MyArkevia stocke des bulletins de salaire pour le compte de nombreuses entreprises françaises via un coffre-fort numérique opéré par Cegedim. La promesse : confidentialité, conformité RGPD, conservation longue durée. Derrière ces engagements commerciaux, le dispositif repose sur une architecture technique et un cadre normatif qu’il est possible d’examiner pièce par pièce. Voici ce que les documents disponibles permettent d’affirmer, et ce qui reste moins lisible.
Qualification SecNumCloud et hébergement des bulletins de salaire en France
Les concurrents de MyArkevia mentionnent souvent un « hébergement en France » sans détailler le niveau de qualification. La distinction est pourtant déterminante pour la protection réelle des données salariales.
A lire en complément : Confidentialité : règles à respecter pour la protection des données personnelles
L’infrastructure de MyArkevia repose sur Cegedim.cloud, qualifié SecNumCloud par l’ANSSI. Cette qualification, délivrée par l’Agence nationale de la sécurité des systèmes d’information, impose des contrôles renforcés : journalisation exhaustive des accès, gouvernance de la sécurité auditée, limitation des risques d’ingérence extraterritoriale.
Concrètement, cela signifie qu’un fournisseur cloud soumis au Cloud Act américain ne peut pas, en théorie, contraindre l’accès aux données hébergées dans ce cadre. Pour un salarié dont le bulletin de paie transite par MyArkevia, cette qualification place ses documents dans la catégorie des services cloud dits « de confiance », la plus exigeante du référentiel français.
A voir aussi : Protection des données personnelles : principes et réglementations essentielles
Les datacenters sont par ailleurs certifiés ISO 27001 (management de la sécurité de l’information) et HDS (Hébergeur de Données de Santé). La certification HDS, habituellement associée au secteur médical, impose des obligations de sécurité physique et logique qui dépassent le cadre du simple stockage de documents RH. Son application aux bulletins de paie relève d’un choix d’infrastructure de Cegedim, pas d’une obligation légale liée à la paie.
Chiffrement AES-256 et normes d’archivage : ce que protège réellement MyArkevia
Le chiffrement annoncé par MyArkevia combine plusieurs couches. Les données au repos (vos bulletins stockés dans le coffre-fort numérique) sont protégées par un chiffrement AES-256. Les transferts entre votre navigateur et les serveurs passent par du TLS. Un chiffrement asymétrique complète le dispositif pour garantir l’intégrité des fichiers.
Ce niveau de chiffrement empêche la lecture des documents par un tiers qui accéderait aux serveurs sans les clés. En revanche, il ne protège pas contre un accès obtenu via vos identifiants personnels (mot de passe compromis, phishing). La sécurité du coffre dépend donc aussi de la robustesse du mot de passe choisi par le salarié.
Normes NF Z42-013 et NF Z42-020 appliquées aux documents RH
MyArkevia s’aligne sur deux normes françaises d’archivage électronique :
- NF Z42-013 encadre le système d’archivage lui-même : traçabilité via un journal des événements, horodatage des dépôts, inaltérabilité des documents une fois archivés.
- NF Z42-020 définit les exigences propres au coffre-fort numérique : le salarié reste le seul à pouvoir accéder à ses documents, l’employeur ne peut ni les consulter ni les modifier après dépôt.
- La combinaison de ces deux normes structure la gestion de la preuve : en cas de litige prud’homal, un bulletin de paie archivé selon ces référentiels conserve sa valeur probante.
Les données disponibles ne permettent pas de vérifier si MyArkevia dispose d’une certification formelle NF Z42-020 délivrée par un organisme tiers, ou s’il s’agit d’un alignement déclaratif sur les exigences de la norme. La nuance est significative pour un salarié qui voudrait produire un bulletin en justice.
RGPD et droits du salarié sur ses données de paie dans MyArkevia
Le RGPD accorde à chaque salarié des droits concrets sur ses données personnelles, y compris celles contenues dans un bulletin de salaire : salaire net, cotisations, adresse, numéro de sécurité sociale.
Dans le cadre de MyArkevia, l’employeur agit comme responsable de traitement lorsqu’il dépose le bulletin. Cegedim, en tant qu’opérateur du coffre-fort, intervient comme sous-traitant. Le salarié, lui, dispose d’un droit d’accès permanent à ses documents depuis son espace personnel.
Portabilité et conservation après départ de l’entreprise
Un point souvent mentionné mais rarement détaillé : le coffre-fort reste accessible au salarié même après un changement d’employeur. La conservation légale des bulletins de paie dématérialisés s’étend sur une durée de cinquante ans ou jusqu’aux soixante-quinze ans du titulaire.
Cette portabilité distingue le coffre-fort numérique d’un simple intranet RH. Quand un salarié quitte son entreprise, il ne perd pas l’accès à ses documents. L’espace personnel MyArkevia reste rattaché à son identité, pas à son contrat de travail.
En revanche, le droit à l’effacement (article 17 du RGPD) se heurte ici à l’obligation légale de conservation des bulletins. Un salarié ne peut pas demander la suppression de ses fiches de paie tant que le délai légal n’est pas écoulé. Le coffre-fort numérique applique donc une exception prévue par le règlement lui-même.
Limites de transparence et zones grises pour les utilisateurs
Malgré un socle technique solide, plusieurs points restent peu documentés dans les communications publiques de MyArkevia.
- Les rapports d’audit SecNumCloud de Cegedim.cloud ne sont pas accessibles aux salariés. Un utilisateur final ne peut pas vérifier de façon indépendante le maintien de la qualification.
- La politique exacte de gestion des clés de chiffrement (qui les détient, comment elles sont renouvelées, quel processus en cas de compromission) n’est pas décrite dans les conditions d’utilisation publiques.
- Les sous-traitants ultérieurs éventuels (maintenance, supervision) et leur localisation ne sont pas listés de manière transparente sur le portail.
Ces lacunes ne signifient pas que la protection est insuffisante. Elles indiquent que le salarié doit, pour l’instant, accorder une confiance fondée sur les certifications annoncées plutôt que sur des preuves directement vérifiables depuis son espace personnel.
Pour un document aussi sensible qu’un bulletin de salaire, qui contient à la fois des données financières et des identifiants personnels, la transparence du prestataire compte autant que la robustesse du chiffrement. MyArkevia coche la plupart des cases techniques et réglementaires. La prochaine étape serait de rendre ces garanties auditables par les utilisateurs eux-mêmes, pas seulement par les entreprises clientes.
