Guides & Ressources pratiques
Vente en l'état futur d'achèvement (VEFA) : cadre et garanties
Rédiger la clause RGPD du contrat de travail
Guides & Ressources pratiques
18 Jun 2026
-
8 min de lecture
-
Par
Points clés de l'article
- La clause RGPD du contrat de travail informe le salarié du traitement de ses données personnelles par l'employeur.
- Elle doit mentionner les finalités, la base légale, la durée de conservation et les droits du salarié (accès, rectification, suppression).
- Le RGPD n'impose pas de recueillir le consentement du salarié pour traiter ses données liées à l'exécution du contrat : la base légale est le contrat lui-même ou l'obligation légale.
- Pour les salariés déjà en poste, une note d'information ou un avenant suffit à régulariser la situation.
- L'absence d'information expose l'entreprise à des sanctions CNIL pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Rédiger la clause RGPD du contrat de travail
Clause RGPD du contrat de travail : définition
Pourquoi insérer une clause RGPD pour les salariés
Mentions obligatoires de la clause RGPD
Distinguer clause contractuelle et information RGPD
Salariés en poste : avenant ou note d'information
Sanctions en cas de clause RGPD absente
Rédiger la clause RGPD du contrat de travail
Depuis l'entrée en application du RGPD le 25 mai 2018, tout employeur qui collecte des données personnelles doit en informer la personne concernée. Le salarié est la première personne concernée dans l'entreprise : nom, adresse, numéro de sécurité sociale, coordonnées bancaires, évaluations professionnelles. La clause RGPD du contrat de travail constitue le support naturel de cette information. Pourtant, selon la CNIL, de nombreuses TPE-PME n'ont toujours pas formalisé cette obligation. Ce guide détaille les mentions à intégrer, les pièges à éviter et les risques encourus.
Clause RGPD du contrat de travail : définition
La clause RGPD est un article du contrat de travail qui décrit comment l'employeur traite les données personnelles du salarié. Elle ne crée pas de nouvelle obligation pour le salarié : elle remplit le devoir d'information imposé par les articles 13 et 14 du RGPD.
Concrètement, cette clause précise :
- Qui est responsable du traitement (l'entreprise, identifiée par sa dénomination sociale et son siège).
- Quelles données sont collectées (état civil, coordonnées, données bancaires, données de santé le cas échéant).
- Pourquoi elles sont traitées (gestion de la paie, suivi des absences, formation).
- Combien de temps elles sont conservées.
- Quels droits le salarié peut exercer.
Elle se distingue d'une clause de confidentialité, qui engage le salarié à ne pas divulguer les informations de l'entreprise. La clause RGPD, elle, engage l'employeur envers le salarié.
Pourquoi insérer une clause RGPD pour les salariés
L'article 13 du RGPD impose au responsable de traitement de fournir une information « concise, transparente, compréhensible et aisément accessible ». Le contrat de travail est le premier document signé par le salarié : y intégrer cette information garantit sa traçabilité.
3 raisons concrètes justifient cette insertion :
- Preuve de conformité. En cas de contrôle CNIL, l'employeur doit démontrer qu'il a informé chaque salarié. Un contrat signé contenant la clause constitue une preuve directe.
- Réduction du risque contentieux. Un salarié qui conteste son licenciement peut invoquer un défaut d'information RGPD pour renforcer son dossier devant les prud'hommes.
- Confiance et transparence. Informer dès l'embauche pose un cadre clair sur l'utilisation des données, ce qui limite les litiges ultérieurs.
Structurer la conformité RGPD de votre entreprise nécessite un cadrage juridique adapté à votre organisation.
Faites-vous accompagner par un avocat spécialisé en conformité
Mentions obligatoires de la clause RGPD
L'article 13 du RGPD liste les informations à fournir au moment de la collecte. Voici les mentions à intégrer dans la clause, résumées dans le tableau ci-dessous.
| Mention obligatoire | Contenu attendu | Exemple concret |
|---|---|---|
| Identité du responsable de traitement | Dénomination sociale, adresse, contact DPO ou référent | SAS Exemple, 10 rue X, Paris – dpo@exemple.fr |
| Finalités du traitement | Objectifs précis de la collecte | Gestion de la paie, suivi des congés, formation |
| Base légale | Fondement juridique du traitement | Exécution du contrat (art. 6.1.b RGPD) ou obligation légale (art. 6.1.c) |
| Destinataires | Personnes ou organismes recevant les données | Service RH, prestataire de paie, URSSAF |
| Durée de conservation | Période de stockage des données | 5 ans après la fin du contrat pour les bulletins de paie |
| Droits du salarié | Droits d'accès, rectification, effacement, portabilité, limitation | Exercice par courrier ou email auprès du DPO |
| Droit de réclamation | Possibilité de saisir la CNIL | Adresse de la CNIL : 3 place de Fontenoy, 75007 Paris |
Bases légales les plus fréquentes en droit du travail
| Base légale | Cas d'usage |
|---|---|
| Exécution du contrat (art. 6.1.b) | Paie, gestion administrative du salarié |
| Obligation légale (art. 6.1.c) | Déclarations sociales, médecine du travail |
| Intérêt légitime (art. 6.1.f) | Vidéosurveillance des locaux, contrôle d'accès |
| Consentement (art. 6.1.a) | Photo sur l'intranet, newsletter interne facultative |
Le consentement du salarié n'est requis que pour les traitements qui ne relèvent ni du contrat, ni d'une obligation légale, ni d'un intérêt légitime. La CNIL rappelle que le lien de subordination rend le consentement du salarié fragile : il doit rester l'exception.
Distinguer clause contractuelle et information RGPD
Une confusion fréquente consiste à penser que la clause RGPD crée une obligation contractuelle pour le salarié. Ce n'est pas le cas. La clause remplit une obligation légale d'information, pas une obligation contractuelle réciproque.
En pratique, cela signifie que :
- Le salarié ne peut pas refuser de signer le contrat au motif de la clause RGPD, car celle-ci ne lui impose rien.
- L'employeur ne peut pas conditionner l'embauche au consentement du salarié pour tous les traitements.
- La clause ne remplace pas le registre des traitements (article 30 du RGPD), qui reste un document interne distinct.
Certaines entreprises préfèrent rédiger une notice d'information RGPD séparée, annexée au contrat. Cette approche est conforme, à condition que le salarié en accuse réception. Le contrat mentionne alors simplement un renvoi vers cette annexe.
Vérifier la conformité de vos contrats de travail au RGPD permet d'anticiper les risques lors d'un contrôle CNIL.
Consultez un avocat en conformité et vigilance
Salariés en poste : avenant ou note d'information
Pour les salariés embauchés avant la mise en place de la clause RGPD, 2 options existent :
- L'avenant au contrat de travail. Il ajoute formellement la clause RGPD au contrat existant. Le salarié doit le signer. Cette solution offre une traçabilité maximale, mais suppose un processus de signature individuel.
- La note d'information collective. Remise contre signature ou envoyée par email avec accusé de réception, elle informe l'ensemble des salariés en une seule démarche. La CNIL considère cette méthode comme conforme, à condition de pouvoir prouver la remise effective.
Le choix dépend de la taille de l'entreprise. Une PME de 15 salariés peut opter pour l'avenant. Une entreprise de 200 personnes privilégiera la note collective, plus rapide à déployer.
Dans les 2 cas, le document doit contenir les mêmes mentions obligatoires que la clause contractuelle (voir tableau ci-dessus).
Sanctions en cas de clause RGPD absente
L'absence d'information du salarié sur le traitement de ses données constitue un manquement à l'article 13 du RGPD. Les sanctions sont graduées :
- Mise en demeure de la CNIL. La CNIL peut ordonner à l'entreprise de se mettre en conformité dans un délai fixé, généralement de 1 à 3 mois.
- Amende administrative. Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Contentieux prud'homal. Un salarié peut invoquer le défaut d'information RGPD dans le cadre d'un litige (licenciement, discrimination). Le juge peut considérer que l'employeur a manqué à son obligation de loyauté.
En 2023, la CNIL a prononcé 42 sanctions, dont plusieurs concernaient des manquements à l'obligation d'information. Les PME ne sont pas épargnées : la CNIL a sanctionné des structures de moins de 50 salariés pour des défauts de conformité RGPD.
| Risque | Conséquence | Niveau de gravité |
|---|---|---|
| Contrôle CNIL sans clause RGPD | Mise en demeure, puis amende | Élevé |
| Litige prud'homal | Argument supplémentaire pour le salarié | Moyen |
| Atteinte à la réputation | Publication de la sanction CNIL | Élevé |
Anticiper un contrôle CNIL passe par un audit de vos pratiques RH et de vos contrats.
Trouvez un avocat en conformité pour sécuriser vos obligations
FAQ
Le consentement du salarié est-il nécessaire pour traiter ses données ?
Non, dans la plupart des cas. La base légale du traitement des données salariales repose sur l'exécution du contrat de travail (article 6.1.b du RGPD) ou sur une obligation légale (article 6.1.c). Le consentement n'est requis que pour des traitements facultatifs, comme la publication de la photo du salarié sur l'intranet.
Peut-on utiliser une notice séparée au lieu d'une clause dans le contrat ?
Oui. La CNIL accepte qu'une notice d'information RGPD soit annexée au contrat ou remise séparément, à condition que l'employeur puisse prouver que le salarié l'a effectivement reçue (signature, accusé de réception).
Quelle durée de conservation mentionner pour les données des salariés ?
La durée dépend du type de données. Les bulletins de paie doivent être conservés 5 ans. Les données liées à un contentieux peuvent être conservées jusqu'à la prescription de l'action (généralement 3 ans en droit du travail). Chaque finalité doit avoir sa propre durée, précisée dans la clause.
La clause RGPD s'applique-t-elle aux stagiaires et intérimaires ?
Oui. Toute personne dont les données personnelles sont collectées par l'entreprise doit être informée. Pour les intérimaires, l'agence d'intérim et l'entreprise utilisatrice sont toutes deux responsables de l'information, chacune pour les traitements qu'elle opère.
Que faire si un salarié demande la suppression de ses données ?
L'employeur doit vérifier si une obligation légale impose la conservation des données (déclarations sociales, bulletins de paie). Si oui, la suppression est impossible tant que l'obligation court. En revanche, les données non couvertes par une obligation légale doivent être supprimées à la demande du salarié, dans un délai d'1 mois.
Pour aller plus loin
Les règles pour la gestion du personnel - CNIL
RGPD en pratique : protéger les données de vos collaborateurs - CNIL
SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.
