myPrimobox est le coffre-fort numérique par lequel des milliers de salariés reçoivent leurs bulletins de paie dématérialisés. Derrière cette promesse de simplicité se pose une question concrète : comment la plateforme traite-t-elle les données personnelles des collaborateurs, et jusqu’où va réellement la conformité RGPD affichée par Septeo HR Solutions, l’éditeur du service ?
Coffre-fort numérique salarié et RGPD : qui est responsable de quoi ?
Un point rarement explicité dans les pages d’assistance de myPrimobox concerne la répartition des responsabilités. L’entreprise employeuse reste le responsable de traitement au sens du RGPD : c’est elle qui décide de dématérialiser la paie et de confier les documents à un prestataire. Septeo HR Solutions, éditeur de Primobox, agit comme sous-traitant.
A découvrir également : Protection des données : objectif, enjeux et importance à connaître
Cette distinction change beaucoup de choses pour le salarié. En cas de problème (accès non autorisé, conservation excessive, erreur dans les documents), c’est d’abord vers l’employeur qu’il faut se tourner. Septeo doit fournir les garanties techniques, mais la responsabilité juridique repose sur l’entreprise cliente.
La politique de protection des données publiée par Primobox mentionne la mise en place de « mesures techniques et organisationnelles » pour assurer la confidentialité. La formulation reste générale. On ne trouve pas, dans les documents publics, de détail sur le type de chiffrement appliqué au coffre-fort, ni sur les certifications obtenues par les data centers utilisés.
Lire également : Protection des données et confidentialité : tout ce qu'il faut savoir
Traçabilité des documents dans myPrimobox : ce que la plateforme permet vraiment
La traçabilité est un argument commercial fort pour les solutions de coffre-fort numérique. Sur myPrimobox, chaque document déposé (bulletin de paie, contrat, attestation) est horodaté et rattaché au compte du salarié. Le salarié peut consulter ses fichiers, les télécharger, vérifier les dates de dépôt.
En revanche, les données disponibles ne permettent pas de conclure sur un point précis : le salarié dispose-t-il d’un journal d’accès détaillé montrant qui a consulté ses documents et quand ? Ce type de traçabilité fine, courant dans les coffres-forts certifiés NF Z42-020, n’est pas documenté publiquement pour myPrimobox.
Authentification et accès au coffre-fort
myPrimobox propose une double authentification (MFA) que le salarié peut activer ou désactiver depuis son espace. C’est un mécanisme de sécurité devenu standard dans les environnements RH manipulant des données sensibles. La tendance depuis quelques années est la généralisation du MFA par application mobile dans les portails métiers de ce type.
Le fait que cette fonctionnalité soit optionnelle et non imposée par défaut pose question. Un salarié qui ne l’active pas accède à ses bulletins de paie avec un simple mot de passe, ce qui reste un niveau de protection modeste pour des documents contenant des informations financières personnelles.
Transferts de données hors UE et sous-traitants en cascade
Depuis l’adoption du EU-US Data Privacy Framework en juillet 2023, les transferts de données vers des sous-traitants américains ne sont plus soumis aux mêmes contraintes qu’après l’arrêt Schrems II. Les retours terrain divergent sur ce point : certains éditeurs considèrent que le cadre est stabilisé, d’autres maintiennent des clauses contractuelles types par prudence.
Pour un service comme myPrimobox, la question des flux de données est particulièrement sensible. Le processus de dématérialisation de la paie implique plusieurs maillons :
- Le logiciel de paie de l’entreprise, qui génère les bulletins et les transmet à Primobox
- L’hébergeur des coffres-forts numériques, dont la localisation géographique conditionne le régime juridique applicable
- Les outils de signature électronique ou d’horodatage éventuellement utilisés en amont
- Les mécanismes de sauvegarde et d’archivage longue durée, potentiellement chez un tiers
La politique de Primobox indique que les données ne sont pas transférées hors de l’Union européenne sans mécanisme adéquat. La formulation reste conditionnelle. L’entreprise cliente devrait vérifier, dans son registre RGPD, la liste complète des sous-traitants en cascade utilisés par Septeo HR Solutions pour le traitement des documents de ses collaborateurs.
Droits RGPD du salarié sur myPrimobox : exercice et limites
La page d’assistance de myPrimobox consacrée aux droits RGPD oriente le salarié vers un formulaire de contact pour exercer ses droits d’accès, de rectification, de suppression ou de portabilité. Ce circuit est conforme au cadre réglementaire.
Quelques zones grises méritent attention. Le droit à la suppression se heurte aux obligations légales de conservation des bulletins de paie. Un employeur doit conserver ces documents pendant plusieurs années, ce qui limite la possibilité pour le salarié de demander l’effacement de son coffre-fort tant que ces délais courent.
Suppression de compte et portabilité
myPrimobox permet au salarié de demander la suppression de son compte. La procédure passe par le support, pas par un bouton en libre-service. Ce choix de design, courant dans les solutions B2B, peut ralentir l’exercice effectif du droit à l’effacement.
La portabilité des données, elle, soulève une question pratique : le salarié peut télécharger ses documents un par un, mais aucune fonctionnalité d’export groupé n’est documentée publiquement. Pour un collaborateur ayant accumulé plusieurs années de bulletins de paie, l’opération peut devenir fastidieuse.
Conformité RGPD de myPrimobox : ce qui reste à documenter
Septeo HR Solutions affiche un engagement clair en matière de protection des données. La politique publiée couvre les bases : finalités de traitement, durées de conservation, destinataires. L’entreprise répond aux obligations formelles du RGPD.
Ce qui manque dans la communication publique de Primobox relève du niveau de preuve :
- Absence de mention d’une certification spécifique du coffre-fort numérique (NF Z42-020 ou équivalent)
- Pas de publication d’un registre de sous-traitants accessible aux utilisateurs finaux
- Aucun rapport d’audit de sécurité ou de test d’intrusion rendu public
Ces éléments ne signifient pas que la solution est défaillante. Ils indiquent que le salarié doit s’en remettre aux vérifications de son employeur pour évaluer le niveau réel de protection. L’entreprise cliente, en tant que responsable de traitement, a l’obligation de s’assurer que son sous-traitant offre des garanties suffisantes. Le salarié, lui, n’a pas d’accès direct à ces preuves.
La gestion des données personnelles dans un outil de dématérialisation de la paie comme myPrimobox repose sur une chaîne de confiance. Septeo HR Solutions pose un cadre, l’employeur le valide, le salarié l’utilise. La solidité de l’ensemble dépend du maillon le moins rigoureux, et ce maillon n’est pas toujours celui qu’on soupçonne.
