La mention RGPD (Règlement Général sur la Protection des Données) doit apparaître lors de la rédaction d’un contrat de travail. L’entreprise a l’obligation d’informer les salariés à propos des traitements de leurs données personnelles, conformément aux articles 12,13 et 14 du RGPD. Comment rédiger cette clause ? Quels sont les éléments à inclure ? Quel est le cadre réglementaire ?
Qu’est-ce que la mention RGPD dans un contrat de travail ?
La clause du contrat de travail concernant la RGPD (Règlement Général sur la Protection des Données) a pour objectif de protéger les données et la vie privée du salarié, en garantissant la confidentialité et la sécurité de ses informations personnelles. Ainsi, il doit être informé de la gestion de ses données personnelles et des droits dont il dispose dessus.
Que dit la loi à ce sujet ? Le Règlement général sur la protection des données (RGPD) s’applique depuis le 25 mai 2018 à toute organisation, publique et privée, quels que soient sa taille (entreprises, ministères, administrations, collectivités, associations…), qui traite des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou qui, non établie sur le territoire européen, cible directement des résidents européens.
Le Code du Travail ne prévoit pas de définition précise quant à cette mention. La clause RGPD représente une disposition relative au contrat de travail. Elle vise à informer les collaborateurs de la manière dont seront traitées leurs données personnelles. Celles-ci peuvent concerner l’identification du salarié (nom, prénom, lieu et date de naissance, nationalité, coordonnées…), le suivi et l’évolution de sa carrière (diplômes, évaluation, dates et bilans des entretiens annuels d’évaluation…), les informations relatives à la rémunération et les obligations légales connexes (fiche de paie, numéro de sécurité sociale, situation personnelle/ familiale…) ou encore les données relatives aux accidents du travail et aux arrêts maladie (date de l’accident, constatation médicale, motif de l’arrêt maladie professionnelle…).
- Bon à savoir : L’article 21 de la CNIL précise les conditions du droit d’opposition. Ainsi, une personne physique “a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.”
Quels éléments doivent apparaître ?
Après le recrutement du salarié vient la rédaction de son contrat de travail. La clause RGPD doit comporter diverses mentions. Si le salarié ne les respecte pas, il s’expose à la mise en place des sanctions disciplinaires et pénales.
- Finalité de la collecte de données et leur traitement
Cette mention de la clause RGPD du contrat de travail indique pourquoi les données personnelles des salariés vont être collectées et traitées à un moment donné. La collecte et le traitement des données doivent être strictement limitées au but recherché. Ainsi, les organismes qui les recevront doivent y être habilités. La clause RGPD du contrat de travail peut par exemple préciser que la collecte ainsi que le traitement des données est nécessaire aux diverses déclarations aux organismes sociaux.
- Droits des salariés
L’employeur doit faire mention des droits des collaborateurs quant à leurs données personnelles (droit d’accès, de rectification, portabilité, d’opposition, d’effacement, de limitation du traitement). Vous pouvez par exemple mentionner le nom du responsable du traitement des données dans l’entreprise et ses coordonnées.
- Durée de conservation des données
Pour information : L’employeur doit conserver les fiches de paie du salarié cinq ans après son départ de l’entreprise.
- Sécurisation et accès aux données
Le contrat de travail doit faire mention de la clause RGPD et mentionner comment sont protégées les données collectées ainsi que les personnes qui pourraient y avoir accès. Les entreprises peuvent par exemple lister les organismes (sécurité sociale, caisses de retraite, prévoyance…) qui auront accès aux données.
- Confidentialité
Si les fonctions d’un collaborateur implique qu’il ait accès aux données personnelles des autres salariés, une clause RGPD de son contrat de travail peut prévoir une mention garantissant la confidentialité de celles-ci. D’ailleurs, l’engagement de sa part concernant l’utilisation et la communication de données à caractère personnel pourra être effectif même après qu’il ait quitté ses fonctions. Si la conformité de cet engagement n’est pas respectée, il risque des sanctions, conformément à la réglementation en vigueur.
Enfin, il est important d’inclure une phrase indiquant que le salarié autorise l’employeur à traiter ses données.
Comment rédiger la mention RGPD d’un contrat de travail ?
La clause RGPD de protection des données personnelles dans un contrat de travail est un élément important pour garantir la confidentialité et la sécurité des informations confidentielles des employés.
Pour résumer, le contrat de travail doit faire mention de :
- la finalité de la gestion et du traitement des données
- les catégories de ces données
- les droits des salariés les concernant
- les destinataires (les services administratifs, les prestataires de services RH…)
- leur durée de conservation
- la sécurisation et l’accès aux données
- le consentement du salarié
En somme, la clause de protection des données personnelles dans un contrat de travail doit fournir des informations claires et précises sur la manière dont les données personnelles de l’employé sont collectées, traitées et protégées par l’employeur, ainsi que sur les droits dont dispose l’employé en la matière.
