La donnée RH est l’une des plus sensibles de l’entreprise. Elle touche à l’identité, à la rémunération, aux évaluations, aux souhaits d’évolution. Elle est encadrée par le RGPD, surveillée par la CNIL, et engagée dans des obligations légales croissantes. Pourtant, dans beaucoup d’entreprises, personne ne sait vraiment qui en est responsable. La DRH pense que c’est la DSI. La DSI pense que c’est la DRH. Et c’est ce flou qui expose l’entreprise.

Clarifier ce partage des rôles n’est pas un exercice théorique. C’est une condition opérationnelle pour que la donnée RH soit à la fois protégée, fiable et exploitable.

Ce que porte la DRH

La DRH est responsable du sens donné aux données RH. C’est elle qui définit quelles informations sont collectées, dans quel but, pendant combien de temps, et qui peut y accéder selon quel rôle.

En pratique, cela couvre :

  • La définition des finalités de traitement (conformité RGPD)
  • Les durées de conservation des données collaborateurs et candidats
  • La gestion des droits d’accès selon les rôles métier (qui voit quoi)
  • La conduite du changement pour que les données soient saisies et mises à jour correctement
  • La réponse aux droits des collaborateurs (accès, rectification, effacement)

Ce que porte la DSI

La DSI est responsable de la sécurité technique et de l’intégrité des données. Elle garantit que les systèmes qui stockent et traitent la donnée RH sont fiables, sécurisés et conformes aux exigences techniques du RGPD.

En pratique, cela couvre :

  • La sécurité des accès et l’authentification (SSO, MFA)
  • Le chiffrement des données sensibles au repos et en transit
  • La traçabilité des accès et des modifications (logs)
  • L’évaluation des risques liés aux prestataires et aux intégrations (en lien avec le RGPD et la gestion du SIRH)
  • La continuité de service et la gestion des incidents de sécurité

Ce qui appartient aux deux

Certains sujets ne peuvent pas être tranchés par une seule direction. Ils nécessitent une décision conjointe et un suivi partagé.

  • Le choix et l’évaluation des solutions SIRH et de leurs sous-traitants
  • La gestion des habilitations : la DRH définit qui doit voir quoi, la DSI implémente techniquement
  • La réponse aux incidents impliquant des données RH (fuite, accès non autorisé)
  • Le paramétrage de l’IA dans le SIRH : la DRH valide les usages, la DSI contrôle les modèles (voir notre article sur la réglementation européenne sur l’IA)

Comment structurer ce partage dans la durée

Une bonne gouvernance des données RH ne repose pas sur une répartition figée des responsabilités. Elle repose sur un dialogue régulier entre DRH et DSI, formalisé dans une organisation claire.

Quelques repères concrets :

  • Désigner un interlocuteur RH référent sur les sujets données, en lien direct avec le DPO
  • Intégrer la DSI dès la phase de cadrage de tout projet SIRH, pas en fin de parcours
  • Revoir régulièrement les habilitations (départs, changements de rôle, nouvelles fonctions)
  • S’appuyer sur la collaboration DRH–DSI comme cadre de référence pour tous les arbitrages liés au SIRH

Conclusion

La gouvernance des données RH n’est pas un sujet IT. Ce n’est pas non plus un sujet RH. C’est un sujet partagé, qui nécessite que les deux directions parlent le même langage et travaillent avec les mêmes règles du jeu.

Les entreprises qui l’ont structuré correctement ne le font plus par obligation réglementaire. Elles le font parce que ça leur permet de prendre de meilleures décisions, plus vite, avec des données en lesquelles elles ont confiance.

Encart Article Crosstalent - Voir l'IA en vrai

Foire aux questions

La responsabilité est partagée. La DRH porte la conformité des usages et la légitimité des traitements. La DSI porte la sécurité technique et la protection des systèmes. Le DPO coordonne les deux dans le cadre du RGPD.

Des sanctions réglementaires (CNIL), des fuites de données sensibles, une perte de confiance des collaborateurs et des décisions RH basées sur des informations incomplètes ou incorrectes.