Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/Workday et RGPD : guide de conformite 2026
RGPD

Workday et RGPD : guide de conformite 2026

Workday est-il conforme au RGPD ? Analyse du DPA, des transferts, de la securite et obligations employeur.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : Workday comme sous-traitant
  2. Analyse du DPA Workday
  3. Transferts internationaux et TIA
  4. Securite informatique
  5. Configuration recommandee
  6. Points d’attention specifiques a Workday
  7. FAQ

Workday est une plateforme enterprise de gestion du capital humain (HCM), de la paie, de la finance et du planning, fondee en 2005 a Pleasanton (Californie). C’est la solution de reference pour les grandes entreprises : de nombreuses societes du CAC 40, des ETI internationales et des administrations utilisent Workday pour centraliser la gestion de leurs effectifs. La plateforme couvre un spectre fonctionnel tres large : gestion du personnel, recrutement, gestion des talents, formation, paie multi-pays, gestion financiere, planning et analytics RH.

Du point de vue du RGPD, Workday presente un profil specifique. D’un cote, c’est une entreprise americaine soumise au CLOUD Act, ce qui souleve les memes questions de transferts internationaux que pour BambooHR. De l’autre, Workday a une maturite de conformite incomparable avec une PME SaaS : centres de donnees europeens (Dublin, Francfort, Amsterdam), DPA negociable, certifications multiples (ISO 27001, SOC 1, SOC 2, CSA STAR), et des equipes dediees a la protection des donnees qui dialoguent quotidiennement avec des DPO d’entreprises du Fortune 500.

Le resultat est un outil utilisable en conformite avec le RGPD, mais dont la complexite des flux de donnees exige une documentation rigoureuse. C’est ce que ce guide detaille.

Consultez egalement nos analyses de PayFit et RGPD, Personio et RGPD, BambooHR et RGPD et Silae et RGPD, ainsi que notre guide RGPD par outil et notre page dediee au RGPD et ressources humaines.

Qualification juridique : Workday comme sous-traitant

Lorsque vous utilisez Workday pour la gestion de vos ressources humaines, Workday agit en qualite de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise est le responsable de traitement : c’est vous qui determinez les finalites (gestion du personnel, paie, recrutement, talent management, planning) et les moyens essentiels du traitement.

Complexite des flux dans un environnement enterprise

La qualification de Workday comme sous-traitant est claire pour les fonctionnalites principales. Neanmoins, dans un environnement enterprise, les flux de donnees sont plus complexes qu’avec un outil PME :

  • Multi-entites : Workday gere souvent les donnees de salaries repartis dans plusieurs entites juridiques, plusieurs pays. Chaque entite peut etre responsable de traitement pour ses propres salaries.
  • Integrations : Workday est rarement utilise seul. Il est connecte a des outils de paie locaux, des ERP, des outils de formation, des plateformes de recrutement. Chaque integration cree un flux de donnees a documenter.
  • Analytics et reporting : les modules de Workday Analytics et Prism Analytics traitent des donnees agregees pour des finalites de pilotage RH. Ces traitements doivent etre documentes separement.

Categories de donnees traitees

Workday centralise potentiellement l’ensemble des donnees RH d’une organisation :

  • Donnees d’identite : nom, prenom, date de naissance, nationalite, numero de securite sociale, photo, piece d’identite
  • Donnees de contact : adresse, email, telephone (professionnel et personnel)
  • Donnees bancaires : IBAN, coordonnees bancaires pour la paie
  • Donnees de remuneration : salaire, primes, stock-options, avantages, historique complet de remuneration
  • Donnees de sante : arrets maladie, accidents du travail, handicap (RQTH), aptitude medicale
  • Donnees familiales : situation matrimoniale, personnes a charge, conges parentaux
  • Donnees contractuelles : contrat, poste, classification, historique de mobilite, anciennete
  • Donnees de carriere : evaluations de performance, objectifs, plans de succession, formation, competences
  • Donnees de recrutement : CV, candidatures, notes d’entretien, offres
  • Donnees financieres : notes de frais, cartes corporate, budgets RH

Personnes concernees : salaries, anciens salaries, candidats, interimaires, prestataires externes, stagiaires.

La CNIL a rappele dans sa sanction de 32 millions d’euros contre Amazon France Logistique (2024) que le traitement de donnees RH a grande echelle, combine a des systemes de suivi de la performance, peut constituer une surveillance excessive des salaries. Les organisations utilisant Workday pour du talent analytics doivent etre particulierement vigilantes.

Documentez chaque activite de traitement dans votre registre avec sa base legale specifique.

Analyse du DPA Workday

Le DPA de Workday est un document enterprise negociable, ce qui est une difference majeure avec les DPA click-through des solutions PME. Les grandes organisations peuvent negocier des clauses specifiques adaptees a leurs exigences reglementaires.

Exigence Art. 28 Couverture Workday Commentaire
Objet, duree, nature du traitement Oui Detaille par module et par service souscrit
Instructions documentees du RT Oui Workday traite exclusivement sur instructions documentees
Confidentialite du personnel Oui Engagement de confidentialite des employes et sous-traitants
Mesures de securite (Art. 32) Oui Annexe securite tres detaillee, mesures techniques et organisationnelles
Sous-traitants ulterieurs Oui Liste publiee, notification prealable avec delai d’objection
Assistance droits des personnes Oui Outils integres pour l’exercice des droits (export, suppression)
Suppression/restitution en fin de contrat Oui Export complet des donnees et suppression certifiee
Audits Oui Rapports SOC 1, SOC 2, ISO 27001 + possibilite d’audit negocie
Transferts hors UE Oui DPF + CCT + mesures supplementaires documentees

Points forts du DPA Workday : c’est l’un des DPA les plus complets du marche SaaS. La description des mesures de securite est exhaustive. Les modalites d’audit sont plus flexibles que chez la plupart des editeurs : au-dela des rapports de certification, Workday accepte des discussions d’audit detaillees avec les equipes securite. Pour les organisations soumises a des exigences reglementaires specifiques (secteur financier, sante), des clauses supplementaires sont negociables.

Point d’attention : la complexite du DPA Workday reflete la complexite de la plateforme. Assurez-vous que le perimetre du DPA couvre effectivement tous les modules que vous utilisez. Certains modules additionnels ou integrations peuvent necessiter des addendums specifiques.

Transferts internationaux et TIA

Hebergement des donnees

Workday propose des centres de donnees dans l’Union europeenne : Dublin (Irlande), Francfort (Allemagne) et Amsterdam (Pays-Bas). Les clients europeens peuvent choisir d’heberger leurs donnees dans ces centres, ce qui limite considerablement les transferts vers les Etats-Unis.

C’est une difference significative avec BambooHR qui n’offre pas d’option de residence europeenne. Avec Workday, le flux principal de donnees peut rester dans l’UE.

Risques residuels

Meme avec un hebergement europeen, Workday reste une entreprise americaine. Les risques suivants subsistent :

  1. CLOUD Act : le gouvernement americain peut theoriquement exiger l’acces aux donnees detenues par Workday, y compris celles stockees en Europe. L’Executive Order 14086 et le mecanisme de recours prevu par le DPF sont censes attenuer ce risque, mais leur effectivite fait debat.

  2. Acces administratif depuis les Etats-Unis : les equipes de support et d’ingenierie de Workday basees aux Etats-Unis peuvent avoir un acces technique aux donnees hebergees en Europe pour des raisons de maintenance. Ce flux constitue un transfert au sens du RGPD.

  3. Sous-traitants ulterieurs : certains sous-traitants ulterieurs de Workday peuvent etre situes aux Etats-Unis. Verifiez la liste et les garanties associees.

Mecanismes de transfert

Workday s’appuie sur :

  1. EU-US Data Privacy Framework (DPF) : Workday est certifie au DPF.
  2. Clauses contractuelles types (CCT) : integrees au DPA comme mecanisme supplementaire.
  3. Mesures supplementaires : chiffrement, controles d’acces, procedures de reponse aux demandes gouvernementales documentees.

TIA : necessaire mais structuree

Une analyse d’impact sur les transferts reste necessaire pour documenter votre evaluation des risques. Neanmoins, la TIA pour Workday est plus favorable que pour BambooHR : hebergement europeen disponible, certifications multiples, DPA negociable, equipes conformite dediees. Documentez votre TIA et conservez-la avec votre registre des traitements.

Securite informatique

Workday dispose du profil de securite le plus robuste parmi les outils analyses dans cette serie d’articles. C’est coherent avec le positionnement enterprise de la plateforme.

Certifications

  • ISO 27001 : systeme de management de la securite de l’information
  • SOC 1 Type II : controles relatifs aux traitements financiers
  • SOC 2 Type II : controles de securite, disponibilite, integrite, confidentialite
  • CSA STAR : certification Cloud Security Alliance pour la securite cloud
  • FedRAMP : certification pour les agences gouvernementales americaines (atteste d’un niveau de securite tres eleve)

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications
  • Chiffrement au repos : AES-256 pour les donnees stockees
  • Gestion des cles : separation des cles de chiffrement, option de Customer-Managed Encryption Keys (CMEK)
  • Controles d’acces : modele RBAC granulaire, segregation des fonctions
  • Authentification : SSO (SAML 2.0, OpenID Connect), MFA, integration avec les principaux fournisseurs d’identite
  • Journalisation : logs d’audit complets, detection des anomalies
  • Tests de securite : programme de bug bounty, tests de penetration reguliers par des tiers
  • Continuite d’activite : infrastructure geo-redondante, RPO/RTO documentes

Customer-Managed Encryption Keys

Workday propose une option de cles de chiffrement gerees par le client (CMEK). Si vous activez cette option, Workday ne peut pas dechiffrer vos donnees sans votre cle. C’est une mesure supplementaire significative dans le contexte des transferts internationaux et du CLOUD Act : meme en cas de demande d’acces gouvernementale, les donnees resteraient chiffrees sans la cle que vous controlez.

Configuration recommandee

Voici les etapes pour configurer Workday en conformite avec le RGPD dans un environnement enterprise :

  1. Negocier et signer le DPA. Dans un contexte enterprise, le DPA doit etre negocie avec les equipes juridiques de Workday. Integrez les clauses specifiques a vos exigences reglementaires (secteur financier, sante, etc.). Archivez le DPA signe avec votre documentation article 28.

  2. Choisir l’hebergement europeen. Selectionnez un centre de donnees europeen (Dublin, Francfort ou Amsterdam) pour minimiser les transferts hors UE. C’est la premiere mesure de conformite a mettre en place.

  3. Realiser et documenter une TIA. Meme avec un hebergement europeen, documentez votre analyse d’impact sur les transferts pour les acces residuels depuis les Etats-Unis. Evaluez l’activation des CMEK comme mesure supplementaire.

  4. Configurer le modele d’acces RBAC. Workday dispose d’un modele de roles et permissions tres granulaire. Exploitez-le pleinement : definissez des profils separes pour les RH centraux, les RH locaux, les managers, les responsables paie, les auditeurs, les collaborateurs. Le principe de minimisation impose que chaque profil n’accede qu’aux donnees strictement necessaires.

  5. Activer le SSO et le MFA. Integrez Workday avec votre fournisseur d’identite (Azure AD, Okta, Ping) via SAML 2.0. Activez le MFA pour tous les utilisateurs. Desactivez l’authentification par mot de passe natif.

  6. Configurer les durees de conservation. Definissez les politiques de retention par type de donnee : bulletins de paie (5 ans minimum), contrats (5 ans apres fin de relation), donnees de candidats (2 ans), evaluations de performance (duree proportionnee). Workday permet de configurer des regles de purge automatiques. Consultez notre guide sur les durees de conservation.

  7. Documenter dans le registre des traitements. La complexite de Workday implique de documenter de nombreux traitements distincts dans votre registre : gestion du personnel, paie (par pays si multi-pays), recrutement, talent management, formation, analytics RH, notes de frais. Chacun avec sa base legale et ses durees de conservation.

  8. Informer les salaries. Redigez une notice d’information complete mentionnant Workday comme sous-traitant, les categories de donnees traitees, les finalites, les transferts eventuels vers les Etats-Unis et les droits des personnes (droit d’acces, rectification, effacement).

  9. Realiser une AIPD. Pour un deploiement Workday enterprise avec des modules d’evaluation des performances, de talent analytics et de workforce planning, une AIPD est vraisemblablement obligatoire. L’evaluation systematique de salaries a grande echelle figure dans les criteres de la CNIL.

  10. Mettre en place une gouvernance des integrations. Documentez chaque integration entre Workday et vos autres outils (ERP, paie locale, formation, recrutement). Chaque flux de donnees doit etre identifie, chaque sous-traitant reference dans le registre.

Points d’attention specifiques a Workday

Complexite des flux de donnees

Workday est rarement un outil isole. Il est integre a un ecosysteme complexe : outils de paie locaux (comme Silae en France), ERP financier, plateformes de formation (LMS), outils de recrutement, portails employes. Chaque integration cree un flux de donnees personnelles qui doit etre documente dans votre registre des traitements. C’est un exercice considerable dans un environnement enterprise multi-pays.

Talent Analytics et profilage

Les modules Workday Analytics et Prism Analytics permettent des analyses sophistiquees des donnees RH : prediction du turnover, analyse des competences, workforce planning. Ces traitements peuvent constituer du profilage au sens de l’article 22 du RGPD. Si des decisions affectant significativement les salaries sont prises ou influencees par ces analyses (promotion, mobilite, licenciement), les obligations de l’article 22 s’appliquent : information, droit d’obtenir une intervention humaine, droit de contester la decision.

Paie multi-pays

Si vous utilisez Workday pour la paie en France, assurez-vous que le module couvre les specificites du droit social francais : conventions collectives, DSN, calcul des cotisations sociales, mutuelle obligatoire, prevoyance. Workday propose des modules de paie adaptes par pays, mais leur maturite varie. Certaines organisations combinent Workday (HCM global) avec un outil de paie francais local comme PayFit ou Silae.

Decommissionnement et portabilite

En cas de changement de SIRH, le volume de donnees stockees dans Workday rend la portabilite complexe. Negociez en amont les conditions d’export (formats, delais) et de suppression certifiee des donnees. L’article 28(3)(g) du RGPD impose au sous-traitant de supprimer ou restituer les donnees en fin de contrat.

FAQ

Workday est-il conforme au RGPD ? Oui, Workday dispose des certifications et des mecanismes necessaires pour une utilisation conforme au RGPD : centres de donnees europeens, DPA negociable et complet, certifications ISO 27001 et SOC 2, certification DPF pour les transferts, option de cles de chiffrement gerees par le client. La complexite reside dans la configuration et la documentation : un deploiement Workday enterprise implique des dizaines de traitements a documenter, des flux de donnees complexes et des integrations multiples.

Mon employeur peut-il acceder a toutes mes donnees dans Workday ? Non. Workday dispose d’un modele de controle d’acces granulaire (RBAC) qui permet de restreindre precisement les acces par role. Le service RH accede aux donnees de gestion du personnel, le service paie aux donnees salariales, les managers aux informations de gestion de leur equipe. Vos donnees bancaires, votre numero de securite sociale et vos informations medicales ne doivent etre accessibles qu’aux personnes strictement habilitees. En tant que salarie, vous disposez d’un droit d’acces a l’ensemble de vos donnees dans Workday.

Faut-il une AIPD pour Workday ? Dans un deploiement enterprise typique, oui. L’utilisation de Workday pour l’evaluation systematique des performances, le talent analytics, le workforce planning et la gestion de donnees de sante a grande echelle remplit plusieurs criteres necessitant une AIPD selon la CNIL. Une TIA (Transfer Impact Assessment) est egalement necessaire si des donnees sont accessibles depuis les Etats-Unis, meme avec un hebergement europeen.

Workday transfere-t-il les donnees hors de l’UE ? Workday propose des centres de donnees europeens (Dublin, Francfort, Amsterdam) qui permettent de stocker les donnees dans l’UE. Neanmoins, en tant qu’entreprise americaine, des transferts residuels peuvent exister : acces de support depuis les Etats-Unis, sous-traitants ulterieurs americains. Workday est certifie au DPF et integre les CCT dans son DPA. L’option de cles de chiffrement gerees par le client (CMEK) constitue une mesure supplementaire significative. Comparez avec PayFit ou Personio qui, etant des entreprises europeennes, eliminent cette problematique.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min