Le contrat de travail, en tant que document juridique engageant les deux parties, joue un rôle central dans la mise en conformité des entreprises avec le Règlement Général sur la Protection des Données (RGPD). L’intégration de clauses spécifiques liées au traitement des données personnelles est rendue obligatoire par l’article 13 du RGPD, lequel impose une information claire et transparente à destination des salariés. Ces dispositions garantissent non seulement le respect des principes fondamentaux du RGPD, tels que la limitation des finalités, la minimisation des données et la limitation de leur conservation, mais aussi une gestion éthique et sécurisée des informations personnelles.

Les clauses essentielles du contrat de travail au regard du RGPD

1.      Clause d’information sur le traitement des données personnelles

Conformément à l’article 13 du RGPD, les salariés doivent être informés des traitements relatifs à leurs données personnelles. Cette clause doit détailler les types de données collectées, incluant notamment les informations d’identification (nom, prénom, adresse), les données financières (coordonnées bancaires), ainsi que les données sensibles, comme les arrêts maladie ou certificats médicaux. Elle doit également expliciter les finalités de ces traitements, telles que la gestion administrative, l’établissement des bulletins de paie ou le respect des obligations en matière de sécurité au travail.

Exemple pour le traitement des données relatif aux formations de l’employé :

Traitement : Gestion des formations

 Données collectées : Nom, prénom, poste occupé, historique des formations suivies, résultats d’évaluations éventuelles.

Finalité du traitement : Organisation des formations obligatoires et facultatives, suivi des compétences, conformité réglementaire.

Base légale : Exécution du contrat (article 6.1.b du RGPD) et obligation légale (article 6.1.c du RGPD).

 Durée de conservation : 5 ans après la fin de la relation de travail ou conformément aux exigences légales spécifiques.

2.      Droits des salariés

Les articles 15 à 22 du RGPD garantissent aux salariés des droits spécifiques sur leurs données personnelles. Ces droits incluent notamment :

  • Le droit d’accès, permettant au salarié d’obtenir une copie des données conservées, telles que son historique de formations ou ses évaluations professionnelles ;

  • Le droit de rectification, utile pour corriger des erreurs administratives, comme une adresse incorrecte ;

  • Le droit à l’effacement, activable sous certaines conditions, notamment après la cessation du contrat de travail, sauf obligations légales de conservation ;

  • Le droit à la portabilité des données, pertinent lors d’un changement d’organisme de prévoyance ou de mutuelle.

Le contrat doit indiquer les modalités d’exercice de ces droits, notamment en mentionnant les coordonnées du Délégué à la Protection des Données (DPO) ou du service dédié. Les délais de traitement des demandes doivent également être précisés : un mois maximum, prolongeable à deux mois dans certains cas complexes.

3.      Durée de conservation des données

Le principe de limitation de la conservation, prévu par l’article 5 du RGPD, impose que les données soient conservées pour une durée proportionnée aux finalités poursuivies. Par exemple, les bulletins de paie doivent être conservés pendant cinq ans, conformément à l’article L3243-4 du Code du travail, tandis que les documents relatifs à des accidents du travail peuvent être conservés jusqu’à dix ans. Une politique de suppression périodique des données doit accompagner cette clause pour garantir la conformité aux exigences réglementaires.

4.      Clause de confidentialité

Cette clause vise à protéger les informations auxquelles le salarié pourrait avoir accès dans l’exercice de ses fonctions. Par exemple, un assistant RH manipulant les données personnelles de ses collègues doit respecter une stricte confidentialité et s’abstenir de toute divulgation non autorisée. La clause peut également prévoir des sanctions disciplinaires en cas de manquement, pouvant aller jusqu’à un licenciement pour faute grave.

Exemple :

« Le salarié reconnaît que, dans le cadre de l’exercice de ses fonctions, il peut être amené à accéder à des informations confidentielles, sensibles ou stratégiques, appartenant à l’entreprise ou à ses partenaires. Ces informations peuvent inclure, sans que cette liste soit limitative :

  • Des données personnelles relatives aux salariés, clients ou partenaires de l’entreprise ;

  • Des informations financières, commerciales, stratégiques ou techniques ;

  •   Des documents relatifs aux projets en cours, aux contrats, aux négociations ou à la propriété intellectuelle de l’entreprise.

Le salarié s’engage à :

  • Ne pas divulguer, transmettre ou permettre l’accès à ces informations à des tiers non autorisés, sauf en cas d’obligation légale ou avec l’autorisation expresse et préalable de l’employeur ;

  •   Utiliser ces informations exclusivement dans le cadre de ses fonctions professionnelles et conformément aux instructions données par l’employeur ;

  • Mettre en œuvre toutes les mesures nécessaires pour protéger la confidentialité de ces informations, notamment en respectant les outils, procédures et dispositifs de sécurité fournis par l’entreprise ;

  •   Restituer ou détruire, à la demande de l’employeur ou à la fin du contrat, tout support contenant des informations confidentielles, qu’il s’agisse de documents physiques ou numériques.

Cette obligation de confidentialité s’applique pendant toute la durée du contrat de travail et continue à produire ses effets après la cessation de celui-ci, quelle qu’en soit la cause, pour une durée de [X ans] ou sans limitation de durée en cas d’informations couvertes par un secret protégé par la loi.

En cas de manquement à ces obligations, des sanctions disciplinaires pourront être engagées, pouvant aller jusqu’à un licenciement pour faute grave. Le salarié pourra également engager sa responsabilité civile ou pénale, en fonction de la nature et de la gravité des faits. »

5.      Les erreurs fréquentes dans la rédaction des contrats de travail

Certaines lacunes dans la rédaction des contrats de travail peuvent compromettre la conformité au RGPD :

  • Omission de clauses RGPD : certains contrats de travail n’intègrent pas de clause spécifique sur le traitement des données personnelles. Cette absence expose l’employeur à des risques de sanctions administratives et de litiges avec les salariés.

  • Mention inadéquate du consentement : insérer une clause où le salarié consent au traitement de ses données peut être problématique. En raison de la relation de subordination, le consentement ne peut être considéré comme librement donné. Le contrat doit s’appuyer sur des bases légales appropriées, comme l’exécution du contrat ou le respect d’obligations légales.

  • Insuffisance des engagements de confidentialité : des clauses de confidentialité trop générales ou vagues peuvent limiter la capacité de l’employeur à sanctionner un salarié en cas de violation.

6.      Conséquences d’une non-conformité

Le non-respect des dispositions du RGPD peut exposer une entreprise à des sanctions financières significatives, pouvant atteindre 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial, conformément à l’article 83 du RGPD. En outre, des violations de données peuvent nuire à la réputation de l’entreprise, affectant sa capacité à recruter ou à conserver ses talents.

 

L’intégration des clauses RGPD dans les contrats de travail constitue une exigence essentielle pour garantir la conformité des entreprises et protéger les droits des salariés. En prévoyant des dispositions claires, précises et conformes aux exigences légales, les organisations renforcent leur sécurité juridique et instaurent une culture de transparence et de responsabilité, en phase avec la réglementation en matière de protection des données personnelles.

Nos derniers articles

A la recherche d'un DPO externe, d’un accompagnement ou d’une formation RGPD ?

Notre équipe est à votre disposition pour découvrir vos besoins et vous proposer une méthodologie d'intervention adaptée.