TDS
Transparence des Salaires
Conformité croisée
J−28 avant le 7 juin 2026

Directive 2023/970 et RGPD — concilier transparence et protection.

La directive 2023/970 vous oblige à partager des données de rémunération avec les salarié·es, le CSE et l'inspection du travail. Le RGPD vous oblige à les protéger et à minimiser leur traitement. Comment les deux régimes cohabitent — vue pratique pour DRH et DPO.

Mis à jour : mai 2026 · 8 min de lecture · Sources : RGPD (règlement 2016/679), directive 2023/970, lignes directrices CNIL sur les données RH, projet de loi de transposition

TL;DR — les deux régimes en tension apparente

La directive 2023/970 et le RGPD ne s'opposent pas frontalement, mais ils ont des logiques différentes que vous devez articuler :

  • La directive impose la publication de l'indicateur par catégorie + la transmission au CSE + la réponse au droit à l'information individuelle
  • Le RGPD impose la minimisation du traitement, la finalité légitime, et la protection contre les ré-identifications

Bonne nouvelle: l'article 12 §3 de la directive le règle explicitement — « les données à caractère personnel collectées en vertu de la présente directive sont conservées conformément au règlement (UE) 2016/679 ». Les deux régimes coexistent légitimement.

En pratique: la publication se fait sur des catégories agrégées, jamais individuelles. La réponse au droit à l'information est elle aussi agrégée (jamais nominative). Le CSE reçoit des données granulaires mais anonymisées.

Le RGPD et les données de rémunération

Les données de rémunération sont des données personnellesau sens de l'article 4 §1 du RGPD. Elles ne sont pas listées dans les catégories sensibles (art. 9), mais leur traitement engage les principes généraux :

  • Licéité (art. 6) — base juridique : exécution du contrat de travail + obligation légale (la directive 2023/970 et la loi de transposition fournissent cette base)
  • Finalité limitée (art. 5 §1 b) — les données collectées pour la rémunération ne peuvent pas être détournées pour d'autres usages
  • Minimisation (art. 5 §1 c) — pas plus de données que nécessaire
  • Exactitude (art. 5 §1 d) — données à jour
  • Sécurité (art. 32) — chiffrement, contrôle d'accès, journalisation
  • Conservation (art. 5 §1 e) — durée limitée à la finalité (généralement 5 ans après le départ du salarié·e pour les données fiscales/sociales)

La CNIL a publié des lignes directrices spécifiques aux données RH(délibération n° 2019-160) qui s'appliquent intégralement.

Ce que la directive impose explicitement

Quatre obligations de partage de données introduites par la directive :

  1. Publication de l'indicateur d'écart par catégorie (art. L.1142-7 nouveau) — indicateur agrégé, non individuel
  2. Réponse au droit à l'information individuelle (art. L.1142-7) — donne au salarié·e la moyenne de sa catégorie de valeur égale, ventilée par sexe — jamais des données individuelles
  3. Transmission au CSEen cas d'évaluation conjointe (art. 10) — données granulaires possibles, mais anonymisées si la catégorie est petite
  4. Production à l'inspection du travail / au juge sur demande — accès complet aux données pour vérification

Les points de tension à arbitrer

1. Catégories de petite taille

Si une catégorie de valeur égale contient moins de 5 salarié·es de chaque sexe, la publication des moyennes peut permettre une ré-identification (notamment si la catégorie contient un seul·e cadre dirigeant·e). Solution : seuil de taille minimale pour la publication (la directive recommande 3 minimum ; en pratique, viser 10).

2. Variables de contrôle nominales

Pour ventiler l'écart en part justifiable, vous utilisez des variables (ancienneté, niveau, performance). Si ces variables sont trop précises, le croisement permet la ré-identification. Solution : agrégation par tranche (ancienneté en quartiles, performance en 3 niveaux, etc.).

3. Conservation des analyses dans le temps

Pour la traçabilité juridique (charge de la preuve renversée), vous voulez garder les analyses sur 5+ ans. Pour le RGPD, vous devez justifier cette durée. Solution :conservation des analyses agrégées à long terme, mais suppression des données nominatives selon la durée prévue pour les données paie (5 ans après le départ).

4. Sous-traitance par un outil tiers

Si vous utilisez un outil tiers (Figures, nous, etc.) pour produire l'analyse, il devient sous-traitant au sens de l'article 28 RGPD. Solution :contrat de sous-traitance conforme + DPA (Data Processing Agreement) + obligation de localisation UE des serveurs.

Anonymisation : techniques et limites

Anonymisationau sens RGPD = données qui ne permettent plus d'identifier la personne, même en croisant avec d'autres sources.Pseudonymisation= remplacement de l'identifiant direct (nom) par un pseudonyme, mais la ré-identification reste possible avec une clé.

Pour la directive 2023/970, trois techniques sont utiles :

  1. Pseudonymisation — remplacer les noms par des ID internes avant analyse. Permet de retraiter les données pour les corrections individuelles.
  2. k-anonymité — vérifier que chaque combinaison d'attributs (catégorie + tranche d'ancienneté + tranche de performance + localisation) contient au moins k=5 personnes. Si moins, regrouper davantage.
  3. Bruit différentiel — ajouter du bruit statistique aux moyennes publiées pour empêcher la déduction par soustraction. Technique avancée, utile pour les très petites catégories.

Le rôle du DPO dans la mise en conformité

Le Délégué à la Protection des Données (DPO) doit être associé à la mise en conformité directive dès le début. Quatre rôles :

  1. Mise à jour du registre des traitements(art. 30 RGPD) — ajouter les nouveaux traitements liés à la directive (calcul de l'indicateur, réponse au droit à l'information, transmission CSE)
  2. Analyse d'impact (AIPD, art. 35) — recommandée pour les entreprises ≥ 250 salariés. Documente les risques et les mesures.
  3. Information des salarié·es(art. 13-14 RGPD) — mise à jour de la notice d'information employé pour mentionner les nouveaux traitements
  4. Contractualisation avec les sous-traitants — DPA spécifique pour tout outil de calcul ou conseil RH externe

Le DPO doit aussi être l'interlocuteur des salarié·esqui exercent leur droit à l'information — la procédure interne doit le router correctement.

Checklist conformité croisée — 9 points

  1. Registre des traitements à jour avec les nouveaux traitements directive
  2. Notice d'information employé mise à jour (art. 13-14 RGPD)
  3. Analyse d'impact (AIPD) réalisée pour les traitements à risque élevé
  4. Seuil de taille minimale par catégorie publiée (≥ 5, idéalement ≥ 10 par sexe)
  5. Variables de contrôle agrégées par tranche (ancienneté, performance)
  6. Contrats de sous-traitance signés avec les outils tiers (Figures, autres)
  7. Chiffrement et contrôle d'accès des données de rémunération (art. 32 RGPD)
  8. Durée de conservation documentée et appliquée
  9. DPO associé au processus de réponse au droit à l'information

Voir aussi : la charge de la preuve renversée et la traçabilité des données →

Liste prioritaire — 50 places

Accès gratuit à la v1 dès sa mise en service en juin 2026, accompagnement initial 20 min, modèle de lettre RTI sous 24 h.

Rejoindre la liste prioritaireLire le guide complet
Recevez le modèle de lettre droit à l'information

Modèle FR, notes du juriste, checklist conformité. Envoyé par email.