RGPD & contrat de travail

Conformément à l’article 13 du RGPD, les salariés doivent être informés des traitements relatifs à leurs données personnelles. Cette clause doit détailler les types de données collectées, incluant notamment les informations d’identification (nom, prénom, adresse), les données financières (coordonnées bancaires), ainsi que les données sensibles, comme les arrêts maladie ou certificats médicaux. Elle doit également expliciter les finalités de ces traitements, telles que la gestion administrative, l’établissement des bulletins de paie ou le respect des obligations en matière de sécurité au travail.

Exemple pour le traitement des données relatif aux formations de l’employé :

Traitement : Gestion des formations

 Données collectées : Nom, prénom, poste occupé, historique des formations suivies, résultats d’évaluations éventuelles.

Finalité du traitement : Organisation des formations obligatoires et facultatives, suivi des compétences, conformité réglementaire.

Base légale : Exécution du contrat (article 6.1.b du RGPD) et obligation légale (article 6.1.c du RGPD).

 Durée de conservation : 5 ans après la fin de la relation de travail ou conformément aux exigences légales spécifiques.

Les articles 15 à 22 du RGPD garantissent aux salariés des droits spécifiques sur leurs données personnelles. Ces droits incluent notamment :

• Le droit d’accès, permettant au salarié d’obtenir une copie des données conservées, telles que son historique de formations ou ses évaluations professionnelles ;

• Le droit de rectification, utile pour corriger des erreurs administratives, comme une adresse incorrecte ;

• Le droit à l’effacement, activable sous certaines conditions, notamment après la cessation du contrat de travail, sauf obligations légales de conservation ;

• Le droit à la portabilité des données, pertinent lors d’un changement d’organisme de prévoyance ou de mutuelle.

Le contrat doit indiquer les modalités d’exercice de ces droits, notamment en mentionnant les coordonnées du Délégué à la Protection des Données (DPO) ou du service dédié. Les délais de traitement des demandes doivent également être précisés : un mois maximum, prolongeable à deux mois dans certains cas complexes.

Le principe de limitation de la conservation, prévu par l’article 5 du RGPD, impose que les données soient conservées pour une durée proportionnée aux finalités poursuivies. Par exemple, les bulletins de paie doivent être conservés pendant cinq ans, conformément à l’article L3243-4 du Code du travail, tandis que les documents relatifs à des accidents du travail peuvent être conservés jusqu’à dix ans. Une politique de suppression périodique des données doit accompagner cette clause pour garantir la conformité aux exigences réglementaires.

Cette clause vise à protéger les informations auxquelles le salarié pourrait avoir accès dans l’exercice de ses fonctions. Par exemple, un assistant RH manipulant les données personnelles de ses collègues doit respecter une stricte confidentialité et s’abstenir de toute divulgation non autorisée. La clause peut également prévoir des sanctions disciplinaires en cas de manquement, pouvant aller jusqu’à un licenciement pour faute grave.

Exemple :

« Le salarié reconnaît que, dans le cadre de l’exercice de ses fonctions, il peut être amené à accéder à des informations confidentielles, sensibles ou stratégiques, appartenant à l’entreprise ou à ses partenaires. Ces informations peuvent inclure, sans que cette liste soit limitative :

• Des données personnelles relatives aux salariés, clients ou partenaires de l’entreprise ;

• Des informations financières, commerciales, stratégiques ou techniques ;

•   Des documents relatifs aux projets en cours, aux contrats, aux négociations ou à la propriété intellectuelle de l’entreprise.

Le salarié s’engage à :

• Ne pas divulguer, transmettre ou permettre l’accès à ces informations à des tiers non autorisés, sauf en cas d’obligation légale ou avec l’autorisation expresse et préalable de l’employeur ;

•   Utiliser ces informations exclusivement dans le cadre de ses fonctions professionnelles et conformément aux instructions données par l’employeur ;

• Mettre en œuvre toutes les mesures nécessaires pour protéger la confidentialité de ces informations, notamment en respectant les outils, procédures et dispositifs de sécurité fournis par l’entreprise ;

•   Restituer ou détruire, à la demande de l’employeur ou à la fin du contrat, tout support contenant des informations confidentielles, qu’il s’agisse de documents physiques ou numériques.

Cette obligation de confidentialité s’applique pendant toute la durée du contrat de travail et continue à produire ses effets après la cessation de celui-ci, quelle qu’en soit la cause, pour une durée de [X ans] ou sans limitation de durée en cas d’informations couvertes par un secret protégé par la loi.

En cas de manquement à ces obligations, des sanctions disciplinaires pourront être engagées, pouvant aller jusqu’à un licenciement pour faute grave. Le salarié pourra également engager sa responsabilité civile ou pénale, en fonction de la nature et de la gravité des faits. »

Certaines lacunes dans la rédaction des contrats de travail peuvent compromettre la conformité au RGPD :

• Omission de clauses RGPD : certains contrats de travail n’intègrent pas de clause spécifique sur le traitement des données personnelles. Cette absence expose l’employeur à des risques de sanctions administratives et de litiges avec les salariés.

• Mention inadéquate du consentement : insérer une clause où le salarié consent au traitement de ses données peut être problématique. En raison de la relation de subordination, le consentement ne peut être considéré comme librement donné. Le contrat doit s’appuyer sur des bases légales appropriées, comme l’exécution du contrat ou le respect d’obligations légales.

• Insuffisance des engagements de confidentialité : des clauses de confidentialité trop générales ou vagues peuvent limiter la capacité de l’employeur à sanctionner un salarié en cas de violation.

Le non-respect des dispositions du RGPD peut exposer une entreprise à des sanctions financières significatives, pouvant atteindre 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial, conformément à l’article 83 du RGPD. En outre, des violations de données peuvent nuire à la réputation de l’entreprise, affectant sa capacité à recruter ou à conserver ses talents.

L’intégration des clauses RGPD dans les contrats de travail constitue une exigence essentielle pour garantir la conformité des entreprises et protéger les droits des salariés. En prévoyant des dispositions claires, précises et conformes aux exigences légales, les organisations renforcent leur sécurité juridique et instaurent une culture de transparence et de responsabilité, en phase avec la réglementation en matière de protection des données personnelles.