Le paradoxe que chaque DRH connaît
Vous avez besoin de données pour anticiper les départs, détecter le désengagement, cartographier les compétences. Mais chaque nouvelle source de données RH déclenche la même question : est-ce conforme au RGPD ?
La CNIL l'a formulé sans détour dans son analyse des people analytics : la collecte massive de données comportementales — emails analysés, temps de connexion tracké, interactions mesurées — constitue une « fuite en avant du management par les données ». Le risque n'est pas théorique. En 2024, la CNIL a sanctionné Amazon France Logistique de 32 millions d'euros pour surveillance excessive des salariés via des scanners mesurant inactivité et rapidité d'exécution.
Le problème n'est pas de vouloir des données. C'est la manière dont on les collecte.
Pourquoi les approches classiques coincent
Les plateformes de people analytics traditionnelles fonctionnent sur un modèle d'extraction passive : elles agrègent des traces numériques (connexions, interactions, temps passé) et en déduisent des indicateurs. Le collaborateur ne sait pas toujours quelles données sont collectées, ni comment elles sont utilisées.
Ce modèle heurte trois principes fondamentaux du RGPD :
La minimisation des données (article 5.1.c). Les plateformes qui aspirent l'ensemble des métadonnées de collaboration collectent bien plus que ce qui est nécessaire à l'objectif déclaré. Un tableau de bord d'engagement n'a pas besoin de savoir à quelle heure un salarié envoie ses emails.
La transparence (articles 12-14). Quand un collaborateur ne comprend pas ce qui est mesuré, le consentement perd son sens. Et sans transparence, la confiance s'effondre — ce qui biaise précisément les données que vous cherchez à collecter.
La limitation des finalités (article 5.1.b). Des données collectées pour « améliorer la collaboration » finissent souvent dans des reportings de performance individuelle. Le glissement est progressif, rarement intentionnel, mais toujours problématique.
Résultat : les DRH se retrouvent face à un choix binaire apparent. Soit collecter massivement et risquer la non-conformité. Soit renoncer aux analytics et piloter à l'aveugle.
Une troisième voie : la donnée déclarée et consentie
Il existe une approche qui réconcilie people analytics et RGPD par conception. Elle repose sur un principe que la CNIL elle-même recommande : la collecte directe auprès des personnes concernées, avec un consentement éclairé et une finalité explicite.
Concrètement, cela signifie remplacer l'extraction passive par des conversations individuelles. Pas des surveys figés avec 47 questions identiques pour tout le monde — des échanges adaptatifs qui s'ajustent en temps réel à ce que le collaborateur exprime.
La différence est structurelle :
| Extraction passive | Collecte conversationnelle |
|---|---|
| Données comportementales déduites | Données déclarées volontairement |
| Consentement implicite (souvent flou) | Consentement explicite à chaque échange |
| Finalité large et évolutive | Finalité définie et communiquée |
| Collaborateur objet de mesure | Collaborateur acteur de la donnée |
| Biais de conformité sociale faible mais biais de représentativité fort | Taux de participation élevé quand la confiance est établie |
Cette approche produit ce qu'on appelle des données chaudes : des signaux qualitatifs, contextualisés, exprimés dans les mots du collaborateur. Moins de volume, plus de signal.
Ce que ça change pour la conformité
Quand la donnée est déclarée et non extraite, plusieurs points de friction RGPD disparaissent :
Base légale clarifiée. Le consentement est explicite et renouvelé à chaque conversation. Pas besoin d'invoquer l'intérêt légitime — base juridique souvent contestée pour les analytics RH.
Minimisation native. Vous ne collectez que ce que le collaborateur choisit de partager. Pas de métadonnées comportementales superflues.
Droit d'accès et de rectification simplifiés. Le collaborateur sait exactement ce qu'il a dit. L'anonymisation au niveau agrégé protège l'identité dans les reportings, tout en permettant l'accès individuel sur demande.
Hébergement maîtrisé. Les conversations traitées et stockées en Union européenne éliminent les questions de transfert de données hors UE — un sujet que l'arrêt Schrems II a rendu critique pour les plateformes hébergées aux États-Unis.
Ce que ça donne à grande échelle
Un retailer global de 90 000+ collaborateurs répartis dans plus de 40 pays a testé cette approche. Le contexte : des entretiens de sortie par formulaire avec moins de 15 % de complétion, des données inexploitables, et zéro visibilité sur les raisons réelles de départ dans les magasins.
En remplaçant les formulaires par des conversations individuelles adaptatives — multilingues, accessibles sur mobile, avec anonymisation des verbatims avant agrégation — trois choses ont changé :
Le taux de complétion a été multiplié par quatre. Non pas parce que l'outil est plus ergonomique, mais parce que les collaborateurs ont le sentiment d'être écoutés individuellement, pas d'alimenter un tableur.
Les données sont devenues actionnables. Au lieu de scores de 1 à 5, les équipes RH disposent de thèmes récurrents, de signaux faibles par site, par équipe, par période. Des patterns que les analytics prédictives classiques ne captaient pas.
La conformité RGPD est documentée par conception. Chaque conversation inclut le consentement, la finalité est affichée, et les données restent hébergées en UE.
Un retailer global de 90 000+ employés a multiplié par 4 son taux de complétion en remplaçant les surveys par des conversations individuelles adaptatives.
Déploiement dans 40+ pays
Le vrai enjeu : la confiance comme infrastructure
Le RGPD n'est pas un obstacle aux people analytics. C'est un filtre qui sépare les approches durables des raccourcis. Les organisations qui construisent leurs analytics sur la confiance — consentement réel, transparence totale, données déclarées — obtiennent des données de meilleure qualité que celles qui maximisent le volume par extraction.
C'est un paradoxe apparent : en collectant moins, vous apprenez plus. Parce qu'un collaborateur qui comprend pourquoi on lui pose une question et qui choisit d'y répondre livre des signaux qu'aucun tracker comportemental ne captera jamais.
La question n'est plus « comment rendre mes analytics conformes ». C'est « comment construire un système où la conformité améliore la qualité des données au lieu de la limiter ».
