Les coffres-forts numériques RH comme MyPeopleDoc (souvent recherché sous le nom Mydocpeople) centralisent bulletins de paie, contrats et attestations dans un espace dématérialisé. Pour le salarié, la promesse est simple : retrouver ses documents à tout moment, en toute sécurité. La réalité de la confidentialité des données sur ces plateformes mérite un examen plus précis, notamment sur la gouvernance des accès et les droits effectifs des utilisateurs.
Gouvernance des accès sur Mydocpeople : qui peut consulter vos documents RH
La plupart des articles traitant de la confidentialité RH se concentrent sur le chiffrement ou le stockage. Le point aveugle, c’est la séparation des privilèges d’accès au sein même de l’entreprise. Un coffre-fort numérique ne protège rien si trois services différents peuvent ouvrir vos fiches de paie sans justification.
A lire également : Données d'entreprise : obtenir les informations essentielles pour l'analyse des données
Sur une plateforme comme MyPeopleDoc, les droits d’accès sont censés être segmentés par profil. Un gestionnaire paie n’a pas les mêmes permissions qu’un responsable formation ou qu’un directeur administratif. En pratique, la granularité de ces droits dépend entièrement du paramétrage réalisé par l’entreprise lors du déploiement.
Les retours terrain divergent sur ce point. Certaines organisations configurent des accès très restrictifs, document par document. D’autres attribuent des droits larges à l’ensemble du service RH par commodité, ce qui revient à ouvrir le coffre à une dizaine de personnes. Le salarié, lui, n’a généralement aucune visibilité sur la liste des personnes ayant consulté ses fichiers.
A lire également : Gozmap et protection de vos données personnelles : ce que vous devez savoir
Ce que vous pouvez vérifier en tant que salarié
Le RGPD vous donne le droit de demander à votre employeur quelles catégories de personnes ont accès à vos données personnelles. Cette demande se formule par écrit, auprès du service RH ou du délégué à la protection des données (DPO) de votre entreprise.
- Demandez la liste des profils habilités à consulter vos bulletins de paie et contrats sur la plateforme
- Interrogez votre DPO sur l’existence d’un journal d’accès (log) traçant les consultations de vos documents
- Vérifiez si vos documents restent accessibles après un changement de poste interne ou un transfert de service
L’employeur dispose d’un mois pour répondre à une demande d’accès. L’absence de réponse constitue un manquement que vous pouvez signaler à la CNIL.
Mydocpeople et RGPD : les droits concrets du salarié sur ses données
Le coffre-fort numérique RH n’est pas un espace dont l’entreprise est propriétaire exclusive. Le salarié conserve ses droits RGPD sur chaque document qui le concerne, y compris le droit d’accès, de rectification et de portabilité.
Un point souvent négligé : ces droits ne s’éteignent pas avec la fin du contrat de travail. Si votre entreprise utilise MyPeopleDoc et que vous quittez la société, vos bulletins de paie et documents archivés restent soumis au RGPD. Vous pouvez demander leur téléchargement ou leur suppression, dans les limites des obligations légales de conservation imposées à l’employeur.
Finalité et proportionnalité de la collecte
La CNIL rappelle que les données des salariés doivent être collectées pour des finalités déterminées, explicites et légitimes. Un coffre-fort RH qui stockerait des informations sans lien avec la gestion du personnel (données de santé non nécessaires, informations familiales excessives) pourrait être en infraction.
Le principe de proportionnalité impose aussi une limite temporelle. Conserver un bulletin de paie pendant la durée légale est normal. Garder une copie de votre pièce d’identité dix ans après votre départ ne l’est pas forcément. L’entreprise doit définir des durées de conservation pour chaque catégorie de document, et les appliquer effectivement dans la plateforme.
Sécurité du coffre-fort numérique : ce que la plateforme protège et ce qu’elle ne protège pas
MyPeopleDoc, comme d’autres solutions de gestion documentaire RH, met en avant le chiffrement des fichiers et l’hébergement sécurisé. Ces mesures techniques protègent contre les intrusions extérieures, le vol de serveur ou l’interception de données en transit.
En revanche, le chiffrement ne protège pas contre un accès interne abusif. Si un collaborateur RH disposant de droits légitimes consulte votre dossier sans motif professionnel valable, aucun mécanisme technique standard ne l’en empêche. Seule une politique interne de traçabilité et de contrôle des accès peut limiter ce risque.
Les réglages indispensables côté entreprise
La sécurité réelle d’un coffre-fort numérique RH repose moins sur la technologie de la plateforme que sur les choix de paramétrage de l’entreprise :
- Attribution des droits d’accès au niveau le plus fin possible (par type de document, pas par service entier)
- Activation des journaux d’accès permettant de savoir qui a ouvert quel document et quand
- Revue périodique des habilitations, notamment lors des départs ou mobilités internes du personnel RH
- Mise en place d’une procédure de purge automatique à l’expiration des durées légales de conservation
Sans ces réglages, le coffre-fort numérique offre une protection de façade. Les documents sont stockés de manière sécurisée, mais accessibles à un cercle trop large.
Recours du salarié en cas d’accès injustifié à ses documents RH
Si vous suspectez qu’un document personnel a été consulté sans motif légitime, plusieurs options existent. La première étape consiste à adresser une demande écrite au DPO de l’entreprise, en demandant communication du journal des accès relatif à vos fichiers.
En cas de refus ou d’absence de réponse sous un mois, vous pouvez déposer une plainte auprès de la CNIL. La commission peut diligenter un contrôle et, si le manquement est avéré, prononcer des sanctions. Le salarié n’a pas besoin de prouver un préjudice pour exercer son droit d’accès : la simple demande suffit.
Le droit du travail complète le dispositif. Un accès abusif à des données personnelles par un membre du personnel peut constituer une faute disciplinaire. Dans les cas les plus graves (divulgation de données de santé, transmission à un tiers non autorisé), des poursuites pénales sont envisageables sur le fondement de l’atteinte aux données personnelles.
La confidentialité de vos documents sur Mydocpeople dépend autant du paramétrage choisi par votre employeur que de la plateforme elle-même. Exercer vos droits d’accès RGPD reste le moyen le plus direct de vérifier qui consulte réellement vos bulletins de paie, et sur quelle base.
