Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Personio et RGPD : guide de conformite 2026
RGPD

Personio et RGPD : guide de conformite 2026

Personio est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : Personio comme sous-traitant
  2. Analyse du DPA Personio
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee
  6. Points d’attention specifiques a Personio
  7. FAQ

Personio est une plateforme de gestion des ressources humaines fondee a Munich en 2015, positionnee comme l’alternative europeenne aux solutions americaines de SIRH. La plateforme couvre l’ensemble du cycle de vie du salarie : recrutement et gestion des candidatures (ATS), onboarding, gestion du personnel, suivi des absences et conges, gestion de la paie, evaluation des performances et reporting RH. Personio croit rapidement sur le marche francais et attire les PME et ETI qui cherchent une solution RH complete avec un ancrage europeen.

Du point de vue du RGPD, un SIRH comme Personio centralise des donnees personnelles d’une sensibilite elevee. Les donnees de recrutement (CV, lettres de motivation, notes d’entretien) s’ajoutent aux donnees salariales classiques (identite, remuneration, coordonnees bancaires, numero de securite sociale) et aux donnees de sante (arrets maladie, handicap). Le module de performance ajoute une dimension supplementaire : les evaluations individuelles des collaborateurs, qui constituent un traitement systematique de donnees personnelles au sens de l’article 35 du RGPD.

L’avantage de Personio est son origine allemande. L’Allemagne a une tradition de protection des donnees personnelles anterieure au RGPD – le Bundesdatenschutzgesetz (BDSG) impose depuis des decennies des exigences strictes, notamment en matiere de donnees des salaries. Les editeurs allemands ont donc une culture de conformite native qui se traduit generalement dans la qualite de leur DPA et de leurs mesures techniques.

Consultez egalement nos analyses de PayFit et RGPD, Silae et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dediee au RGPD et ressources humaines.

Qualification juridique : Personio comme sous-traitant

Lorsque vous utilisez Personio pour gerer vos processus RH, Personio agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise est le responsable de traitement : c’est vous qui determinez les finalites (recrutement, gestion du personnel, paie, evaluation des performances) et les moyens essentiels du traitement.

La qualification est sans ambiguite pour les fonctionnalites principales : stockage des dossiers du personnel, gestion des absences, generation des bulletins de paie, gestion des candidatures. Personio execute le traitement sur vos instructions et pour votre compte.

Le cas du module de recrutement (ATS)

Le module de recrutement de Personio merite une attention particuliere. Les donnees des candidats (CV, lettres de motivation, notes d’entretien, evaluations) sont des donnees personnelles dont le traitement est soumis au RGPD. La base legale est generalement les mesures precontractuelles (Art. 6(1)(b)) pour les candidatures en cours, et le consentement pour la constitution d’un vivier de candidats (conservation au-dela du processus de recrutement).

La CNIL recommande une duree de conservation maximale de 2 ans pour les donnees de candidats non retenus, sauf consentement pour une duree plus longue.

Categories de donnees traitees

  • Donnees d’identite : nom, prenom, date de naissance, nationalite, numero de securite sociale, photo
  • Donnees de contact : adresse, email, telephone
  • Donnees bancaires : IBAN pour les virements de salaire
  • Donnees de remuneration : salaire, primes, avantages, historique de paie
  • Donnees de sante : arrets maladie, accidents du travail, handicap (RQTH), certificats medicaux
  • Donnees familiales : situation matrimoniale, enfants a charge
  • Donnees contractuelles : contrat, poste, anciennete, classification
  • Donnees de recrutement : CV, lettres de motivation, notes d’entretien, evaluations de candidature
  • Donnees d’evaluation : objectifs, evaluations de performance, feedbacks, plans de developpement
  • Donnees syndicales : le cas echeant, heures de delegation

Personnes concernees : salaries, anciens salaries, candidats, stagiaires.

Chaque activite de traitement (paie, recrutement, evaluation, gestion des absences) doit etre documentee separement dans votre registre des traitements avec sa propre base legale, ses categories de donnees et ses durees de conservation.

Analyse du DPA Personio

Le DPA de Personio est disponible dans la documentation contractuelle et repond aux standards allemands, qui tendent a depasser les exigences minimales de l’article 28 du RGPD. Le BDSG allemand impose en effet des obligations supplementaires en matiere de protection des donnees des salaries (Section 26 BDSG).

Exigence Art. 28 Couverture Personio Commentaire
Objet, duree, nature du traitement Oui Detaille par module (RH, paie, recrutement, performance)
Instructions documentees du RT Oui Traitement exclusivement sur instructions documentees
Confidentialite du personnel Oui Engagement de confidentialite renforce (standard allemand)
Mesures de securite (Art. 32) Oui Annexe technique detaillee, mesures techniques et organisationnelles (TOM)
Sous-traitants ulterieurs Oui Liste publiee, notification prealable, droit d’objection
Assistance droits des personnes Oui Personio aide le RT a repondre aux demandes
Suppression/restitution en fin de contrat Oui Export des donnees et suppression apres resiliation
Audits Oui Rapports SOC 2 Type II et ISO 27001, possibilite d’audit sur dossier
Transferts hors UE Non applicable Hebergement 100% UE

Points forts du DPA Personio : la description des mesures techniques et organisationnelles (TOM) est particulierement detaillee, ce qui est typique des editeurs allemands. Le document couvre explicitement les differents modules (RH, paie, recrutement, performance), ce qui facilite la documentation dans votre registre. Le standard allemand en matiere de protection des donnees des salaries est historiquement eleve, et cela se reflete dans la qualite du DPA.

Point d’attention : verifiez que le DPA couvre explicitement le module de recrutement si vous l’utilisez. Les donnees de candidats ont un cycle de vie different des donnees salariales (duree de conservation plus courte, base legale differente) et doivent etre traitees en consequence.

Transferts internationaux et TIA

Hebergement des donnees

Personio heberge l’integralite des donnees de ses clients dans l’Union europeenne, sur l’infrastructure AWS a Francfort (Allemagne). L’entreprise etant allemande avec un siege a Munich, il n’y a pas de transfert de donnees vers des pays tiers dans le cadre du fonctionnement standard de la plateforme.

C’est un avantage decisif par rapport aux solutions americaines. Contrairement a BambooHR ou Workday, Personio n’est pas soumise au CLOUD Act americain ni au FISA Section 702. Les donnees de vos salaries restent sous juridiction europeenne.

Sous-traitants ulterieurs

La liste des sous-traitants ulterieurs de Personio doit etre examinee pour verifier qu’aucun d’entre eux ne procede a des transferts hors UE. Si un sous-traitant ulterieur est situe hors de l’Union europeenne (par exemple pour des services d’infrastructure ou de monitoring), les garanties appropriees (clauses contractuelles types, decision d’adequation) doivent etre en place.

TIA : non necessaire pour le flux principal

Dans la mesure ou Personio ne procede a aucun transfert de donnees hors de l’Union europeenne pour les traitements principaux, une analyse d’impact sur les transferts (TIA) n’est pas requise. C’est un point de simplification considerable par rapport aux transferts de donnees hors UE que necessitent les solutions americaines.

Securite informatique

Les donnees RH centralisees dans Personio – identite, salaire, coordonnees bancaires, donnees de sante, evaluations – exigent le niveau de protection le plus eleve. Une violation de donnees sur un SIRH expose simultanement l’identite complete des salaries, leur remuneration, leurs coordonnees bancaires et potentiellement leur etat de sante.

Certifications Personio

  • ISO 27001 : certification du systeme de management de la securite de l’information
  • SOC 2 Type II : audit independant des controles de securite et de confidentialite

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : chiffrement des donnees stockees dans les bases de donnees
  • Controles d’acces : gestion granulaire des roles et permissions par module
  • Authentification : support du SSO (SAML 2.0) et de l’authentification multi-facteurs
  • Journalisation : logs d’audit pour la tracabilite des acces et modifications
  • Tests de securite : programme de bug bounty et audits de securite reguliers
  • Disponibilite : infrastructure redondante avec plan de reprise d’activite

Responsabilite de l’employeur

Personio fournit l’infrastructure securisee, mais c’est a vous de configurer les droits d’acces correctement. Un parametre mal configure qui donne acces a tous les managers aux donnees bancaires ou medicales de leurs equipes constitue une violation du principe de minimisation, et c’est votre responsabilite en tant que responsable de traitement.

Configuration recommandee

Voici les etapes essentielles pour configurer Personio en conformite avec le RGPD :

  1. Archiver le DPA signe. Conservez une copie du contrat de sous-traitance dans votre documentation RGPD. En cas de controle de la CNIL, c’est le premier document demande conformement a l’article 28 du RGPD.

  2. Configurer les roles et permissions par module. Personio permet une gestion granulaire des acces : definissez des profils separes pour la direction, le service RH, les managers et les collaborateurs. Les managers ne doivent acceder qu’aux donnees necessaires a la gestion de leur equipe (conges, objectifs), pas aux donnees bancaires ni aux motifs d’absence medicale.

  3. Activer l’authentification forte. Activez le SSO si votre entreprise dispose d’un fournisseur d’identite (Azure AD, Okta, Google Workspace) ou a defaut le MFA natif. Les donnees RH justifient une authentification renforcee.

  4. Parametrer les durees de conservation. Configurez les regles de retention differenciees : bulletins de paie (5 ans minimum), contrats (5 ans apres fin de relation), donnees de candidats non retenus (2 ans maximum selon les recommandations CNIL), evaluations de performance (duree proportionnee). Notre guide sur la duree de conservation des donnees detaille les obligations par type de document.

  5. Configurer le module de recrutement. Si vous utilisez l’ATS de Personio, parametrez la suppression automatique des candidatures non retenues apres 2 ans. Prevoyez un mecanisme de consentement pour conserver les profils dans un vivier de candidats au-dela de cette periode.

  6. Documenter dans le registre des traitements. Inscrivez chaque module Personio comme un traitement distinct dans votre registre : gestion de la paie, gestion du personnel, recrutement, evaluation des performances, gestion des absences. Chacun avec sa base legale, ses categories de donnees et ses durees de conservation.

  7. Informer les salaries et les candidats. Redigez deux notices d’information distinctes : une pour les salaries (traitement de leurs donnees RH via Personio) et une pour les candidats (traitement de leurs donnees de candidature). Ces notices doivent etre conformes aux articles 13 et 14 du RGPD et mentionner les droits des personnes (droit d’acces, rectification, effacement).

  8. Evaluer la necessite d’une AIPD. Si vous utilisez le module d’evaluation des performances de Personio, une analyse d’impact (AIPD) est vraisemblablement requise. L’evaluation systematique des salaries figure dans la liste des traitements necessitant une AIPD publiee par la CNIL.

Points d’attention specifiques a Personio

Module de performance et AIPD

Le module de gestion de la performance de Personio permet des evaluations systematiques des collaborateurs : objectifs, revues de performance, 360 feedbacks. Ce type de traitement figure explicitement dans la liste des traitements necessitant une analyse d’impact publiee par la CNIL (evaluation systematique de personnes physiques fondee sur un traitement automatise). Realisez une AIPD avant de deployer ce module et documentez les mesures d’attenuation des risques.

Donnees de recrutement et droit a l’oubli

Les candidats non retenus disposent d’un droit a l’effacement. Personio doit etre configure pour supprimer automatiquement les dossiers de candidature apres la duree de conservation definie. Verifiez regulierement que cette purge fonctionne effectivement.

Portail salarie et exercice des droits

Personio propose un portail salarie en self-service. C’est un atout pour l’exercice du droit d’acces : les salaries peuvent consulter directement une partie de leurs donnees. Neanmoins, le portail ne couvre pas necessairement toutes les donnees (notes d’evaluation internes, par exemple). Prevoyez un processus pour repondre aux demandes d’acces portant sur des donnees non visibles dans le portail.

Convention collective et specificites francaises

Si vous utilisez Personio pour la paie en France, verifiez que la plateforme gere correctement les specificites du droit social francais : conventions collectives, primes conventionnelles, DSN, calcul des conges payes selon la methode du maintien de salaire ou du dixieme. Personio etant d’origine allemande, la couverture des specificites francaises peut varier selon la maturite du module paie France.

FAQ

Personio est-il conforme au RGPD ? Oui. Personio est une entreprise allemande, hebergee en Union europeenne (AWS Francfort), certifiee ISO 27001 et SOC 2 Type II, avec un DPA qui repond aux standards allemands en matiere de protection des donnees. L’Allemagne ayant une tradition de protection des donnees particulierement stricte, Personio beneficie d’une culture de conformite native. Votre responsabilite en tant qu’employeur est de configurer correctement les acces, les durees de conservation et l’information des salaries.

Mon employeur peut-il acceder a toutes mes donnees dans Personio ? Non. Le principe de minimisation du RGPD impose que chaque utilisateur n’accede qu’aux donnees strictement necessaires a ses fonctions. Le service RH accede aux donnees de paie et de gestion du personnel, mais un manager ne devrait acceder qu’aux informations necessaires a la gestion de son equipe (conges, objectifs). Les donnees bancaires, le numero de securite sociale et les motifs medicaux d’absence ne doivent pas etre accessibles aux managers. Vous disposez d’un droit d’acces pour obtenir l’integralite de vos donnees detenues dans Personio.

Faut-il une AIPD pour utiliser Personio ? Une AIPD n’est pas requise pour la simple gestion administrative du personnel (paie, conges, absences). En revanche, si vous utilisez le module d’evaluation des performances, une AIPD est vraisemblablement obligatoire : l’evaluation systematique de salaries fondee sur un traitement automatise figure dans la liste des traitements necessitant une AIPD publiee par la CNIL. De meme, si vous utilisez le module de recrutement avec des criteres de tri automatises, une AIPD est recommandee.

Personio transfere-t-il des donnees hors de l’UE ? Non pour les traitements principaux. Personio est une entreprise allemande qui heberge ses donnees dans l’Union europeenne (AWS Francfort). Il n’y a pas de transfert vers des pays tiers dans le cadre normal de l’utilisation de la plateforme. Verifiez neanmoins la liste des sous-traitants ulterieurs pour vous assurer qu’aucun flux indirect n’existe vers des pays hors UE. C’est un avantage significatif par rapport aux solutions americaines comme BambooHR ou Workday.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min