicable (CLOUD Act, FISA 702, Executive Order 14086)
  • La probabilite d’acces par les autorites americaines aux donnees de vos salaries
  • Les mesures supplementaires mises en place (chiffrement, pseudonymisation)
  • L’adequation du DPF comme base legale

Documentez cette TIA et conservez-la avec votre documentation de conformite. Rappelons que l’arret Schrems II de la CJUE (2020) a invalide le Privacy Shield pour insuffisance de garanties. Le DPF est cense corriger ces insuffisances via l’Executive Order 14086, mais sa perennite fait debat.

Alternative : envisager une solution europeenne

Pour les donnees RH, qui sont parmi les plus sensibles traitees par une entreprise, la question merite d’etre posee : est-il preferable d’utiliser une solution europeenne comme PayFit, Personio ou Silae qui n’implique aucun transfert hors UE ? Du strict point de vue du RGPD, l’absence de transfert international simplifie considerablement la conformite.

Securite informatique

Les donnees RH dans BambooHR – identite, salaire, IBAN, donnees de sante – exigent un niveau de securite maximal. Le fait que ces donnees soient stockees aux Etats-Unis ajoute une dimension supplementaire a l’analyse de securite.

Certifications BambooHR

  • SOC 2 Type II : audit independant des controles de securite, disponibilite et confidentialite

A noter : a la date de redaction, BambooHR ne dispose pas de la certification ISO 27001. C’est un ecart par rapport a des concurrents europeens comme PayFit ou Personio qui disposent des deux certifications.

Mesures techniques

  • Chiffrement en transit : TLS pour les communications
  • Chiffrement au repos : chiffrement des donnees stockees
  • Controles d’acces : gestion des roles et permissions
  • Authentification : support du SSO et de l’authentification multi-facteurs
  • Journalisation : logs d’acces et d’activite
  • Sauvegardes : plans de sauvegarde et de continuite

Mesures supplementaires pour les transferts

Dans le cadre de votre TIA, evaluez si les mesures de chiffrement de BambooHR sont suffisantes. Le chiffrement en transit et au repos est un minimum, mais la question est de savoir si BambooHR (ou les autorites americaines) ont acces aux cles de dechiffrement. Si oui, le chiffrement ne constitue pas une mesure supplementaire effective au sens des recommandations du CEPD.

Configuration recommandee

Voici les etapes indispensables pour utiliser BambooHR en conformite avec le RGPD :

  1. Signer et archiver le DPA. Assurez-vous que le contrat de sous-traitance est signe, qu’il integre les CCT et que vous en conservez une copie. Verifiez que la certification DPF de BambooHR est active.

  2. Realiser et documenter une TIA. C’est l’etape critique. Documentez votre analyse d’impact sur les transferts hors UE : legislation americaine applicable, probabilite d’acces gouvernemental, mesures supplementaires, conclusion motivee sur l’acceptabilite du transfert.

  3. Configurer les niveaux d’acces par role. Definissez des profils d’acces stricts : le service RH accede aux donnees de paie, les managers uniquement aux informations necessaires a la gestion de leur equipe (conges, objectifs). Les donnees bancaires et medicales doivent etre restreintes au strict necessaire.

  4. Activer l’authentification forte. MFA obligatoire pour tous les utilisateurs. SSO si disponible dans votre entreprise. Les donnees RH hebergees aux Etats-Unis justifient d’autant plus une authentification renforcee.

  5. Definir les durees de conservation. Configurez les regles de retention conformement aux obligations legales francaises : bulletins de paie (5 ans minimum), contrats (5 ans apres fin de relation), donnees medicales (durees specifiques). Consultez notre guide sur les durees de conservation.

  6. Documenter dans le registre. Ajoutez BambooHR dans votre registre des traitements en precisant explicitement le transfert vers les Etats-Unis, le mecanisme de transfert (DPF + CCT), et la reference a votre TIA.

  7. Informer les salaries du transfert hors UE. La notice d’information aux salaries (Art. 13 et 14 du RGPD) doit mentionner explicitement que leurs donnees sont transferees aux Etats-Unis, le mecanisme de transfert utilise, et les risques associes. C’est une obligation specifique aux transferts internationaux.

  8. Evaluer la necessite d’une AIPD. Au-dela de la TIA sur les transferts, une AIPD peut etre requise si vous utilisez les modules d’evaluation des performances ou si le volume de donnees de sante traitees est significatif.

  9. Mettre en place une veille sur le DPF. La perennite du Data Privacy Framework n’est pas garantie. Si le DPF etait invalide (comme l’a ete le Privacy Shield), vous devriez reagir rapidement. Mettez en place une veille juridique ou consultez regulierement les actualites sur notre page transferts de donnees hors UE.

Points d’attention specifiques a BambooHR

Absence de residence des donnees en UE

C’est le point le plus critique. Contrairement a Workday qui propose des centres de donnees europeens, BambooHR ne propose pas d’option standard de residence des donnees dans l’UE. Pour des donnees RH incluant des donnees de sante et des coordonnees bancaires, cette absence est problematique. Posez explicitement la question a BambooHR : une option de residence EU est-elle disponible ou prevue ?

Donnees de sante sur des serveurs americains

Le stockage de donnees de sante (arrets maladie, handicap) sur des serveurs americains soumis au CLOUD Act est une situation que de nombreux DPO considerent comme a risque eleve. Les donnees de sante beneficient d’une protection renforcee sous l’article 9 du RGPD, et leur transfert vers les Etats-Unis doit etre justifie par des garanties particulierement solides.

Integration avec des outils europeens

Si vous utilisez BambooHR dans un ecosysteme mixte (par exemple avec un outil de paie francais comme PayFit ou Silae), documentez soigneusement les flux de donnees entre les outils. Chaque transfert de donnees entre BambooHR (US) et vos outils europeens constitue un flux transfrontiere qui doit etre encadre.

Contexte post-Schrems II

L’arret Schrems II (CJUE, 2020) a invalide le Privacy Shield et impose une evaluation au cas par cas des transferts vers les Etats-Unis. Le DPF est cense repondre aux insuffisances identifiees par la Cour, mais l’organisation NOYB de Max Schrems a deja annonce des contestations. La stabilite a long terme du DPF n’est pas acquise.

FAQ

BambooHR est-il conforme au RGPD ? BambooHR dispose d’un DPA couvrant les exigences de l’article 28 et est certifie au Data Privacy Framework (DPF) pour les transferts vers les Etats-Unis. Neanmoins, la conformite est plus complexe qu’avec une solution europeenne : l’hebergement aux Etats-Unis necessite une analyse d’impact sur les transferts (TIA), une information specifique des salaries et une veille sur la perennite du DPF. BambooHR n’est pas “non conforme”, mais son utilisation exige un travail de conformite significativement plus lourd.

Mon employeur peut-il acceder a toutes mes donnees dans BambooHR ? Non. Le principe de minimisation du RGPD impose des restrictions d’acces. Seules les personnes ayant un besoin legitime doivent acceder a vos donnees. Le service RH accede aux donnees necessaires a la gestion du personnel, mais votre manager ne devrait pas acceder a vos coordonnees bancaires, votre numero de securite sociale ou vos informations medicales. En tant que salarie, vous disposez d’un droit d’acces complet. Vos donnees etant stockees aux Etats-Unis, vous pouvez egalement interroger votre employeur sur les garanties mises en place pour les transferts internationaux.

Faut-il une AIPD pour BambooHR ? Une AIPD est recommandee voire obligatoire dans plusieurs cas : utilisation des modules d’evaluation des performances (evaluation systematique des salaries), traitement a grande echelle de donnees de sante, et transfert de donnees sensibles vers les Etats-Unis. Independamment de l’AIPD au sens de l’article 35, une TIA (Transfer Impact Assessment) est dans tous les cas obligatoire pour le transfert vers les Etats-Unis.

Existe-t-il des alternatives europeennes a BambooHR ? Oui. PayFit (France) et Personio (Allemagne) offrent des fonctionnalites comparables avec un hebergement 100% europeen, sans transfert hors UE. Pour la paie specifiquement, Silae (France) est la reference pour les cabinets comptables. Du strict point de vue du RGPD, une solution europeenne elimine la problematique des transferts internationaux et simplifie considerablement votre documentation de conformite.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min