L'actualité paie RH, sociale et juridique des entreprises

Les données de paie sont parmi les informations les plus sensibles qu'une entreprise manipule. Salaires, coordonnées bancaires, données personnelles des collaborateurs, situations individuelles particulières : toutes ces informations concentrées dans le logiciel de paie constituent un patrimoine informationnel critique qui engage directement la responsabilité de l'employeur. Pourtant, la question de la sécurité et de l'hébergement de ces données est encore trop souvent reléguée au second plan lors du choix d'une solution.

La sécurité des données de paie est souvent sous-estimée par rapport à des critères plus visibles comme l'ergonomie, le prix ou les fonctionnalités. Cette hiérarchisation des priorités est dangereuse. Une faille de sécurité, une perte de données ou un accès non autorisé aux informations salariales peuvent avoir des conséquences catastrophiques : atteinte à la vie privée des salariés, préjudice d'image majeur pour l'entreprise, sanctions réglementaires lourdes et perte de confiance durable.

La sécurité n'est pas qu'un sujet informatique relégué aux équipes techniques. C'est un enjeu stratégique qui concerne la direction générale, la direction des ressources humaines, la direction administrative et financière et la direction juridique. La question n'est plus seulement "où sont hébergées mes données" mais "sous quel régime juridique, avec quel niveau réel de sécurité et quelles garanties contractuelles". Cette prise de conscience progressive transforme la sécurité des données de paie en critère de décision à part entière.

Les données de paie : un coffre-fort numérique pour l'entreprise

La nature des données traitées par un logiciel de paie justifie le niveau d'exigence sécuritaire. Chaque bulletin contient le salaire brut et net, les coordonnées bancaires complètes, l'adresse personnelle, la situation familiale, les éventuels arrêts de travail avec leurs motifs, les saisies sur salaire et leurs causes. Ces informations cumulées dressent un portrait détaillé de la situation économique et personnelle de chaque collaborateur.

Les risques humains, financiers et juridiques d'une compromission de ces données sont considérables. Pour les salariés concernés, une fuite de données salariales peut conduire à des usurpations d'identité, des fraudes bancaires et une atteinte grave à la vie privée. Pour l'entreprise, les conséquences incluent des sanctions CNIL pouvant atteindre plusieurs millions d'euros, des contentieux individuels et collectifs, une dégradation majeure de l'image employeur et une perte de confiance interne.

La responsabilité de l'employeur en matière de protection des données est clairement établie par le RGPD. L'entreprise reste responsable de la sécurité des données même lorsqu'elle confie la gestion de la paie à un prestataire externe ou utilise un logiciel en mode SaaS. Cette responsabilité ne se délègue pas contractuellement. L'employeur doit donc s'assurer activement que les mesures de sécurité mises en place par l'éditeur sont à la hauteur des enjeux.

Sécurité des données de paie : bien plus qu'un sujet informatique

Le lien entre sécurité et confiance structure profondément la relation entre l'employeur et ses collaborateurs. Les salariés confient à leur employeur leurs données les plus sensibles avec l'attente légitime qu'elles seront protégées avec le plus grand soin. Une faille de sécurité brise cette confiance de manière souvent irréversible et peut créer des tensions sociales durables même si aucun préjudice financier direct n'a été constaté.

Les enjeux sociaux et juridiques de la sécurité des données de paie dépassent largement le périmètre technique. Une entreprise qui ne sécurise pas correctement les données de ses salariés manque à son devoir de protection. Cette négligence peut être qualifiée juridiquement et engager la responsabilité civile voire pénale des dirigeants en cas de manquement grave. Les instances représentatives du personnel sont également de plus en plus vigilantes sur ces sujets.

Les conséquences d'une faille ou d'une fuite de données sont multidimensionnelles. Sur le plan humain, les salariés victimes subissent un stress important et une perte de confiance. Sur le plan réputationnel, l'entreprise voit son image durablement dégradée, tant en interne qu'en externe. Sur le plan opérationnel, la gestion de crise mobilise des ressources considérables. Sur le plan financier, les sanctions, les contentieux et la remédiation représentent des coûts importants.

Hébergement des données de paie : ce que vous devez impérativement vérifier

La localisation des serveurs qui hébergent vos données de paie est la première question à poser à tout éditeur. Cette localisation détermine en grande partie le régime juridique applicable et les garanties dont vous bénéficiez. Un hébergement en France ou dans l'Union européenne offre des protections réglementaires fortes que n'offrent pas nécessairement les hébergements dans d'autres juridictions.

Un hébergement France ou Union européenne garantit l'application du RGPD avec toutes ses protections. Les transferts de données hors UE sont strictement encadrés et nécessitent des garanties spécifiques. Cette localisation européenne protège également contre l'application de législations extraterritoriales qui pourraient permettre à des autorités étrangères d'accéder à vos données.

La traçabilité et la transparence des flux de données doivent être contractuellement garanties. L'éditeur doit pouvoir documenter précisément où sont stockées les données, comment elles circulent entre les différents composants du système et quels sous-traitants éventuels y ont accès. Cette transparence est indispensable pour évaluer réellement le niveau de sécurité et pour répondre aux obligations de documentation du RGPD.

Le cloisonnement des données entre clients constitue une protection essentielle. Dans un environnement mutualisé où plusieurs clients partagent la même infrastructure, il est impératif que les données de chaque client soient strictement séparées et qu'aucun accès croisé ne soit techniquement possible. Ce cloisonnement doit être vérifié et garanti contractuellement.

Les sauvegardes et le chiffrement sont des standards minimums non négociables. Les données doivent être sauvegardées régulièrement, avec des tests de restauration périodiques pour garantir l'efficacité du dispositif. Le chiffrement doit être appliqué aux données au repos comme aux données en transit. Ces mesures techniques protègent contre la perte de données et contre l'interception lors des échanges.

RGPD et paie : des obligations spécifiques à ne pas sous-estimer

La conformité RGPD en matière de paie implique des obligations précises qui s'ajoutent aux exigences générales. Les données de paie sont considérées comme sensibles au sens du RGPD car elles révèlent des informations sur la situation économique et sociale des personnes. Leur traitement doit respecter des règles strictes de minimisation, de finalité et de proportionnalité.

Les droits des personnes s'appliquent pleinement aux données de paie. Chaque salarié peut exercer son droit d'accès pour obtenir une copie de toutes les données le concernant, son droit de rectification pour corriger des informations erronées, et dans certains cas son droit à l'effacement. L'organisation doit être capable de répondre à ces demandes dans les délais légaux, ce qui nécessite que le logiciel de paie permette ces opérations facilement.

Le registre des traitements doit documenter précisément comment sont traitées les données de paie. Ce registre décrit les finalités du traitement, les catégories de données collectées, les destinataires des données, les durées de conservation et les mesures de sécurité mises en œuvre. Cette documentation est obligatoire et peut être demandée par la CNIL lors d'un contrôle.

La portabilité et le droit à l'effacement posent des questions spécifiques en paie. Si un salarié quitte l'entreprise et exerce son droit à l'effacement, l'employeur doit concilier ce droit avec ses obligations légales de conservation des données sociales. Le logiciel doit permettre cette gestion fine des durées de conservation selon la nature des données et le statut de la personne.

Le rôle du DPO, délégué à la protection des données, est central dans la gouvernance de la sécurité des données de paie. Le DPO conseille l'organisation, contrôle la conformité et sert de point de contact avec la CNIL. Sa présence et son implication dans le choix et le paramétrage du logiciel de paie sont des gages de sérieux et de conformité.

Le point de vigilance souvent ignoré : le Cloud soumis au droit américain

Le Cloud Act et le Patriot Act américains créent une situation juridique complexe que peu d'entreprises maîtrisent. Ces législations permettent aux autorités américaines de réquisitionner des données hébergées par des entreprises américaines, quel que soit le pays où sont physiquement localisés les serveurs. Cette disposition extraterritoriale concerne directement de nombreuses solutions de paie.

Les implications concrètes pour les données de paie sont significatives. Si votre logiciel de paie est hébergé sur Amazon AWS, Google Cloud ou Microsoft Azure, même si les serveurs sont physiquement en France, ces infrastructures appartiennent à des entreprises américaines soumises aux lois américaines. En théorie, les autorités américaines pourraient exiger l'accès à vos données salariales sans en informer ni vous ni l'éditeur.

La différence entre localisation physique et juridiction juridique est subtile mais cruciale. Dire "mes données sont hébergées en France" ne suffit pas si l'hébergeur est une entreprise soumise à une législation extraterritoriale. C'est la nationalité de l'entreprise qui exploite l'infrastructure, pas la localisation géographique des serveurs, qui détermine le régime juridique applicable.

La nécessité de poser les bonnes questions aux éditeurs découle de cette complexité. Il faut demander non seulement où sont hébergées les données, mais aussi qui est le propriétaire de l'infrastructure, sous quelle juridiction opère l'hébergeur et quelles garanties contractuelles existent contre l'application de législations extraterritoriales. La transparence de l'éditeur sur ces questions est un indicateur de sa maturité.

Ce qu'attendent aujourd'hui les entreprises et organisations sensibles

La souveraineté des données devient un critère de décision pour un nombre croissant d'organisations. Les collectivités publiques, les établissements sensibles, certains groupes industriels et les cabinets d'expertise comptable qui gèrent la paie de multiples clients accordent une importance croissante à la maîtrise complète de la localisation et de la protection juridique de leurs données.

Les clouds français ou européens indépendants répondent à cette exigence de souveraineté. Des acteurs comme OVHcloud, Scaleway ou Outscale proposent des infrastructures détenues et opérées par des entreprises européennes, non soumises aux législations extraterritoriales américaines. Ces solutions offrent un niveau de garantie supérieur pour les organisations qui en ont besoin.

Les clauses de non-soumission extraterritoriale peuvent être négociées contractuellement avec certains éditeurs. Ces clauses engagent l'éditeur à refuser toute réquisition de données émanant d'autorités étrangères et à informer immédiatement le client en cas de demande. Ces protections contractuelles renforcent les garanties juridiques.

Les certifications et bonnes pratiques comme SecNumCloud de l'ANSSI attestent d'un niveau de sécurité et de souveraineté renforcé. Ces certifications sont exigeantes et constituent un gage de sérieux. Pour les organisations ayant des exigences fortes en matière de sécurité, la présence de telles certifications peut être déterminante.

L'argument devient clé pour les cabinets et prestataires paie qui gèrent la paie de multiples clients. Pouvoir garantir à leurs clients que leurs données sont hébergées de manière souveraine et sécurisée constitue un avantage concurrentiel significatif. Cette garantie rassure les clients et renforce la crédibilité du prestataire.

Comment évaluer le niveau de sécurité de votre solution de paie

Les questions à poser à l'éditeur doivent être précises et documentées. Où sont hébergées les données exactement ? Qui est propriétaire de l'infrastructure d'hébergement ? Sous quelle juridiction opère l'hébergeur ? Quelles certifications de sécurité avez-vous obtenues ? Comment gérez-vous les sauvegardes et la continuité de service ? Quels engagements contractuels prenez-vous sur la sécurité ?

La documentation disponible doit être accessible et compréhensible. Un éditeur sérieux publie une politique de sécurité claire, des documents techniques sur son architecture et des certifications vérifiables. Cette transparence facilite l'évaluation et témoigne d'une culture de la sécurité mature.

Les engagements contractuels formalisent les garanties de sécurité. Le contrat doit préciser les niveaux de service, les responsabilités respectives, les procédures en cas d'incident et les pénalités en cas de manquement. Ces engagements contractuels protègent juridiquement le client et créent une obligation de moyens voire de résultat pour l'éditeur.

La cohérence globale de la politique de sécurité s'évalue par la convergence entre les discours, la documentation et les pratiques réelles. Une politique de sécurité cohérente se traduit par des investissements continus, des audits réguliers et une culture d'entreprise où la sécurité est une priorité partagée. Pour évaluer globalement la maturité sécuritaire de votre organisation paie, un Audit & Conseil RH peut identifier les points de vigilance et proposer des axes d'amélioration.

Sécurité des données et performance globale de la fonction RH

La sécurisation de la paie comme facteur de confiance dépasse largement le seul enjeu technique. Une paie bien sécurisée crée de la confiance chez les collaborateurs, renforce la crédibilité de la fonction RH et protège l'image employeur. Cette confiance est un actif intangible mais précieux qui facilite le recrutement, améliore l'engagement et renforce la marque employeur.

La continuité de service repose sur une infrastructure sécurisée et résiliente. Les plans de reprise d'activité, la redondance des systèmes et la robustesse de l'architecture garantissent que la paie sera produite même en cas d'incident technique majeur. Cette continuité est essentielle car un retard de paie a des conséquences immédiates et graves.

La crédibilité RH et employeur se construit aussi sur la capacité à protéger les données sensibles. Une entreprise qui prend au sérieux la sécurité des données de ses salariés démontre son professionnalisme et son respect des personnes. Cette dimension éthique et responsable de la gestion des données contribue à l'attractivité de l'organisation.

L'impact sur la relation salariés-direction est direct. Les collaborateurs qui savent que leurs données sont protégées avec soin développent une confiance accrue envers leur employeur. À l'inverse, une faille de sécurité peut durablement altérer cette relation de confiance. Pour approfondir l'ensemble des critères qui garantissent une paie fiable et sécurisée, consultez notre guide complet sur les logiciels de paie.

Conclusion

La sécurité des données de paie est une exigence stratégique qui ne doit jamais être négligée ou reléguée au second plan. Ces données constituent un patrimoine informationnel critique dont la protection engage la responsabilité de l'entreprise et conditionne la confiance des collaborateurs. Dans un contexte où les réglementations se renforcent et où les risques cyber augmentent, faire des choix éclairés et responsables en matière de sécurité et d'hébergement des données de paie n'est pas une option, c'est une obligation stratégique.

Pour une PME ou une ETI, le SIRH n’est plus un simple outil administratif. C’est le cœur du réacteur qui centralise les données collaborateurs (personnelles et contractuelles), les absences, les temps de travail, la gestion des talents... Pourtant, beaucoup d'entreprises utilisent encore des solutions obsolètes, difficiles à prendre en main ou mal connectées à leur écosystème.

Changer de SIRH peut sembler être un chantier colossal. Pourtant avec une méthode structurée, cette transition devient un levier de performance majeur.

‍

Pourquoi envisager un changement de SIRH ?

Dans mes missions de conseil, j'observe souvent les mêmes signaux d'alerte :

• Outils inadaptés ou mal configurés qui nécessitent de multiples contrôles et des retraitements permanents

• Processus manuels chronophages : vos équipes RH passent trop de temps sur des tâches administratives répétitives

• Données dispersées : les informations sont réparties entre plusieurs outils sans connexion réelle

• Manque de visibilité : impossible d'obtenir des reporting fiables pour piloter vos décisions

• Insatisfaction utilisateurs : vos collaborateurs trouvent l'outil actuel complexe ou peu intuitif

• Protection des données et respect RGPD des données RH : l'obsolescence technologique représente également un risque majeur puisqu’il peut compromettre la sécurité de vos données.

‍

Personnellement, j’ai connu cette situation en interne : jongler avec des feuilles Excel et des outils disparates complique le quotidien d'un service RH.

‍

Avant de vous lancer, il est essentiel de diagnostiquer précisément vos besoins. Cette phase d'audit déterminera la réussite de votre projet de migration.

‍

Étape 1 : Réaliser l'audit de vos processus RH et paie

Avant de migrer, il faut savoir d'où l'on part. Je recommande toujours de dresser une cartographie précise de l'existant :

• Quels modules sont indispensables (Core RH, absences, notes de frais, gestion des temps…) ?

• Quelles fonctionnalités manquent à votre organisation ?

• Quels sont vos objectifs : gain de temps, reporting fiable, meilleure expérience collaborateur ?

• Quels outils doivent s’intégrer à votre SIRH existant (comptabilité, ERP, logiciels de gestion d’équipe) et sont-ils interopérables entre eux ?

‍

Mon conseil : Cette phase permet de choisir un SIRH parfaitement adapté à vos besoins et d’éviter les surcoûts liés à des fonctionnalités inutiles.

‍

Étape 2 : L’avantage de Lucca : un logiciel RH à la carte

Le marché des logiciels RH est une véritable jungle. Si je recommande Lucca à mes clients, c'est n’est pas que pour sa philosophie : "Un logiciel RH n'est pas forcément gris, moche et triste." Mais pour l’ensemble des fonctionnalités suivantes :

• Une interface ultra-intuitive : L'adoption par les collaborateurs est quasi immédiate (l'UX est leur grande force).

• Une approche modulaire : Vous ne payez que ce dont vous avez besoin (Rémunérations, core RH, notes de frais, absences, gestion des entretiens...). Vous construisez votre SIRH à la carte.

• Automatisation poussée : Les flux de validation et les rappels sont automatisés pour libérer les RH des tâches répétitives.

• Sécurité & Souveraineté : Données hébergées en France et conformité RGPD native.

‍

‍

Étape 3 : Planifier la roadmap de déploiement

Un changement de SIRH réussi repose sur un calendrier réaliste. Il faut éviter de lancer la migration en pleine période de clôture annuelle ou de forte activité pour vos équipes RH. Chez Paie & RH Software, nous identifions les "Key Users" (utilisateurs référents) et définissons avec vous un rétroplanning précis et 100% personnalisé.

‍

Étape 4 : La configuration et la migration des données RH

C’est l’étape la plus technique. On ne transfère pas des données dans un outil.

Nous paramétrons des règles de gestion et importons vos données dans le SIRH Lucca :

Le but est de vous livrer un outil fiable, personnalisé et adapté à votre besoin.

‍

Étape 5 : Accompagner la conduite du changement

Même le meilleur outil du monde échouera sans adhésion.  

Nous mettons l'accent sur :

• Des sessions de formation adaptées à votre contexte,

• Des supports pédagogiques,

• Un accompagnement de proximité pour vous permettre d’aborder sereinement les premiers mois d’utilisation.

‍

Étape 6 : Mesurer le ROI et les bénéfices post-déploiement

Une fois Lucca en place, il est temps de récolter les fruits de votre investissement :

• Gain de temps : Réduction drastique du temps passé sur la saisie des notes de frais ou le suivi des absences.

Lors de son parcours d'intégration, le nouveau collaborateur renseigne lui-même ses informations personnelles et contractuelles directement dans l'outil. Par la suite, il reste libre de mettre à jour ses coordonnées (changement d'adresse, nouveau relevé d'identité bancaire) dès que nécessaire. Cette saisie à la source garantit la fiabilité du dossier salarié et actualise automatiquement les éléments destinés à la préparation de la paie.

• Fiabilité : Moins d'erreurs en paie grâce à l'automatisation des flux.

• Engagement : Une meilleure image de marque employeur grâce à un outil moderne et accessible sur mobile.

‍

Étape 7 : Mes 3 conseils d'experte pour ne rien oublier

1. Communiquez tôt : N'attendez pas la veille du lancement pour annoncer le changement.

2. Impliquez les managers : Ils sont vos meilleurs ambassadeurs auprès des équipes.

3. Prévoyez un support post-lancement : Les questions arrivent souvent 15 jours après le démarrage. Soyez présents.

‍

Réussir votre transition avec un partenaire Premium Lucca

Changer de SIRH est un projet stratégique qui transforme durablement la vie de l'entreprise. En tant qu'ancienne RH, mon conseil est simple : choisissez une solution que vos équipes auront plaisir à utiliser.

Avec Lucca et l'accompagnement de Paie & RH Software, vous ne changez pas seulement de logiciel : vous libérez le potentiel de vos équipes RH pour qu'elles se concentrent sur l'essentiel : l'humain.

‍

Besoin d'un diagnostic pour votre futur SIRH ?  

Contactez-moi pour discuter de votre projet et découvrir Lucca en action.

‍

FAQ : Les questions que l'on me pose souvent

Combien de temps faut-il pour changer de SIRH ?

Comptez généralement entre 3 et 5 mois pour un déploiement complet et serein, selon vos impératifs et le nombre de modules choisis.

‍

Est-ce que Lucca s'interface avec mon logiciel de paie ?

Oui, Lucca possède des connecteurs avec la plupart des logiciels de paie du marché (Yeap, Sage, Cegid, SILAE, etc.) pour automatiser l'envoi des variables.

‍

Peut-on migrer ses données en cours d'année ?

Tout à fait, une migration en cours d'année est possible.

‍

Comment former les employés à utiliser un SIRH efficacement ?

Pour réussir un changement de SIRH, formez par profils (RH, managers, collaborateurs) avec des cas concrets (poser un congé, valider une demande, saisir une note de frais). Prévoyez des supports courts (guide/FAQ) et un suivi après le démarrage. Par exemple, Lucca met aussi à disposition un centre de ressources complet, avec des documentations claires à consulter ou à télécharger à tout moment selon les problématiques rencontrées.

‍

Quels critères de sélection sont essentiels pour choisir un nouveau SIRH ?

Pour changer de SIRH, vérifiez surtout : facilité d’usage (adoption), modularité, automatisation, intégrations (paie/compta/SSO), sécurité-RGPD et qualité de l’accompagnement. Ces critères réduisent les risques lors de la migration vers votre SIRH.

‍

Comment intégrer un nouveau SIRH avec les systèmes existants de l’entreprise ?

L’intégration dépend de vos outils, notamment du logiciel de paie, et de l’usage visé (variables, congés, notes de frais, temps, reporting). Un consultant SIRH aide à cadrer les flux (données entrantes/sortantes, fréquence), anticiper les points de vigilance et sécuriser la transition.

‍

A propos de l'auteur

Je suis Clémence Charrier, consultante SIRH chez Paie & RH Software.

Avant de me spécialiser dans ce domaine, j’ai travaillé au sein de Services RH, ce qui me permet aujourd’hui de faire le lien entre les besoins métiers et les outils digitaux. Dans ce guide, je partage les clés pour réussir une transition vers Lucca de manière sereine et structurée

Le passeport de prévention est un dispositif instauré par la loi Santé au travail du 2 août 2021. Il a pour objectif de mieux structurer et centraliser les formations liées à la sécurité et la santé au travail.

Ce nouvel outil, qui sera progressivement mis en place entre 2025 et 2026 dans sa version finale, vise à faciliter l’accès et la traçabilité des formations en matière de prévention des risques professionnels.

Un décret publié le 1er août 2025 précise les conditions dans lesquelles les employeurs et les organismes de formation doivent enregistrer les formations liées à la santé et à la sécurité au travail dans le passeport de prévention.

Ce texte réglementaire définit les critères d’éligibilité des formations, les délais applicables pour effectuer ces déclarations ainsi que les modalités de vérification et de rectification des informations par l’employeur. Il prévoit également un calendrier progressif de mise en œuvre.

Nous vous en disons plus ci-dessous !

‍

Qu'est-ce que le passeport de prévention et quelles formations sont concernées ?

Le passeport de prévention est une plateforme qui recense tous les certificats, attestations et diplômes obtenus par un salarié dans le cadre des formations relatives à la santé et à la sécurité au travail.

Les formations concernées peuvent être classées en quatre catégories :

• Les formations obligatoires encadrées par la réglementation
• Les formations pour des postes de travail qui nécessitent une autorisation de l’employeur
• Les formations avec un objectif spécifique prévu par la réglementation
• Les formations qui répondent à l’obligation générale de formation de l’employeur

Cela étant, toutes les formations répondant à ces critères ne devront pas être déclarées.

En effet, devront être déclarées uniquement les formations qui, cumulativement, relèvent de la prévention des risques professionnels, donnent lieu à une attestation ou un justificatif de réussite et apportent des compétences transférables sur d’autres postes présentant des risques similaires.

Ainsi, sont exclues du dispositif :

• les formations de formateurs relatives à la prévention des risques professionnels ;
• la formation à la sécurité relative aux conditions d’exécution du travail ;
• les formations permettant d’assurer la sécurité des personnes et des biens à l’exception de la formation de SST et les formations complémentaires ;
• la formation en santé, sécurité et conditions de travail destinée aux élus du CSE ;
• les formations de préventeurs, à l’exception des formations complémentaires particulières (salarié compétent pour s’occuper des activités de protection et de prévention des risques professionnels de l’entreprise, personne compétente en radioprotection…)

Il a pour objectif de regrouper toutes les formations suivies, qu’elles aient été dispensées en interne par l’employeur ou en externe par des organismes de formation, en France ou à l’étranger.

Il permet ainsi aux salariés de centraliser leurs certifications obtenues tout au long de leur carrière.

Ce dispositif est intégré au passeport d’orientation, de formation et de compétences, accessible sur le portail Mon Compte Formation.

‍

Délais de déclaration et de correction

Les organismes de formation disposent de trois mois après la fin du trimestre de réalisation de la formation pour procéder à la déclaration.

Les employeurs, pour les formations internes, disposent de six mois après la fin du trimestre concerné.

Ces délais seront progressivement resserrés à mesure que la plateforme sera pleinement opérationnelle.

L’employeur peut vérifier les informations saisies par les organismes et demander une correction dans un délai de six mois. Si un organisme n’effectue pas la déclaration, l’employeur peut lui-même renseigner la formation dans un délai complémentaire.

Certaines formations, notamment celles inscrites au répertoire national des certifications professionnelles ou financées par des opérateurs publics (État, régions, France Travail, etc.), seront intégrées automatiquement dans le passeport via le système du compte personnel de formation.

A noter que dans le cadre du régime transitoire, soit jusqu'au 31 décembre 2026, les employeurs disposent d’un délai de 9 mois — contre 6 mois dans le régime définitif — pour effectuer leur déclaration. Ce délai commence à courir à partir de la fin du trimestre au cours duquel :

• la formation a pris fin, lorsqu’elle donne uniquement lieu à la délivrance d’une attestation de formation ;
• la validité du justificatif de réussite remis au bénéficiaire a débuté.

‍

Un outil d'information pour les employeurs et les salariés

Le Passeport de prévention ne constitue pas un dispositif de contrôle des compétences des salariés, ni un prérequis obligatoire à l’embauche.

Il s’agit avant tout d’un outil facilitant la circulation de l’information sur les formations suivies, les compétences acquises et les certifications obtenues.

• Pour les salariés, le passeport a pour objectif d’offrir une vision claire et centralisée de leurs formations en santé et sécurité, leur permettant ainsi de valoriser leurs compétences professionnelles.
• Pour les employeurs, il constitue un moyen de s’assurer que leurs employés disposent des formations nécessaires et, le cas échéant, d’organiser des formations complémentaires adaptées aux besoins de l’entreprise. Il aide aussi à anticiper les péremptions et mises à jour des certifications afin de maintenir un haut niveau de compétence.

A noter que l’employeur peut tout à fait conserver les supports habituellement utilisés et qui servent de justificatif à la réalisation des formations en cas de contrôle.

Le ministère du travail a annoncé également que de nouvelles fonctionnalités apparaîtront au fur et à mesure :

• possibilité d’importer des fichiers pour déclarer en masse les formations suivies
• mise à disposition d’un tableau de bord pour aider les employeurs dans la gestion de ces formations

‍

Qui alimente le passeport de prévention ?

Le passeport de prévention est alimenté par différents acteurs :

• Les salariés, qui peuvent y inscrire les formations qu’ils ont suivies de leur propre initiative.
• Les employeurs, qui doivent renseigner les formations organisées au sein de l’entreprise.
• Les organismes de formation, qui intègrent directement dans le passeport les attestations de suivi de formation.

Chaque partie a un rôle actif dans la gestion et l’actualisation de cet outil, garantissant ainsi un suivi précis et actualisé des compétences en prévention des risques.

L’employeur n’a pas forcément accès à l’intégralité du passeport de prévention. En effet, le salarié décide des informations qu’il souhaite rendre accessibles à son employeur, notamment :

• Les données qui n’ont pas été saisies par l’employeur dans le passeport ;
• Les formations suivies de sa propre initiative.

Lorsqu’une formation est dispensée par un organisme externe, le salarié reçoit une notification électronique l’informant de l’ajout des informations correspondantes dans son passeport.

‍

Nouveau calendrier de déploiement et reports successifs

Initialement prévue en 2024, l’ouverture du passeport de prévention aux employeurs et aux organismes de formation est reportée à 2025.

En effet, le ministère du Travail a annoncé ce retard en raison de la complexité de mise en place de la plateforme.

Le nouveau calendrier de déploiement prévoit plusieurs étapes clés :

• 28 avril 2025 : ouverture du service pour les organismes de formation : les organismes ont ainsi accès à l’espace géré par la Caisse des dépôts et consignations afin de leur permettre de déclarer les formations dispensées sur le thème de la santé et la sécurité au travail.
• 1er septembre 2025 : obligation de déclarer les formations dispensées par les organismes de formation sur le thème de la santé et la sécurité au travail
• 16 mars 2026 : ouverture du service pour les employeurs.
• 9 juillet 2026 : possibilité de déclarer en masse via une solution d'import.
• Quatrième trimestre 2026 : ouverture du service pour les salariés et les demandeurs d’emploi.
• 2027 : ajout de fonctionnalités complémentaires, comme l’importation de fichiers et un tableau de bord pour les employeurs.

Actuellement, les salariés ont accès à une version bêta du passeport depuis le 30 mai 2023 via Mon Compte Formation. Ils peuvent consulter leurs certifications liées à la prévention des risques professionnels.

Les employeurs et les organismes de formation devront attendre 2025 voire 2026 pour pouvoir déclarer les formations et certifications dispensées aux salariés.

Jusqu’à cette date, l’obligation de déclaration ne s’applique pas.

Par ailleurs, une phase transitoire est prévue : dans un premier temps, seules les formations réglementaires ou obligatoires pour certains postes devront être déclarées.

‍

Un simulateur pour anticiper la mise en place

Pour aider les employeurs et organismes de formation à se préparer, un simulateur a été mis à disposition avant l’ouverture officielle. Cet outil permet ainsi de vérifier si les formations dispensées sont éligibles au passeport de prévention et de préparer leurs déclarations.

Il est important de noter que les formations en santé et sécurité au travail délivrées avant l’ouverture de l’espace de déclaration ne seront pas concernées par l’obligation de déclaration. Seules les formations dispensées à partir de l’ouverture devront être enregistrées.

‍

Un accompagnement prévu pour les acteurs concernés

Afin d’assurer une mise en place fluide et efficace du passeport de Prévention, le ministère du Travail prévoit des actions ciblées en 2025 et 2026 :

• Accompagnement des organismes de formation pour adapter leurs processus et faciliter la déclaration des formations.
• Soutien aux employeurs dans la prise en main de l’outil et la gestion de leurs obligations.
• Sensibilisation des travailleurs sur l’intérêt du passeport de prévention et l’importance de sa mise à jour régulière.

‍

Les avantages annoncés du passeport de prévention

L’instauration du passeport de prévention doit apporter de nombreux bénéfices tant pour les salariés que pour les employeurs :

• Une meilleure traçabilité des formations : chaque formation suivie est consignée et accessible en un seul endroit.
• Une simplification administrative : le passeport centralise toutes les informations.
• Un gain de temps pour les employeurs : ils peuvent plus facilement s’assurer que leurs salariés possèdent les certifications requises.
• Une valorisation des compétences : les salariés peuvent prouver leurs acquis et ainsi améliorer leur employabilité.

‍

Besoin de former vos équipes à la sécurité au travail ?

La formation Sauveteur Secouriste du Travail (SST) est l’une des actions clés à intégrer dans le passeport de prévention. Elle permet à vos collaborateurs d’acquérir les bons réflexes face aux situations d’urgence, tout en répondant aux obligations de prévention des risques professionnels.

Découvrez notre formation SST, animée par des formateurs certifiés, et planifiez vos prochaines sessions avec Paie & RH Académie

‍

Pour 2026, le passage à l’heure d'été est prévu dans la nuit du samedi 28 mars au dimanche 29 mars 2026.

Pour le passage à l’heure d’été, certains diront qu’on perd une heure, mais de manière simple : il faudra avancer la pendule d’une heure ! En bref, à 2 heures il sera en réalité 3 heures !

Au contraire, pour le passage à l’heure d’hiver, certains diront qu’on gagne une heure, mais de manière simple : il faudra reculer la pendule d’une heure ! En bref, à 3 heures il sera en réalité 2 heures !

Le droit du travail se trouve lui aussi impacté par ce changement d’heure, et notamment au niveau du décompte de la durée du travail des travailleurs de nuit.

Pas de panique ! On vous explique !

Pour trouver des réponses, il faut se reporter à une réponse ministérielle datant du 10 décembre 1976 (année de mise en place de la réforme !) à la page 9198 et à une convention sur le changement d’heure.

‍

1# Cas général

Pour le passage à l’heure d’hiver, la variation de l’heure va faire travailler le salarié une heure en plus, qui peut donc être une heure supplémentaire et être rémunérée comme telle et donner lieu à du repos.

Pour le passage à l’heure d’été, le changement d’heure diminue d’une heure le temps de travail. Dans cette hypothèse, l’employeur est en droit d’opérer une retenue correspondante sur le salaire du salarié.

‍

2# Pour les salariés qui travaillent en équipe

Si ce ne sont pas les mêmes équipes qui travaillent lors des deux changements

Pour un salarié travaillant habituellement 8h/nuit :

• Pour le passage à l’heure d’hiver, il faudra payer les heures réellement effectuées (soit 1 heures en plus, si le salarié travaille 9 heures)
• Pour le passage à l’heure d’été, il faudra verser la rémunération classique correspondant à la durée de travail habituelle (8 heures, même s’ils n’en ont fait que 7).

Pour les employeurs qui font travailler les mêmes équipes lors des deux changements

La solution est plus simple. Il est possible de raisonner en durée globale et lissée, c’est-à-dire payer de manière « lissée ».

Pour les deux nuits concernées, l’heure effectuée en plus lors du changement d’hiver, sera compensée par celle effectuée en moins lors du changement d’été ! Les deux changements viennent alors s’équilibrer.

Attention ! Certains secteurs prévoient des règles particulières et spécifiques, comme par exemple la « Métallurgie » ou « Ports et manutention », il faut donc se référer aux dispositions conventionnelles.

‍

Afin d’inciter les entreprises à employer durablement les salariés et à pénaliser la succession de contrats courts dans certains secteurs d’activité, le règlement d’assurance chômage a instauré un mécanisme de bonus-malus sur la cotisation patronale.

Un avenant du 7 juillet 2025 agréé le 20 février 2026 entre en vigueur le 1er mars 2026 et vient modifier certains éléments.

Nous vous en disons plus dans cet article !

‍

De quoi parle-t-on ?

Le règlement d’assurance chômage a instauré un nouveau mécanisme de bonus-malus sur la cotisation patronale d’assurance chômage.

Ainsi, le taux de contribution de chaque employeur peut être majoré ou minoré en fonction :

• de la taille de l’entreprise
• du secteur d’activité de l’entreprise
• de la nature du contrat de travail, de sa durée, de son motif de recours
• du nombre de fins de contrats de travail et de contrats de mise à disposition (à l’exclusion des démissions et des contrats de mission) et sous réserve de l’inscription des personnes concernées par ces fins de contrat sur la liste des demandeurs d’emploi. Attention, à partir du 1er mars 2026, les règles concernant les contrats pris en compte pour le taux de contribution sont révisées :
  
  • seules les fins de contrats d'une durée effective inférieure à 3 mois seront prises en compte (ainsi, un contrat prenant fin au bout de 8 mois ne sera pas retenu pour le calcul du taux de contribution)
  • Certaines fins de contrat ne seront plus imputables à l'entreprise : CDD saisonniers, fins de contrat liées à un licenciement pour faute grave ou lourde, fins de contrats liées à un licenciement pour inaptitude d'origine non professionnelle.

Pour schématiser : plus une entreprise a recours à des contrats précaires, plus son taux de contribution chômage sera élevé. Au contraire, plus une entreprise a recours à des contrats pérennes, moins elle paiera de contribution chômage.

Pour la 4e période commençant le 1er septembre 2025, il est tenu compte du nombre de séparations imputables à l’entreprise et intervenues du 1er juillet 2024 au 30 juin 2025. Du fait de la fluctuation de la contribution, on parlera de taux modulé.

Le 5e cycle de modulation va courir du 1er mars 2026 au 28 février 2027. Les nouveautés de l'avenant du 7 juillet 2025 s'appliqueront à cette période.

‍

Qui est concerné ?

Le dispositif de bonus-malus concerne pour l’instant les entreprises d‘au moins 11 salariés et appartenant à l’un des secteurs suivants :

Jusqu'au 28/02/2026, 7 secteurs sont concernés :

• Fabrication de denrées alimentaires, de boissons et de produits à base de tabac
• Transports et entreposage
• Hébergement et restauration
• Travail du bois, industries du papier et imprimerie
• Fabrication de produits en caoutchouc et en plastique ainsi que d’autres produits minéraux non métalliques
• Production et distribution d’eau ; assainissement, gestion des déchets et dépollution
• Autres activités spécialisées, scientifiques et techniques

A partir du 01/03/2026, 6 secteurs seront concernés :

• Fabrication de denrées alimentaires, de boissons et de produits à base de tabac
• Transports et entreposage
• Hébergement et restauration
• Fabrication de produits en caoutchouc et en plastique ainsi que d’autres produits minéraux non métalliques
• Production et distribution d’eau ; assainissement, gestion des déchets et dépollution
• Autres activités spécialisées, scientifiques et techniques

‍

Quel impact sur la cotisation patronale chômage ?

La cotisation patronale chômage est en principe de 4.00%.

Avec ce nouveau dispositif, ce taux pourra être modulé de la manière suivante :

• pour les entreprises en bonus, le taux pourra descendre à 2.95%
• pour les entreprises en malus, le taux pourra atteindre 5%

Pour déterminer ce taux, la modulation se fera en fonction du taux de séparation de l’entreprise (c’est-à-dire les fins de contrats qui lui sont imputables) et le taux de séparation médian de son secteur d’activité. Ce dernier sera fixé chaque année par arrêté.

A compter du 1er mars 2026, ce ratio sera calculé en fonction du taux de séparation médian des subdivisions du secteur d'activité et non plus en fonction du secteur d'activité dans son ensemble (qui lui peut regrouper des activités économiques très diverses).

Pour connaître les taux actuels de cotisations sociales, vous pouvez consulter notre article sur le sujet.

‍

Pour quelles périodes ?

En principe, le dispositif du bonus-malus s’applique aux périodes d’emploi du 1er mars N jusqu’au 28/29 février N+1.

Pour la première année d’application, il a été mis en œuvre sur une période d’emploi allant du 1er septembre 2022 au 31 août 2023.

Le second cycle est allé quant à lui du 1er septembre 2023 au 31 août 2024.

Une 3e période de modulation a commencé le 1er septembre 2024 et s'est terminée le 31 décembre 2024. La convention d’assurance chômage a prolongé cette 3e période jusqu’au 31 août 2025.

Une 4e période de modulation s’est ouverte au 1er septembre 2025. Elle prendra fin au 28 février 2026.

Le 5e cycle s'ouvre quant à lui au 1er mars 2026 et prendra fin au 28 février 2027.

‍

Quand est-ce que les employeurs seront informés de leur taux ?

Le taux de séparation et le taux de contribution modulé seront en principe notifiés à l’employeur par voie dématérialisée par les organismes chargés du recouvrement de la contribution (URSSAF, MSA ou CGSS) au plus tard 15 jours après le début de la période d’emploi au cours de laquelle s’applique la modulation du taux.

Pour la période d’emploi qui a commencé au 1er septembre 2025, la notification des taux modulés a déjà été effectuée entre le 29 et le 31 août 2025 par l’intermédiaire des comptes-rendus métier DSN. L’URSSAF a notifié les taux aux entreprises en septembre 2025.

Pour les entreprises qui ne connaitraient pas leur taux modulé alors qu’ils en ont besoin pour calculer les cotisations du solde de tout compte (ex : ruptures de contrats intervenant début septembre 2024), il sera admis que le taux de cotisation appliqué ne tienne pas compte de la modulation.

Quel est le taux de séparations médians par secteur ?

Pour la période du 1er septembre 2025 au 28 février 2026, les taux médians de séparation par secteur d’activité sont les suivants :

• Fabrication de denrées alimentaires, de boissons et de produits de base de tabac : 189,82 %
• Production et distribution d’eau, assainissement, gestion des déchets et dépollution : 57,52 %
• Autres activités spécialisées, scientifiques et techniques : 7,33 %
• Hébergement et restauration : 67,59 %
• Transports et entreposage : 47,77 %
• Fabrication de produits en caoutchouc et en plastique ainsi que d’autres produits minéraux non métalliques : 87,18 %
• Travail du bois, industries du papier et imprimerie : 93,93 %

A compter du 1er mars 2026, les taux de séparation médians sont définis par subdivision de secteur d'activité (il y en a 56 à ce jour). Vous trouverez le détail des de ces subdivisions et de leur taux sur le site de l'unédic.

‍

Est-il possible de demander des précisions à l'URSSAF concernant les contrats influençant le taux ?

Oui depuis le 22 juillet 2023. Un téléservice a également été mis en place le 1er octobre 2023. En cas de retenues ou régularisations, reportez-vous à notre fiche pratique sur la saisie sur salaire pour comprendre les règles applicables.

À la demande de l’employeur ou de son tiers déclarant, les URSSAF peuvent fournir une liste des fins de contrat de travail et de contrats de mise à disposition des personnes inscrites sur la liste des demandeurs d’emploi, dont la fin de contrat est imputable à l’employeur.

La demande se fait par voie dématérialisée via un téléservice. Si l’utilisation du téléservice n’est pas possible, l’employeur ou son tiers déclarant peut faire cette demande par tout autre moyen.

Le décret établit également les fondements juridiques du traitement des données personnelles nécessaires pour assurer cette transmission, en spécifiant les finalités du traitement, les catégories de données traitées, les personnes autorisées à y accéder, les destinataires des données, leur durée de conservation et les procédures pour exercer les droits prévus par le RGPD pour les personnes concernées.

L’URSSAF a publié un « guide du déclarant » que vous pouvez consulter ici

‍

‍