L’intégration d’une clause RGPD dans un contrat de travail est essentielle pour assurer l’information des salariés sur la protection de leurs données personnelles et définir les responsabilités de l’employeur en matière de traitement des données. Cette clause encadre la collecte, l’utilisation et la conservation des données personnelles au sein de l’entreprise, en conformité avec le règlement général sur la protection des données (RGPD).
Quelles sont vos obligations en tant qu’employeur ? Que doit contenir une clause RGPD ? Comment garantir la confidentialité des données des salariés ? Cet article vous apporte une explication détaillée pour intégrer cette clause dans vos contrats de travail.
Pourquoi intégrer une clause rgpd dans un contrat de travail ?
Informer les salariés sur les traitements de leurs données personnelles des salaries par l’employeur
Le RGPD impose aux employeurs d’assurer la protection des données personnelles de leurs salariés. Ces données à caractère personnel incluent :
- Informations d’identification : nom, prénom, adresse, numéro de téléphone
- Coordonnées bancaires
- Données relatives aux arrêt de travail (arrêts maladie, visite médicale en entreprise)
- Historique professionnel et évaluations
- Données de connexion et de géolocalisation dans un contexte professionnel
L’employeur, en tant que responsable du traitement, doit préciser dans le contrat de travail comment ces données sont collectées, utilisées et protégées. Il doit également respecter les droits des salariés en matière de confidentialité et de durée de conservation des données.
Prévenir les risques liés à la protection des données
Une clause RGPD dans un contrat de travail permet d’informer les salariés sur les traitements de leurs données réalisés par l’employeur dans le cadre de l’exécution de leur contrat de travail. L’entreprise doit garantir que les données personnelles ne seront pas utilisées de manière abusive et qu’elles seront protégées contre tout accès non autorisé ou fuite de données.
En cas de manquement, l’employeur s’expose à des sanctions de la CNIL pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros d’amende.
Que doit contenir une clause rgpd dans un contrat de travail ?
1. identification du responsable du traitement
La clause doit indiquer qui est le responsable du traitement des données au sein de l’entreprise et, si nécessaire, préciser l’identité du DPO (délégué à la protection des données). Si l’entreprise a opté pour une externalisation DPO, cela doit être mentionné.
2. finalité du traitement des données
L’employeur doit préciser les raisons légitimes pour lesquelles il collecte et traite les données personnelles des salariés. Cela peut inclure :
- La gestion administrative du personnel
- Le paiement des salaires
- Le suivi des performances et formations
- La sécurité informatique et la gestion des accès
- La conformité aux obligations légales et réglementaires
3. catégories de données collectées
La clause doit détailler les données à caractère personnel collectées, en précisant si certaines données sensibles (ex. : données de santé, données biométriques) sont concernées et sous quelles conditions elles peuvent être traitées.
4. base légale du traitement
L’employeur doit préciser la base légale de traitement sur laquelle il s’appuie pour traiter les données. Cette base légale doit être précisée pour chaque type de traitement (recrutement, gestion de la paie, etc. ).
Les bases légales en matière de ressources humaines sont souvent : le respect d’une obligation légale, le contrat de travail ou l’intérêt légitime de l’employeur.
5. durée de conservation des données
La durée de conservation des données doit être clairement définie en fonction des objectifs poursuivis. Par exemple, certaines données personnelles doivent être conservées 5 ans après le départ du salarié, tandis que d’autres, comme les documents relatifs à la paie, doivent être conservées pendant 10 ans.
6. droits des salariés sur leurs données personnelles
La clause RGPD doit rappeler les droits des salariés en matière de protection des données :
- Droit d’accès : possibilité de demander une copie des données collectées
- Droit de rectification : modification des données erronées
- Droit à l’effacement : suppression des données non nécessaires
- Droit à la limitation du traitement : gel temporaire du traitement des données
- Droit d’opposition : refus de certaines utilisations des données
- Droit à la portabilité : transfert des données vers un autre organisme
- Droit de définir des directives post-mortem
Ces droits doivent être facilités par l’employeur, qui doit informer les salariés des modalités d’exercice.
7. mesures de sécurité mises en place
L’employeur doit garantir la sécurité des données personnelles en mettant en place des mesures techniques et organisationnelles adaptées, telles que :
- Contrôle des accès aux informations sensibles
- Chiffrement et anonymisation des données
- Sensibilisation des salariés aux bonnes pratiques RGPD
- Contrôle des sous-traitants traitant les données des employés
Parmi les règles organisationnelles, Une charte informatique peut être mise en place pour préciser les règles d’utilisation des outils et données en entreprise.
Clause rgpd et sous-traitance des données : quelles précautions ?
Dans certains cas, l’entreprise peut être amenée à transmettre certaines données des salariés à des prestataires externes (ex. : logiciels RH, paie, services cloud). L’employeur doit alors s’assurer que ces prestataires respectent le RGPD et les engager contractuellement via des accords de protection des données, notamment des accords de sous-traitance RGPD.
Si les données personnelles sont transférées hors de l’UE, des garanties spécifiques doivent être mises en place, notamment via la signature des clauses contractuelles types (CCT) de la Commission européenne.
Quelles sanctions en cas de non-respect du rgpd dans les contrats de travail ?
Si l’employeur ne respecte pas ses obligations en matière de protection des données personnelles, il s’expose à des sanctions de la CNIL et des actions en justice de la part des salariés.
Les salariés peuvent également déposer une plainte auprès de la Commission nationale de l’informatique et des libertés (CNIL). Pour plus d’informations, vous pouvez consulter les obligations des employeurs en matière de RGPD sur le site du service public.
Pour finir :
L’intégration d’une clause RGPD dans un contrat de travail est une démarche essentielle pour garantir l’information des salariés sur les traitements de leurs données personnelles et assurer la conformité de l’entreprise aux exigences du RGPD. En définissant clairement les obligations de l’employeur et les droits des salariés, cette clause permet de limiter les risques juridiques et de renforcer la sécurité des données personnelles.
Pour aller plus loin, n’hésitez pas à consulter nos articles sur le sujet sur notre blog et à vous faire accompagner par un DPO externalisé pour garantir une mise en conformité optimale.
Auteur : Maître Leben, avocat au barreau de Paris
