Lectures: 4
Résumé – Face au risque de lock-in éditeur, d’intégrations coûteuses et de données captives, un cahier des charges SIRH suisse doit articuler un périmètre fonctionnel modulaire (Core RH, temps/absences, ATS, LMS, workflows, reporting), garantir interopérabilité API-first (REST/GraphQL, SCIM, SSO) et conformité LPD/RGPD avec hébergement souverain. Il prévoit un MVP à ROI rapide et un plan de réversibilité technique et contractuelle incluant SLA, export sans pénalité et clauses d’escrow.
Solution : adopter une gouvernance RACI, standardiser formats ouverts et piloter par user stories pour sécuriser votre projet SIRH.
Dans un contexte où les projets SIRH constituent un levier clé de performance pour les entreprises suisses de plus de 50 collaborateurs, l’enjeu est d’établir un cahier des charges rigoureux garantissant ouverture, interopérabilité et réversibilité, limitant les risques de verrouillage éditeur, d’intégrations coûteuses et de données prisonnières.
En structurant précisément les besoins autour des modules Core RH, temps/absences, notes de frais, ATS, LMS et reporting, on s’assure d’arbitrer efficacement build vs buy et de poser des bases pérennes pour l’évolution future. Cet article détaille les éléments essentiels à inscrire dans votre cahier des charges SIRH Suisse afin de maîtriser vos données et vos contrats, tout en prévoyant une trajectoire MVP à ROI rapide.
Définir un périmètre fonctionnel ouvert et modulaire
Le cahier des charges doit couvrir l’ensemble des briques métiers essentielles sans recourir à un bloc monolithique. Chaque module – Core RH, temps/absences, notes de frais, recrutement, formation, évaluations, workflows et reporting – doit pouvoir fonctionner de manière autonome ou intégrée.
Le périmètre Core RH englobe la gestion des employés, des contrats, des postes et des organigrammes. Il sert de référentiel unique pour toutes les données RH, sur lequel les autres modules s’appuient pour assurer cohérence et fiabilité.
Les fonctionnalités temps et absences incluent le suivi des horaires, des congés légaux et des absences pour maladie ou formation, avec des règles de validation flexibles. Cette brique doit pouvoir dialoguer avec une badgeuse ou un système de pointage tiers.
La gestion des notes de frais doit offrir une saisie rapide sur mobile, un workflow de validation configuré selon l’organigramme et une exportation automatisée vers la comptabilité. La rapidité et l’ergonomie améliorent l’adoption par les collaborateurs.
Périmètre Core RH et gestion du temps
Le Core RH doit permettre l’historisation des données contractuelles, la gestion des droits et la traçabilité des changements. Chaque modification (promotion, départ, mobilité interne) doit être horodatée et auditée.
Pour le suivi du temps de travail, un module configurable avec des règles légales suisses (temps partiel, heures supplémentaires, repos compensatoires) est indispensable. Il doit également encoder les heures indirectes liées aux projets.
Une intégration simple avec des terminaux de pointage externes assure la synchronisation des présences et le suivi en temps réel des effectifs disponibles sur site ou en télétravail.
Recrutement et formation
Le module ATS (Applicant Tracking System) doit offrir la gestion du cycle de vie d’un candidat, des offres d’emploi à l’intégration, tout en générant des rapports de temps de recrutement et de sources de candidatures.
La plateforme LMS pour la formation doit supporter des contenus e-learning, la planification des sessions présentielles et le suivi des compétences. Les workflows liés aux formations réglementaires doivent être automatisés.
La liaison entre ATS et LMS permet d’identifier rapidement les parcours de mobilité interne, favorisant l’employabilité et la satisfaction des collaborateurs.
Workflows, signatures et reporting
Les workflows de validation – embauche, départ, demande de congés ou note de frais – doivent être paramétrables par métier et par hiérarchie, avec des notifications automatisées.
La signature électronique doit être intégrée nativement, garantissant la conformité aux standards européens et suisses (certificats eIDAS, SuisseID) avec horodatage et traçabilité.
Le reporting analytique doit offrir des tableaux de bord RH en self-service, exportables en CSV ou JSON. Les KPIs clés incluent le turnover, le temps moyen de recrutement et le taux d’absentéisme.
Exemple : Une société de services financiers en Suisse romande a défini un périmètre modulaire pour son SIRH, déployant d’abord le Core RH et la gestion des temps avant d’ajouter l’ATS. Cette approche graduelle a démontré que la séparation des modules réduit de 30 % la complexité d’intégration et accélère l’adoption par les équipes métiers.
Garantir l’interopérabilité et la portabilité des données
Une architecture API-first et des standards ouverts sont indispensables pour éviter le vendor lock-in et faciliter les évolutions. Les mécanismes de provisioning, les protocoles SSO et les formats d’export ouverts assurent la circulation fluide des données entre les systèmes.
Une priorité API-first impose la mise à disposition de points de terminaison RESTful ou GraphQL pour toutes les entités RH, des employés jusqu’aux transactions de frais. Chaque service doit documenter ses endpoints avec OpenAPI.
Le protocole SCIM garantit le provisioning et le déprovisioning automatique des comptes utilisateurs dans les annuaires AD ou Azure AD. Les webhooks permettent de réagir en temps réel aux événements RH (embauche, départ, mutation).
Le SSO via SAML ou OpenID Connect centralise l’authentification, limite la gestion des mots de passe et renforce la sécurité. Les équipes appliquent ainsi des politiques 2FA ou MFA uniformes.
API-first et provisioning SCIM
Le cahier des charges doit spécifier la disponibilité d’une API CRUD pour chaque ressource RH (employé, position, congé). Les endpoints doivent prendre en charge la pagination, le filtrage et la mise à jour partielle (PATCH).
Le standard SCIM 2.0 doit être implémenté pour synchroniser les comptes utilisateurs et leurs groupes avec l’annuaire d’entreprise, garantissant que chaque collaborateur dispose des droits adéquats sans intervention manuelle.
Les webhooks doivent couvrir les événements critiques – nouvelle entrée, modification de rôle, suppression de compte – afin que les autres systèmes réagissent immédiatement (portail employés, DMS, ERP).
SSO SAML/OIDC et synchronisation d’annuaires
La mise en place d’un SSO standardisé réduit la friction pour les utilisateurs et renforce le contrôle d’accès. Le cahier des charges doit indiquer l’usage de métadonnées SAML ou de Discovery OIDC.
La synchronisation d’annuaire AD/Azure AD permet d’exploiter les groupes existants pour la gestion des permissions dans le SIRH, évitant la duplication manuelle des profils.
Le recours à un broker d’identité peut simplifier l’intégration de fournisseurs externes (portail fournisseurs, LMS tiers) tout en centralisant les politiques de sécurité.
Formats ouverts et migration des données
Les exports doivent pouvoir s’effectuer en CSV, JSON ou Parquet, avec schéma public et documentation des champs. Ces formats garantissent l’accessibilité sans dépendance à un éditeur.
Le plan de migration exige un dump initial complet des données, suivi de synchronisations incrémentales avant coupure. Les délais de reprise doivent être définis dans le SLA pour éviter tout black-out RH.
Le cahier des charges doit préciser la nécessité d’un schéma de données versionné pour anticiper les évolutions structurelles et faciliter l’audit.
Edana : partenaire digital stratégique en Suisse
Nous accompagnons les entreprises et les organisations dans leur transformation digitale
Sécurité, conformité et hébergement souverain en Suisse
Le SIRH gère des données personnelles hautement sensibles et doit respecter la LPD 2023 et le RGPD pour les collaborateurs UE. L’hébergement en cloud souverain et les mécanismes de chiffrement garantissent l’intégrité, la disponibilité et la confidentialité des données.
La nouvelle LPD 2023 exige la minimisation des données stockées, la tenue d’un registre des traitements et la définition de durées de conservation. Les données de santé ou RH spéciales doivent bénéficier de mesures renforcées.
Le RGPD s’applique pour tout salarié basé dans l’UE ou ayant une relation de travail avec un état membre. Le cahier des charges doit intégrer les droits d’accès, de rectification et d’effacement, via des API dédiées ou un portail dédié.
L’hébergement en Suisse, chez un provider certifié ISO 27001 ou équivalent, répond aux exigences de souveraineté et de disponibilité. Les data centers doivent se situer sur le territoire helvétique ou dans l’EEE sous conditions contractuelles strictes.
Conformité LPD 2023 et RGPD RH
Le document doit lister les catégories de données personnelles (identité, coordonnées, contrats, données sensibles) et justifier chaque traitement. Les durées de conservation légales doivent être explicitées.
Le registre des traitements doit être alimenté automatiquement par le SIRH, facilitant ainsi les audits internes et externes. Les workflows de notification d’incident doivent respecter les délais de déclaration (72 h pour le RGPD).
Les droits RGPD (droit à l’oubli, portabilité, opposition) nécessitent des API ou des formulaires sécurisés pour répondre aux demandes dans les 30 jours légaux.
Chiffrement, journalisation et habilitations
Le cahier des charges doit exiger le chiffrement des données au repos (AES-256) et en transit (TLS 1.3 minimum), avec gestion des clés via un HSM ou KMS certifié.
La journalisation sécurisée des accès et des actions critiques (exports, modifications de schéma, suppression de données) doit être immuable et conservée selon un cycle défini.
La gestion des habilitations doit reposer sur le principe du moindre privilège, avec recertification périodique des droits et approbations automatisées via workflows.
Plan de réversibilité et contrats
Le plan de réversibilité technique doit prévoir un dump complet des données, la restitution du schéma et des scripts de restauration. Les délais de livraison doivent être contractuels.
La réversibilité commerciale impose une clause d’export sans pénalité et, si nécessaire, un escrow des sources pour les briques sur-mesure.
Les contrats doivent définir les SLA (uptime, MTTR, support) et prévoir des pénalités en cas de non-respect. Les engagements de sécurité (ISO, SOC2) doivent être annexés.
Exemple : Un acteur de la formation continue suisse a choisi un hébergement cloud souverain et a intégré une clause d’export trimestrielle. À l’issue d’un audit LPD, la capacité à fournir un dump complet et un schéma détaillé a démontré la maîtrise totale de ses données et a rassuré ses partenaires internationaux.
Gouvernance, contrats et trajectoire MVP
Une gouvernance claire et des engagements contractuels alignés avec la stratégie métier assurent la pérennité du projet. La trajectoire MVP, priorisant 3–5 cas d’usage à ROI rapide, permet de valider l’approche avant d’étendre le périmètre.
La gouvernance projet doit s’appuyer sur des personas et une matrice RACI définissant responsabilités et acteurs pour chaque livrable. Le backlog de user stories, assorti de critères d’acceptation, oriente le développement et les tests.
La matrice d’intégration recense les systèmes cibles (paie, finance, DMS, badgeuse), les flux de données et les KPIs de suivi, facilitant la coordination entre DSI, métiers et prestataires.
Le plan de migration des données inclut un audit qualité, un mapping des champs et des scripts de nettoyage pour garantir l’intégrité dès le go-live.
Propriété des données et licences open-source
Le cahier des charges doit préciser que la propriété des données RH reste à l’entreprise, et que les développements sur-mesure lui sont transférés sans restriction.
Les briques open-source doivent bénéficier de licences permissives (MIT, Apache 2.0). Toute dépendance à une licence restrictive doit être explicite et justifiée par un cas d’usage.
La documentation du code sur-mesure et la gestion des versions via Git garantissent la traçabilité et la maintenabilité à long terme.
SLA, MTTR et clauses d’export
Les SLA doivent couvrir la disponibilité (99,5 % ou plus), les temps de réponse support (heures ouvrées ou 24/7) et le MTTR pour chaque type d’incident.
Les clauses d’export sans pénalité et la possibilité d’accession aux sources via escrow renforcent la sécurité juridique et technique du projet.
Le cahier des charges doit préciser les échéances des livraisons, les modalités de recette et les critères de succès (adoption, délais de traitement RH, réduction des erreurs de paie).
Stratégie MVP et itérations
Le MVP se concentre sur 3 à 5 cas d’usage critiques (embauche, gestion congés, reporting de base) pour délivrer rapidement de la valeur et sécuriser les financements.
Les sprints trimestriels intègrent des revues de backlog, des démonstrations métiers et des rétrospectives permettant d’ajuster les priorités en fonction du retour terrain.
Le coût total de possession (TCO) inclut la phase build, le run et les évolutions, assurant une vision financière claire pour anticiper les besoins futurs.
Exemple : Un groupe industriel suisse a lancé un MVP couvrant l’embauche, le suivi du temps et un reporting minimal en six semaines. Après validation des utilisateurs pilotes, les itérations trimestrielles ont permis d’ajouter le module ATS et la formation, tout en maîtrisant le budget TCO.
Bâtir un SIRH ouvert, maîtrisé et réversible
Un cahier des charges structuré autour d’un périmètre modulaire, d’exigences API-first, de standards d’interopérabilité et de garanties de conformité permet d’éviter les pièges du vendor lock-in, de sécuriser les données et de préparer la réversibilité technique et contractuelle.
La gouvernance par personas et RACI, le backlog user stories, la matrice d’intégration et le plan MVP garantissent une trajectoire ROI rapide et adaptable. Les clauses SLA, d’export et d’archivage achèvent de protéger votre investissement.
Nos experts accompagnent chaque étape, du cadrage stratégique à l’architecture ouverte, en privilégiant des briques open-source éprouvées et des développements sur-mesure là où ils créent un avantage métier.
