Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Silae et RGPD : guide de conformite 2026
RGPD

Silae et RGPD : guide de conformite 2026

Silae est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202614 min de lecture
Sommaire
  1. Qualification juridique : la chaine de sous-traitance Silae
  2. Analyse du DPA Silae
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee
  6. Points d’attention specifiques a Silae
  7. FAQ

Silae est le logiciel de paie de reference utilise par les cabinets d’expertise comptable en France. Contrairement a PayFit, qui s’adresse directement aux entreprises, ou a Workday, qui cible les grands groupes, Silae se positionne sur un segment specifique : la paie externalisee geree par les cabinets comptables pour le compte de leurs clients. L’outil est specialise dans les specificites du droit social francais : editions des bulletins de paie, generation des DSN (Declaration Sociale Nominative), gestion des cotisations URSSAF, mutuelle obligatoire, prevoyance, conges payes, et l’ensemble des declarations sociales.

Du point de vue du RGPD, Silae presente une particularite essentielle : le schema de sous-traitance est plus complexe que celui d’un outil RH classique. Lorsque votre cabinet comptable utilise Silae pour gerer votre paie, la chaine de traitement comporte trois maillons : votre entreprise (responsable de traitement), le cabinet comptable (sous-traitant), et Silae (sous-traitant ulterieur du cabinet). C’est l’application directe de l’article 28(2) et (4) du RGPD sur les sous-traitants ulterieurs, et c’est souvent un point aveugle de la conformite.

La bonne nouvelle : Silae est une entreprise francaise, hebergee en France, specialisee dans la paie francaise. Il n’y a pas de problematique de transfert international. Le risque principal reside dans la documentation de la chaine de sous-traitance et dans la repartition des responsabilites entre vous, votre cabinet comptable et Silae.

Consultez egalement nos analyses de PayFit et RGPD, Personio et RGPD, BambooHR et RGPD et Workday et RGPD, ainsi que notre guide RGPD par outil et notre page dediee au RGPD et ressources humaines.

Qualification juridique : la chaine de sous-traitance Silae

Le schema a trois niveaux

C’est la specificite majeure de Silae par rapport aux autres outils RH. Voici la chaine de traitement typique :

  1. Votre entreprise = responsable de traitement (RT). Vous determinez les finalites (gestion de la paie de vos salaries) et confiez le traitement a votre cabinet comptable.

  2. Le cabinet d’expertise comptable = sous-traitant au sens de l’article 28 du RGPD. Le cabinet traite les donnees de paie de vos salaries sur vos instructions et pour votre compte.

  3. Silae = sous-traitant ulterieur (sub-processor) au sens de l’article 28(2) et (4) du RGPD. Silae fournit l’outil technique utilise par le cabinet pour executer le traitement de paie.

Obligations liees a la sous-traitance ulterieure

L’article 28(2) du RGPD impose au sous-traitant (le cabinet comptable) d’obtenir l’autorisation ecrite prealable du responsable de traitement (votre entreprise) avant de recourir a un sous-traitant ulterieur (Silae). Cette autorisation peut etre :

  • Specifique : vous autorisez explicitement votre cabinet a utiliser Silae pour la paie.
  • Generale : vous donnez une autorisation generale a votre cabinet de recourir a des sous-traitants ulterieurs, avec un mecanisme de notification et de droit d’objection.

L’article 28(4) precise que le sous-traitant ulterieur (Silae) doit etre soumis aux memes obligations que celles imposees au sous-traitant (le cabinet) dans le contrat avec le responsable de traitement.

En pratique, cela signifie que trois contrats doivent etre en place :

  • Un contrat de sous-traitance entre votre entreprise et le cabinet comptable (Art. 28)
  • Un contrat de sous-traitance ulterieure entre le cabinet comptable et Silae (Art. 28(4))
  • Une autorisation de votre entreprise pour le recours a Silae comme sous-traitant ulterieur (Art. 28(2))

Categories de donnees traitees

Les donnees transitant dans la chaine entreprise-cabinet-Silae sont les donnees de paie, parmi les plus sensibles :

  • Donnees d’identite : nom, prenom, date de naissance, lieu de naissance, nationalite, numero de securite sociale
  • Donnees de contact : adresse postale
  • Donnees bancaires : IBAN pour le virement des salaires
  • Donnees de remuneration : salaire brut et net, primes, heures supplementaires, avantages en nature
  • Donnees de sante : arrets maladie, mi-temps therapeutiques, accidents du travail, RQTH
  • Donnees familiales : situation matrimoniale, enfants a charge (pour les conges et la mutuelle)
  • Donnees contractuelles : type de contrat, convention collective, classification, anciennete
  • Donnees sociales : affiliation mutuelle, prevoyance, cotisations sociales
  • Donnees syndicales : heures de delegation le cas echeant

Personnes concernees : salaries et anciens salaries de l’entreprise cliente.

Ces donnees incluent des donnees sensibles au sens de l’article 9 (donnees de sante, potentiellement affiliation syndicale). Elles doivent etre inscrites dans votre registre des traitements avec l’identification de chaque acteur de la chaine.

Analyse du DPA Silae

L’analyse du DPA pour Silae est doublement pertinente : il faut evaluer le contrat entre le cabinet comptable et Silae (DPA de sous-traitance ulterieure) et verifier que votre propre contrat avec le cabinet comptable couvre le recours a Silae.

Contrat cabinet-Silae

Exigence Art. 28 Couverture Silae Commentaire
Objet, duree, nature du traitement Oui Defini par les services de paie souscrits
Instructions documentees Oui Silae traite selon les instructions du cabinet
Confidentialite du personnel Oui Engagement de confidentialite des employes Silae
Mesures de securite (Art. 32) Oui Mesures techniques et organisationnelles documentees
Sous-traitants ulterieurs de Silae Oui Liste des eventuels sous-traitants de Silae
Assistance droits des personnes Oui Silae aide le cabinet a repondre aux demandes transmises par le RT
Suppression/restitution en fin de contrat Oui Restitution des donnees et suppression apres resiliation
Audits Oui Rapports de securite disponibles
Transferts hors UE Non applicable Hebergement 100% France

Contrat entreprise-cabinet

C’est souvent le maillon faible. Beaucoup de cabinets comptables ont des lettres de mission qui predatent le RGPD et ne contiennent pas les clauses requises par l’article 28. Verifiez que votre contrat avec le cabinet comptable contient :

  • La description du traitement confie (paie, declarations sociales)
  • Les obligations du cabinet en tant que sous-traitant
  • L’autorisation de recourir a Silae comme sous-traitant ulterieur
  • Les mesures de securite imposees
  • Les modalites d’exercice des droits des salaries
  • Les conditions de restitution et suppression des donnees en fin de contrat

Si votre lettre de mission ne contient pas ces clauses, il est necessaire de la completer par un avenant ou un contrat de sous-traitance separe conforme a l’article 28.

Transferts internationaux et TIA

Hebergement en France

Silae heberge l’integralite des donnees de ses clients en France. L’entreprise etant francaise et specialisee dans la paie francaise, il n’y a aucune raison technique ou commerciale de transferer des donnees hors du territoire national.

C’est le meilleur scenario possible en matiere de transferts internationaux : pas de transfert, pas de TIA necessaire, pas de risque lie au CLOUD Act ou au FISA 702.

Comparaison avec les solutions americaines

Par rapport a BambooHR (hebergement US) ou meme Workday (entreprise US avec centres de donnees EU), Silae offre la situation la plus favorable du point de vue du RGPD pour les transferts. Les donnees de paie de vos salaries francais restent en France, sous juridiction francaise et europeenne, sans aucun acces possible par des autorites de pays tiers.

Flux vers les organismes sociaux

Les donnees transmises par Silae aux organismes sociaux francais (URSSAF, caisses de retraite, mutuelles, prevoyance) via la DSN ne constituent pas des transferts hors UE. Ce sont des transmissions a des destinataires autorises par la loi, fondees sur des obligations legales (Art. 6(1)© du RGPD).

Securite informatique

Les donnees de paie traitees par Silae exigent un niveau de securite maximal. Un bulletin de paie contient simultanement le numero de securite sociale, l’IBAN, le salaire, et potentiellement des informations sur les arrets maladie. Une violation de donnees sur un outil comme Silae aurait des consequences graves pour les salaries concernes.

Mesures de securite

Silae met en oeuvre des mesures de securite adaptees a la sensibilite des donnees traitees :

  • Hebergement securise : centres de donnees en France avec certifications appropriees
  • Chiffrement en transit : TLS pour les communications
  • Chiffrement au repos : chiffrement des donnees stockees
  • Controles d’acces : gestion des droits par cabinet et par dossier client
  • Authentification : controle d’acces securise pour les utilisateurs des cabinets
  • Journalisation : tracabilite des acces et des operations
  • Sauvegardes : plans de sauvegarde et de continuite d’activite

Responsabilite partagee a trois niveaux

La securite dans le schema Silae est une responsabilite partagee a trois niveaux :

  1. Silae est responsable de la securite de l’infrastructure et de l’application.
  2. Le cabinet comptable est responsable de la securite de ses acces a Silae, de la configuration des droits de ses collaborateurs, et de la securite de son propre systeme d’information.
  3. L’entreprise cliente est responsable de la securite des donnees qu’elle transmet au cabinet (par quel canal ? email non chiffre ? plateforme securisee ?).

Un point de vigilance frequent : les donnees de paie sont souvent transmises par email entre l’entreprise et le cabinet comptable. L’envoi de tableaux Excel contenant les variables de paie (salaires, primes, arrets maladie, IBAN) par email non chiffre est une pratique a risque. Privilegiez un portail securise ou un outil de transfert chiffre.

Configuration recommandee

Voici les etapes essentielles pour assurer la conformite RGPD de la chaine entreprise-cabinet-Silae :

  1. Verifier le contrat de sous-traitance avec votre cabinet. Assurez-vous que votre lettre de mission ou un avenant specifique contient les clauses requises par l’article 28 du RGPD. Si le contrat predate mai 2018, il est probablement incomplet.

  2. Verifier l’autorisation de sous-traitance ulterieure. Votre contrat avec le cabinet doit autoriser explicitement (ou generalement avec notification) le recours a Silae comme sous-traitant ulterieur (Art. 28(2)). Demandez a votre cabinet la confirmation ecrite que Silae est utilise et qu’un contrat conforme a l’article 28(4) est en place entre le cabinet et Silae.

  3. Documenter la chaine dans votre registre. Dans votre registre des traitements, identifiez clairement : le traitement (gestion de la paie), le sous-traitant (cabinet comptable), le sous-traitant ulterieur (Silae), les categories de donnees, la base legale (execution du contrat de travail + obligations legales), et les durees de conservation.

  4. Securiser les transferts de donnees vers le cabinet. Ne transmettez jamais de variables de paie par email non chiffre. Utilisez le portail securise de votre cabinet s’il en propose un, ou un outil de transfert de fichiers chiffre. Les donnees transmises incluent des IBAN, des numeros de securite sociale et des informations medicales.

  5. Definir les durees de conservation. Clarifez avec votre cabinet les regles de conservation : bulletins de paie (5 ans minimum cote employeur, recommande 50 ans pour les droits a la retraite), donnees des salaries sortis (archivage puis suppression selon les obligations legales). Assurez-vous que Silae et le cabinet purgent les donnees conformement a ces durees.

  6. Informer les salaries. Votre notice d’information (Art. 13-14 RGPD) doit mentionner que la paie est geree par votre cabinet comptable (sous-traitant) qui utilise Silae (sous-traitant ulterieur). Indiquez les finalites, les categories de donnees, les durees de conservation, et les droits des salaries (droit d’acces, rectification, effacement dans les limites legales).

  7. Organiser la reponse aux droits des salaries. Quand un salarie exerce son droit d’acces, la demande est adressee a l’employeur (RT), qui la transmet au cabinet, qui interroge Silae si necessaire. Ce circuit doit etre organise en amont pour respecter le delai de reponse d’un mois prevu par le RGPD.

  8. Evaluer la necessite d’une AIPD. Pour la simple gestion de la paie, une AIPD n’est generalement pas requise. En revanche, si le cabinet utilise Silae pour un volume important de dossiers (des centaines d’entreprises), la question de l’AIPD se pose du cote du cabinet en tant que sous-traitant traitant des donnees de sante a grande echelle.

Points d’attention specifiques a Silae

Le point aveugle de la chaine de sous-traitance

C’est le risque principal. Beaucoup d’entreprises signent une lettre de mission avec leur cabinet comptable sans jamais se demander quel outil le cabinet utilise pour la paie. Elles ne savent pas que Silae est implique dans le traitement, n’ont pas autorise le recours a un sous-traitant ulterieur, et n’ont pas documente la chaine dans leur registre. C’est une non-conformite frequente et facilement detectable en cas de controle de la CNIL.

Changement de cabinet comptable

Lorsque vous changez de cabinet comptable, les donnees de paie doivent etre transmises de l’ancien cabinet (et donc de l’ancien espace Silae) au nouveau. Ce transfert doit etre encadre : restitution des donnees par l’ancien cabinet, suppression des donnees par l’ancien cabinet dans un delai raisonnable apres la migration, verification de l’integrite des donnees reprises par le nouveau cabinet.

Acces direct du dirigeant a Silae

Certains cabinets comptables donnent un acces direct a Silae au dirigeant de l’entreprise cliente (consultation des bulletins de paie, saisie des variables). Cet acces doit etre documente et securise : mot de passe robuste, acces limite aux seules fonctionnalites necessaires, journalisation.

DSN et traitements automatises

La generation de la DSN par Silae implique des transmissions automatisees de donnees personnelles vers les organismes sociaux (URSSAF, caisses de retraite, mutuelles). Ces transmissions sont fondees sur des obligations legales mais doivent etre documentees dans votre registre des traitements comme transmissions a des destinataires tiers.

Responsabilite en cas de violation de donnees

En cas de violation de donnees impliquant Silae, la chaine de notification est : Silae notifie le cabinet comptable, le cabinet notifie l’entreprise cliente, l’entreprise notifie la CNIL (dans les 72 heures) et les personnes concernees si le risque est eleve. Ce circuit doit etre prevu contractuellement et teste en amont. Le delai de 72 heures court a compter de la connaissance de la violation par le responsable de traitement – pas par Silae.

FAQ

Silae est-il conforme au RGPD ? Oui, Silae est une entreprise francaise, hebergee en France, sans transfert de donnees hors UE. C’est la situation la plus favorable du point de vue des transferts internationaux. Neanmoins, la conformite globale depend de l’ensemble de la chaine : votre contrat avec le cabinet comptable doit etre conforme a l’article 28, le contrat du cabinet avec Silae doit respecter l’article 28(4), et vous devez avoir autorise le recours a Silae comme sous-traitant ulterieur.

Mon employeur peut-il acceder a toutes mes donnees dans Silae ? L’employeur, en tant que responsable de traitement, a un acces legitime aux donnees de paie de ses salaries dans la mesure necessaire a la gestion de l’entreprise. Neanmoins, certaines donnees (motifs medicaux precis des arrets maladie, par exemple) ne doivent pas etre accessibles a tous les acteurs. En tant que salarie, vous disposez d’un droit d’acces a l’ensemble de vos donnees de paie. La demande doit etre adressee a votre employeur, qui la transmettra si necessaire au cabinet comptable.

Mon cabinet comptable a-t-il le droit d’utiliser Silae pour ma paie ? Oui, a condition que votre contrat avec le cabinet (lettre de mission ou avenant) autorise le recours a des sous-traitants ulterieurs. L’article 28(2) du RGPD exige cette autorisation prealable, sous forme specifique (vous autorisez nommement Silae) ou generale (vous autorisez le cabinet a recourir a des sous-traitants avec un mecanisme de notification). Si cette autorisation n’existe pas dans votre contrat, c’est une non-conformite a corriger.

Combien de temps les donnees sont-elles conservees dans Silae ? Les durees de conservation des donnees de paie sont encadrees par le droit du travail et le droit social : bulletins de paie (5 ans minimum pour l’employeur, recommande 50 ans pour les droits a la retraite), registre unique du personnel (5 ans apres le depart du salarie), donnees de declaration sociale (selon les organismes destinataires). Votre cabinet comptable doit appliquer ces durees dans Silae et purger les donnees a l’expiration. Consultez notre guide complet sur la duree de conservation des donnees.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min