Comment rédiger une clause RGPD dans un contrat de travail en 2024 ?

Pour les services de ressources humaines, la rédaction d’un contrat de travail peut parfois s’avérer être un casse-tête long et fastidieux. En effet, la moindre omission sur un contrat de travail ou une mauvaise rédaction d’une clause peut entraîner des conséquences non négligeables pour la société (ex : versement d’indemnités, requalification en CDI, etc.).

Il faut donc veiller scrupuleusement à la rédaction de chacune des clauses d’un contrat de travail et y apporter un soin tout particulier. Et comme si cela ne suffisait pas, le RGPD fait peser sur les employeurs une obligation d’information auprès de leurs salariés concernant le traitement de leurs données personnelles.

Autrement dit, il faut donc dorénavant prévoir dans les contrats de travail une clause relative au traitement des données personnelles des nouveaux employés !

Comment rédiger cette clause ? Que doit-elle inclure ?

À titre préliminaire : de quoi parle-t-on ?

En application des dispositions légales, dans le cadre des traitements RH, l’employeur est tenu d’une obligation d’information à l’égard de ses salariés avant la mise en œuvre d’un traitement.

Plus simplement, cela veut dire qu’avant même de traiter les données d’un nouveau salarié, celui-ci doit être informé des éléments suivants :

• Quelles données vont être traitées ?
• Pourquoi l’employeur en a-t-il besoin ? À quoi vont servir les données ?
• Combien de temps vont-elles être conservées ?
• Quels sont mes droits concernant ces données ?
• Qui a accès à mes données ? Qui est le responsable du traitement de mes données ?

On parle d’une obligation d’information (conformément aux articles 12, 13 et 14 du RGPD) qui doit donc figurer au contrat de travail du salarié. Au même titre que les autres clauses de son contrat, le Salarié va pouvoir la lire, la vérifier, et en signant le contrat, y donner son accord. On considérera que sur ce volet, l’obligation d’information de l’employeur a donc été remplie puisqu’il aura recueilli le consentement libre et éclairé du collaborateur.

Clause RGPD ou mention d’information ?

La question se pose de savoir s’il faut inclure une clause RGPD dans les contrats de travail ou s’il s’agit de remettre au candidat un document distinct. Quid en effet des contrats de travail qui ont été signés avant l’entrée en vigueur du RGPD ?

Plusieurs possibilités s’offrent à vous :

• Soit, vous incluez une clause RGPD dans le contrat de travail de vos nouveaux collaborateurs.
• Ou vous pouvez prévoir, pour les anciens collaborateurs, un avenant à leur contrat de travail pour inclure une clause RGPD.
• Ou vous pouvez, si vous décidez de ne pas alourdir les contrats de travail, prévoir une notice d’information, qui sera remise à chacun de vos employés, indiquant les mentions évoquées au point 1. Vous devrez recueillir leur signature sur ce nouveau formulaire pour avoir une trace écrite de leur consentement libre et éclairé.

Qu’inclure dans une clause RGPD au sein d’un contrat de travail ?

Si vous avez choisi d’inclure une clause RGPD dans le contrat de travail de vos salariés, voici les éléments qu’elle doit inclure. Les formulations données ci-après ne sont données qu’à titre indicatif et n’engagent pas la responsabilité de son auteur ou de Culture RH. Elles ne sont données que pour vous orienter vers des possibilités rédactionnelles, il vous convient de les ajuster.

La finalité des traitements

Commencez par indiquer pourquoi vous avez besoin des données personnelles des salariés.

Exemple de formulation : « Aux fins de gestion du personnel et de traitement des rémunérations, notre entreprise procédera au traitement de certaines données personnelles vous concernant. » Ou « À l’occasion de la conclusion, de l’exécution et le cas échéant, de la rupture de votre contrat de travail, notre entreprise sera amenée à procéder au traitement de certaines données personnelles vous concernant. ».

Pensez, n’oubliez aucune finalité !

La suite après la publicité

À lire également :

• RGPD & RH, quelles sanctions en cas de non-respect des dispositions légales ?
• RGPD & Paie, quelles obligations à la charge des services RH ?
• RGPD & Recrutement, que faire des données personnelles des candidats non-retenus ?

Les droits du salarié

C’est le point le plus important. Il faut indiquer au salarié quels sont ses droits relatifs aux traitements de ses données personnelles. N’oubliez aucun droit : accès, rectification, effacement, opposition, portabilité, limitation et connaissance du sort de ses données après sa mort.

Exemple de formulation : « Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée et au Règlement Général sur la Protection des Données du 27 avril 2016, le Salarié dispose du droit d’accéder à ses données, de les rectifier, de faire effacer celles qui ne seraient plus valides, de s’opposer à leur traitement, ainsi que d’un droit à la portabilité des données, à la limitation des traitements et à connaître le sort de ses données après sa mort. »

L’exercice des droits

Vous avez informé le salarié de ses droits, c’est une bonne chose. Vous devez maintenant lui expliquer comment procéder à l’exercice de ses droits. Pour cela, vous devez indiquer les éléments suivants :

• Le nom du responsable de traitement au sein de l’entreprise. Attention, cela ne peut pas être un nom générique (ex : « Service RH ») mais bien le nom d’une personne identifiée.
• L’adresse mail ou l’adresse postale à laquelle exercer la demande.
• Le délai sous lequel l’entreprise répondra à sa demande. Attention, le délai courant est d’un mois, vous pouvez aller jusqu’à 3 mois en cas de demande complexe et/ou abusive et/ou répétitive du salarié.

Exemple de formulation : « Le Salarié peut consulter les données le concernant et exercer ses droits par mail à l’adresse (mail). Le responsable de traitement est (nom, prénom). La Société lui répondra dans un délai d’un mois maximum. »

La conservation des données

Indiquez ensuite la durée de conservation des données. Celle-ci ne peut pas être indéfinie, le RGPD posant pour exemple le principe que les bulletins de paie ne peuvent être conservés que jusqu’à 5 ans après le départ du salarié de l’entreprise.

Exemple de formulation : « Les données nécessaires à (indiquez la finalité) sont conservées pendant X ans dans le (indiquez le logiciel ou outil de conservation) puis archivées de façon sécurisée. » Ou « Les données de (indiquez la finalité) sont conservées durant l’exécution du contrat de travail et détruites X ans après la fin de celui-ci. »

La sécurisation des données

Indiquez comment sont protégées les données du salarié.

Exemple de formulation : « Les données sont enregistrées sur un serveur local sécurisé. »

À lire également :

• Comment rédiger une clause de non-concurrence dans un contrat de travail ?
• Comment faire de la prévention RH en termes de rupture du contrat de travail ?
• Contrat de Travail Intérimaire : quelles sont les mentions obligatoires ?

L’accès aux données

N’oubliez pas d’indiquer qui a accès aux données du salarié. Pensez à bien lire nos articles dédiés au RGPD pour vous assurer que l’accès aux données personnelles du salarié est limité aux seules personnes habilitées.

Exemple de formulation : « Les destinataires des données du salarié sont les services internes de notre entreprise, les organismes de sécurité sociale, notre banque, les caisses de retraite et de prévoyance, la mutuelle, les services des impôts, le service de médecine du travail, etc. »

Le consentement du salarié

Pensez à inclure une phrase indiquant qu’en signant ce contrat, le salarié autorise la société à traiter ses données.

Exemple de formulation : « En signant son contrat de travail, le salarié consent au traitement, à la collecte et au stockage de ses données personnelles. »

Si vous avez un doute sur la formulation ou si vous voulez être sûrs de ne rien avoir oublié, pensez à faire vérifier le contrat de travail par le juriste de votre entreprise, votre Délégué à la protection des données ou bien un avocat en droit des données personnelles.