Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/PayFit et RGPD : guide de conformite 2026
RGPD

PayFit et RGPD : guide de conformite 2026

PayFit est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : PayFit comme sous-traitant
  2. Analyse du DPA PayFit
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee
  6. Points d’attention specifiques a PayFit
  7. FAQ

PayFit est la solution de gestion de paie et des ressources humaines la plus utilisee en France, avec plus de 300 000 entreprises clientes. Fondee a Paris en 2015, la plateforme couvre un spectre fonctionnel large : edition des bulletins de paie, gestion des conges et absences, notes de frais, onboarding des nouveaux collaborateurs, generation des documents RH et declarations sociales (DSN). PayFit s’adresse principalement aux PME francaises qui souhaitent internaliser la gestion de paie sans recourir a un cabinet comptable externe.

Du point de vue du RGPD, un outil de paie comme PayFit traite les donnees les plus sensibles qui existent en entreprise. Au-dela des donnees d’identite classiques, PayFit accede aux coordonnees bancaires (IBAN) pour le virement des salaires, au numero de securite sociale, aux arrets maladie et certificats medicaux, aux informations sur la mutuelle et la prevoyance, a la situation familiale pour le calcul des conges et avantages. Ces donnees relevent pour partie de l’article 9 du RGPD relatif aux donnees sensibles, notamment les donnees de sante (arrets maladie, handicap) et potentiellement l’affiliation syndicale.

La bonne nouvelle : PayFit est une entreprise francaise, hebergee en Union europeenne, avec un positionnement historiquement fort sur la conformite RGPD. Le risque n’est pas dans l’outil lui-meme, mais dans la facon dont vous le configurez et dont vous documentez votre conformite en tant qu’employeur. C’est ce que ce guide detaille.

Consultez egalement nos analyses de Personio et RGPD, Silae et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dediee au RGPD et ressources humaines.

Qualification juridique : PayFit comme sous-traitant

Lorsque vous utilisez PayFit pour gerer la paie de vos salaries, PayFit agit en qualite de sous-traitant (processor) au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui determinez les finalites (gestion de la paie, administration du personnel, gestion des conges) et les moyens essentiels du traitement. PayFit fournit l’infrastructure technique et execute le traitement selon vos instructions.

Cette qualification est claire et sans ambiguite pour l’ensemble des fonctionnalites de PayFit : calcul et edition des bulletins de paie, generation des DSN, gestion des absences, onboarding. PayFit ne decide pas des finalites du traitement – c’est l’employeur qui le fait.

Categories de donnees traitees

Les donnees RH traitees par PayFit sont d’une sensibilite particuliere. Voici les categories principales :

  • Donnees d’identite : nom, prenom, date de naissance, lieu de naissance, nationalite, numero de securite sociale, photo d’identite
  • Donnees de contact : adresse postale, email personnel, telephone
  • Donnees bancaires : IBAN pour le virement des salaires
  • Donnees de remuneration : salaire brut et net, primes, avantages en nature, historique de paie
  • Donnees de sante : arrets maladie, accidents du travail, reconnaissance de handicap (RQTH), certificats medicaux
  • Donnees familiales : situation matrimoniale, nombre d’enfants a charge, attestations pour conges parentaux
  • Donnees contractuelles : type de contrat, date d’embauche, poste, classification conventionnelle, periode d’essai
  • Donnees syndicales : le cas echeant, heures de delegation (donnee sensible au sens de l’Art. 9)

Personnes concernees : salaries, anciens salaries, stagiaires, eventuellement prestataires externes geres dans PayFit.

Rappelons que la CNIL a inflige une amende de 32 millions d’euros a Amazon France Logistique en 2024 pour surveillance excessive des salaries via des outils de gestion RH. Le traitement de donnees salaries n’est pas anodin – il exige une documentation rigoureuse dans votre registre des traitements avec la base legale appropriee (execution du contrat de travail pour la paie, obligation legale pour les declarations sociales, interet legitime pour certaines evaluations).

Analyse du DPA PayFit

Le Data Processing Agreement (DPA) de PayFit est integre aux conditions generales de service et disponible dans votre espace client. En tant qu’entreprise francaise, PayFit propose un DPA conforme aux standards europeens. Voici notre evaluation au regard des exigences de l’article 28 du RGPD :

Exigence Art. 28 Couverture PayFit Commentaire
Objet, duree, nature du traitement Oui Defini par les services souscrits (paie, RH, conges)
Instructions documentees du RT Oui PayFit traite uniquement sur instructions documentees
Confidentialite du personnel Oui Engagement de confidentialite des employes PayFit
Mesures de securite (Art. 32) Oui Annexe securite detaillee, chiffrement, controles d’acces
Sous-traitants ulterieurs Oui Liste publiee, notification prealable, droit d’objection
Assistance droits des personnes Oui PayFit aide le RT a repondre aux demandes d’exercice de droits
Suppression/restitution en fin de contrat Oui Restitution des donnees et suppression apres resiliation
Audits Oui Rapports SOC 2 Type II et ISO 27001 disponibles
Transferts hors UE Non applicable Hebergement 100% UE, pas de transfert hors UE

Points forts du DPA PayFit : la couverture est complete et conforme aux exigences de l’article 28. PayFit etant une entreprise francaise, le DPA est redige dans une logique de conformite europeenne native, sans les compromis que l’on observe parfois chez les editeurs americains. La liste des sous-traitants ulterieurs est publiee et mise a jour avec un mecanisme de notification.

Point d’attention : comme pour tout outil SaaS, verifiez que le DPA est effectivement signe et actif dans votre compte. En cas d’audit de la CNIL, c’est le premier document qui sera demande. Conservez une copie archivee avec votre registre des traitements.

Transferts internationaux et TIA

Hebergement des donnees

PayFit heberge l’integralite des donnees de ses clients en Union europeenne, sur des infrastructures AWS (Francfort, Allemagne) et OVH (France). Aucun transfert de donnees personnelles n’est effectue vers des pays tiers dans le cadre du fonctionnement normal de la plateforme.

C’est un avantage significatif par rapport aux solutions americaines comme BambooHR ou Workday, qui necessitent une analyse d’impact sur les transferts hors UE et la mise en place de garanties supplementaires (DPF, clauses contractuelles types).

Absence de risque lie au CLOUD Act

PayFit etant une societe francaise, elle n’est pas soumise au CLOUD Act americain ni au FISA Section 702. Les autorites francaises peuvent bien entendu acceder aux donnees dans le cadre de requisitions judiciaires, mais ce cadre est encadre par le droit francais et europeen, ce qui est conforme au RGPD.

TIA : non necessaire

Dans la mesure ou PayFit ne procede a aucun transfert de donnees hors de l’Union europeenne, une analyse d’impact sur les transferts (Transfer Impact Assessment) n’est pas requise. C’est un point de simplification considerable pour votre documentation de conformite.

Neanmoins, verifiez la liste des sous-traitants ulterieurs de PayFit. Si l’un d’entre eux est situe hors UE (par exemple un prestataire de monitoring ou de support), un transfert indirect pourrait exister. Dans ce cas, assurez-vous que les garanties appropriees sont en place.

Securite informatique

Les donnees RH traitees par PayFit exigent le niveau de securite le plus eleve. La combinaison de donnees bancaires (IBAN), de donnees de sante (arrets maladie) et du numero de securite sociale cree un risque de prejudice majeur en cas de violation de donnees. Un bulletin de paie qui fuite, c’est a la fois l’identite complete du salarie, son salaire, ses coordonnees bancaires et potentiellement ses arrets maladie.

Certifications PayFit

PayFit dispose des certifications suivantes :

  • SOC 2 Type II : audit independant des controles de securite, disponibilite, integrite et confidentialite
  • ISO 27001 : certification du systeme de management de la securite de l’information

Ces certifications attestent d’un niveau de maturite eleve en matiere de securite de l’information.

Mesures techniques

PayFit met en oeuvre les mesures de securite suivantes :

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : chiffrement AES-256 des donnees stockees
  • Controles d’acces : authentification forte, gestion des roles et permissions
  • Journalisation : logs d’acces et d’activite pour la tracabilite
  • Tests de penetration : audits de securite reguliers par des tiers independants
  • Sauvegarde et continuite : plans de reprise d’activite documentes

Responsabilite partagee

PayFit assure la securite de l’infrastructure, mais la securite de l’acces a votre espace PayFit releve de votre responsabilite. Des identifiants compromis cote employeur exposent l’ensemble des donnees salariales.

Configuration recommandee

Voici les etapes de configuration indispensables pour utiliser PayFit en conformite avec le RGPD :

  1. Verifier la signature du DPA. Assurez-vous que le contrat de sous-traitance est signe et archivee. Conservez-en une copie dans votre documentation RGPD.

  2. Configurer les niveaux d’acces par role. Definissez des profils d’acces differencies : le dirigeant n’a pas besoin des memes acces que le responsable RH, et les managers ne doivent pas acceder aux donnees bancaires ou medicales de leurs equipes. Le principe de minimisation (Art. 5(1)©) s’applique pleinement.

  3. Activer l’authentification forte. Activez le MFA (authentification multi-facteurs) pour tous les utilisateurs ayant acces a PayFit. Les donnees de paie justifient cette mesure sans discussion.

  4. Definir les durees de conservation. Configurez les regles de retention conformement aux obligations legales : bulletins de paie (5 ans minimum, recommande 50 ans pour les droits a la retraite), contrats de travail (5 ans apres la fin de la relation contractuelle), donnees medicales (durees specifiques selon la nature). Consultez notre guide sur la duree de conservation des donnees.

  5. Documenter dans le registre des traitements. Ajoutez les traitements PayFit dans votre registre : gestion de la paie, gestion des conges, gestion des absences maladie, onboarding, chacun avec sa base legale, ses categories de donnees et ses durees de conservation.

  6. Informer les salaries. Redigez une notice d’information conforme aux articles 13 et 14 du RGPD, indiquant que leurs donnees sont traitees via PayFit, les finalites du traitement, les durees de conservation et leurs droits (droit d’acces, droit de rectification, droit d’effacement dans les limites legales). Cette notice peut etre integree au reglement interieur ou a la charte informatique.

  7. Configurer la gestion des departs. Definissez un processus de desactivation des comptes et d’archivage des donnees lors du depart d’un salarie. Les donnees ne doivent pas etre supprimees immediatement (obligations legales de conservation), mais l’acces actif doit etre revoque.

  8. Evaluer la necessite d’une AIPD. Si vous utilisez PayFit pour des evaluations systematiques des salaries (suivi de performance, gestion des objectifs), une analyse d’impact relative a la protection des donnees peut etre requise au titre de l’article 35 du RGPD.

Points d’attention specifiques a PayFit

Donnees de sante

PayFit traite necessairement des donnees de sante au sens de l’article 9 du RGPD : arrets maladie, mi-temps therapeutiques, accidents du travail, reconnaissance de handicap. La base legale pour ce traitement est l’article 9(2)(b) – le traitement est necessaire aux fins de l’execution des obligations en matiere de droit du travail et de securite sociale. Neanmoins, ces donnees doivent beneficier de mesures de protection renforcees : acces restreint aux seules personnes habilitees (typiquement le service RH), pas d’acces pour les managers aux motifs d’absence medicale.

Bulletin de paie electronique

PayFit genere des bulletins de paie dematerialises. Conformement a l’article L. 3243-2 du Code du travail, la remise du bulletin de paie sous forme electronique est possible sauf opposition du salarie. Assurez-vous que vos salaries ont ete informes de cette modalite et qu’un mecanisme d’opposition existe.

DSN et flux vers les organismes sociaux

Les donnees transmises par PayFit aux organismes sociaux (URSSAF, caisses de retraite, mutuelles) via la DSN constituent des transmissions a des tiers destinataires. Ces transmissions sont fondees sur des obligations legales et doivent etre documentees dans votre registre des traitements.

Integration avec d’autres outils

Si vous connectez PayFit a d’autres logiciels (comptabilite, ERP, SIRH), chaque flux de donnees doit etre documente et chaque nouveau sous-traitant identifie dans votre registre.

FAQ

PayFit est-il conforme au RGPD ? Oui. PayFit est une entreprise francaise, hebergee en Union europeenne (AWS Francfort et OVH France), certifiee SOC 2 Type II et ISO 27001, avec un DPA conforme aux exigences de l’article 28 du RGPD. PayFit a un positionnement natif sur la conformite europeenne. Neanmoins, la conformite finale depend aussi de la configuration que vous mettez en place en tant qu’employeur : niveaux d’acces, durees de conservation, information des salaries.

Mon employeur peut-il acceder a toutes mes donnees dans PayFit ? Non. Le RGPD impose le principe de minimisation : seules les personnes ayant un besoin legitime doivent acceder a vos donnees. Le service RH accede aux donnees necessaires a la gestion de la paie et des absences, mais votre manager n’a pas a connaitre votre IBAN, votre numero de securite sociale ou le motif medical de vos arrets maladie. En tant que salarie, vous disposez d’un droit d’acces a l’ensemble de vos donnees personnelles detenues dans PayFit.

Faut-il realiser une AIPD pour PayFit ? Une analyse d’impact (AIPD) n’est pas systematiquement requise pour la simple gestion de la paie. En revanche, si vous utilisez PayFit pour du suivi systematique des performances, de la gestion des evaluations a grande echelle, ou si vous traitez des donnees de sante a grande echelle, une AIPD est recommandee voire obligatoire au titre de l’article 35 du RGPD et des criteres publies par la CNIL.

Combien de temps PayFit conserve-t-il les donnees des salaries ? Les durees de conservation sont definies par vos parametres et par les obligations legales. Les bulletins de paie doivent etre conserves 5 ans minimum (obligation employeur), mais il est recommande de les conserver 50 ans pour les droits a la retraite. Les contrats de travail doivent etre conserves 5 ans apres la fin de la relation contractuelle. Les donnees medicales suivent des durees specifiques. Consultez notre guide sur la duree de conservation des donnees pour un tableau complet.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min