Clause RGPD : obligations légales et bonnes pratiques

Points clés de l'article

Les clauses RGPD désignent l'ensemble des dispositions contractuelles intégrant les obligations du Règlement Général sur la Protection des Données dans tout contrat traitant des données personnelles. Elles imposent des mentions obligatoires précises : identité du responsable de traitement, finalités, bases légales, durée de conservation et droits des personnes concernées. En droit du travail, ces clauses s'intègrent aux mentions obligatoires du contrat et encadrent le traitement des données salariales. Leur absence ou leur non-conformité expose l'entreprise à des sanctions administratives pouvant atteindre 4 % du chiffre d'affaires mondial annuel.

Qu'est-ce qu'une clause RGPD ?

Une clause RGPD désigne l'ensemble des dispositions contractuelles qui intègrent les obligations du Règlement Général sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016) dans un contrat. Contrairement à une idée répandue, il ne s'agit pas d'une clause unique standardisée, mais d'un ensemble de mentions obligatoires garantissant la conformité du traitement des données personnelles.

Le RGPD s'applique à toute entreprise établie sur le territoire de l'Union européenne, indépendamment de la localisation des personnes concernées. En outre, les entreprises hors UE sont également soumises au RGPD si elles proposent des biens ou services à des résidents européens ou surveillent leur comportement. Ainsi, dès lors qu'un contrat implique le traitement de données personnelles, l'intégration de clauses RGPD devient obligatoire.

Ces clauses visent à garantir la transparence, la sécurité et le respect des droits des personnes dont les données sont traitées. Elles s'appliquent à tous les types de contrats : contrats de travail, contrats de prestation de services, contrats commerciaux, contrats de sous-traitance ou encore contrats avec des partenaires commerciaux.

En pratique, les clauses RGPD formalisent les engagements du responsable de traitement et, le cas échéant, du sous-traitant. Elles précisent les modalités de collecte, de traitement, de conservation et de protection des données personnelles. Par conséquent, elles constituent un élément central de la conformité juridique de l'entreprise.

SWIM LEGAL accompagne les entreprises dans la rédaction et la révision de leurs contrats pour garantir leur conformité RGPD. La plateforme permet d'accéder rapidement à des avocats spécialisés en protection des données pour sécuriser vos pratiques contractuelles.

Quel est le cadre légal des clauses RGPD ?

Le cadre juridique des clauses RGPD repose principalement sur le Règlement UE 2016/679 du 27 avril 2016, applicable depuis le 25 mai 2018. Ce texte européen a été transposé en droit français par la loi « Informatique et libertés » modifiée, qui complète et précise certaines dispositions du RGPD.

Le RGPD impose plusieurs principes fondamentaux qui doivent être reflétés dans les clauses contractuelles. D'une part, le principe de responsabilité (ou accountability) exige que l'organisation démontre son respect du RGPD par des preuves documentées et vérifiables. D'autre part, le principe de minimisation des données impose que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies.

En outre, le principe de transparence oblige à fournir aux personnes concernées des informations claires, précises et facilement accessibles. Ces informations doivent couvrir l'identité du responsable de traitement, les finalités du traitement, les destinataires des données, la durée de conservation et les droits exercables.

Le RGPD distingue également deux acteurs principaux. Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement. Il porte la responsabilité principale de la conformité. Le sous-traitant, quant à lui, traite les données pour le compte du responsable. Le RGPD lui impose des obligations directes en matière de sécurité, de notification des violations et de coopération avec les autorités.

Enfin, l'article 25 du RGPD consacre le principe de protection dès la conception (Privacy by Design). Les mesures de protection doivent être intégrées dès la conception du traitement et tout au long de son cycle de vie. Cette exigence se traduit contractuellement par des clauses techniques et organisationnelles précises.

Quelles sont les mentions obligatoires dans une clause RGPD ?

Les clauses RGPD doivent comporter un ensemble de mentions obligatoires pour garantir la conformité du traitement des données personnelles. Ces mentions sont définies par les articles 13 et 14 du RGPD et doivent figurer dans tout contrat impliquant un traitement de données.

Identité et coordonnées du responsable de traitement

La première mention obligatoire concerne l'identité et les coordonnées complètes du responsable de traitement. Il s'agit de l'organisme ou de l'entité qui détermine les finalités et les moyens du traitement. Cette information permet aux personnes concernées de savoir qui traite leurs données et comment le contacter.

Finalités et bases légales du traitement

Les clauses doivent détailler précisément les finalités pour lesquelles les données sont collectées et traitées. Chaque finalité doit être explicite, légitime et déterminée. Par ailleurs, le contrat doit justifier le fondement juridique du traitement parmi les six bases légales prévues par l'article 6 du RGPD : consentement de la personne, exécution du contrat, obligation légale, intérêt vital, mission d'intérêt public ou intérêts légitimes.

En pratique, dans un contrat de travail, la base légale principale est l'exécution du contrat. En revanche, pour certains traitements spécifiques (surveillance, géolocalisation), le consentement ou l'intérêt légitime peuvent être invoqués.

Catégories de destinataires et durée de conservation

Les clauses doivent énumérer les catégories de destinataires des données : services internes, sous-traitants, partenaires commerciaux, autorités publiques. Cette transparence permet aux personnes concernées de comprendre qui aura accès à leurs informations.

En outre, la durée de conservation des données doit être précisée. Le contrat doit indiquer pour combien de temps les données seront conservées ou, à défaut, les critères permettant de déterminer cette durée. Par exemple, les données salariales sont généralement conservées 5 ans à compter de la fin du contrat, sous réserve d'obligations légales plus longues pour certaines pièces comptables.

Droits des personnes concernées et modalités d'exercice

Les clauses RGPD doivent énumérer les droits des personnes concernées : droit d'accès (article 15), droit de rectification (article 16), droit à l'effacement (article 17), droit à la limitation du traitement (article 18), droit à la portabilité (article 20), droit d'opposition (article 21) et droit de ne pas faire l'objet d'une décision automatisée.

En outre, le contrat doit préciser les modalités d'exercice de ces droits : contact, procédure, délai de réponse. Le responsable de traitement dispose d'un délai d'un mois pour répondre, extensible à trois mois pour les demandes complexes.

Caractère obligatoire ou facultatif de la collecte

Enfin, les clauses doivent indiquer si la fourniture de données est nécessaire ou optionnelle, ainsi que les conséquences d'un refus. Cette mention permet aux personnes concernées de comprendre les implications de leur choix.

Mention obligatoire	Contenu	Base légale
Identité du responsable	Organisme et coordonnées complètes	Articles 13 et 14 RGPD
Finalités du traitement	Raisons précises et objectifs	Article 13 RGPD
Bases légales	Fondement juridique (consentement, contrat, etc.)	Article 6 RGPD
Destinataires	Services, sous-traitants, partenaires	Article 13 RGPD
Durée de conservation	Période ou critères de détermination	Article 13 RGPD
Droits des personnes	Accès, rectification, effacement, etc.	Articles 15 à 21 RGPD
Modalités d'exercice	Contact, procédure, délai (1 à 3 mois)	Article 12 RGPD

Comment intégrer les clauses RGPD dans un contrat de travail ?

Le contrat de travail constitue un cadre privilégié pour le traitement des données personnelles des salariés. En effet, l'employeur collecte et traite de nombreuses informations : identité, coordonnées, données salariales, données de santé (médecine du travail), données de géolocalisation ou encore données de performance.

Mentions obligatoires du contrat de travail et RGPD

Le contrat de travail doit contenir des mentions obligatoires définies par le Code du travail et la directive européenne 91-533. Parmi ces mentions figurent l'identité des parties, la fonction du salarié, la date de début du contrat, la rémunération, la durée du travail et la période d'essai.

Ces mentions impliquent nécessairement le traitement de données personnelles. Par conséquent, le contrat de travail doit intégrer les clauses RGPD pour encadrer ce traitement. En pratique, cela signifie que le contrat doit préciser les finalités du traitement (gestion administrative, paie, formation), les bases légales (exécution du contrat, obligation légale) et les droits du salarié.

Pour un CDD, le Code du travail impose des mentions supplémentaires : motif précis du recours au CDD, durée du contrat et conditions de renouvellement. L'absence de ces mentions peut entraîner la requalification du CDD en CDI avec une indemnité minimale d'un mois de salaire.

Clause de confidentialité et protection des données personnelles

La clause de confidentialité dans un contrat de travail protège les données personnelles collectées par l'employeur. Toutefois, cette clause ne peut être valable que si elle est indispensable à la protection des intérêts légitimes de l'entreprise ou à la nature du poste occupé.

Pour être conforme au RGPD, la clause de confidentialité doit explicitement préciser les catégories de données traitées, les finalités du traitement, les destinataires, la durée de conservation et les droits du salarié (notamment accès et suppression). En outre, elle doit respecter le principe de proportionnalité : les restrictions imposées au salarié doivent être justifiées et limitées au strict nécessaire.

Par exemple, un salarié occupant un poste de direction ou ayant accès à des informations stratégiques peut être soumis à une clause de confidentialité renforcée. En revanche, une clause trop large ou disproportionnée serait considérée comme abusive et donc invalide.

Les entreprises qui souhaitent sécuriser leurs contrats de travail peuvent solliciter les avocats spécialisés en protection des données via SWIM LEGAL pour une révision contractuelle complète.

Obligations spécifiques de l'employeur

L'employeur doit remettre le contrat de travail au salarié dans les 2 jours ouvrables suivant l'embauche pour un CDD. Un retard peut donner droit à une indemnité pouvant atteindre un mois de salaire. En outre, l'employeur doit informer le salarié de ses droits RGPD lors de la collecte des données, soit directement dans le contrat, soit via une politique de confidentialité annexée.

Enfin, l'employeur doit garantir la sécurité des données personnelles des salariés. Cela implique la mise en place de mesures techniques et organisationnelles appropriées : chiffrement, contrôle d'accès, sauvegarde régulière, formation des équipes et procédures de notification en cas de violation de données.

Quelles sont les clauses RGPD dans les contrats de prestation de services ?

Les contrats de prestation de services impliquent fréquemment le traitement de données personnelles, notamment lorsque le prestataire intervient en tant que sous-traitant pour le compte d'un client responsable de traitement. Le RGPD impose des obligations spécifiques à ces relations contractuelles.

Distinction responsable de traitement et sous-traitant

Le responsable de traitement détermine les finalités et les moyens du traitement. Il porte la responsabilité principale de la conformité RGPD. Le sous-traitant, quant à lui, traite les données pour le compte du responsable, selon ses instructions.

Cette distinction est fondamentale car elle détermine les obligations contractuelles. Lorsqu'un prestataire agit en tant que sous-traitant, le contrat doit obligatoirement contenir les clauses prévues par l'article 28 du RGPD.

Clauses obligatoires dans un contrat de sous-traitance

L'article 28 du RGPD impose que le contrat entre le responsable de traitement et le sous-traitant définisse l'objet, la durée, la nature et la finalité du traitement, ainsi que le type de données personnelles et les catégories de personnes concernées.

En outre, le contrat doit préciser les obligations du sous-traitant : traiter les données uniquement sur instruction documentée du responsable, garantir la confidentialité des personnes autorisées à traiter les données, mettre en œuvre des mesures de sécurité appropriées, assister le responsable dans le respect des droits des personnes concernées et notifier toute violation de données dans les meilleurs délais.

Le contrat doit également encadrer le recours à des sous-traitants ultérieurs. Le sous-traitant ne peut faire appel à un autre sous-traitant qu'avec l'autorisation préalable du responsable de traitement. En outre, les mêmes obligations RGPD doivent être imposées au sous-traitant ultérieur.

Enfin, le contrat doit prévoir les modalités de suppression ou de restitution des données à l'issue de la prestation. Le sous-traitant doit s'engager à supprimer toutes les données personnelles ou à les restituer au responsable, sauf obligation légale de conservation.

Clause obligatoire	Contenu	Article RGPD
Objet et finalité	Nature du traitement, type de données, catégories de personnes	Article 28
Instructions documentées	Traitement uniquement sur instruction du responsable	Article 28
Confidentialité	Engagement des personnes autorisées	Article 28
Sécurité	Mesures techniques et organisationnelles appropriées	Article 32
Assistance	Aide au respect des droits des personnes	Article 28
Notification des violations	Délai et procédure	Article 33
Sous-traitance ultérieure	Autorisation préalable et obligations identiques	Article 28
Suppression ou restitution	Modalités à l'issue de la prestation	Article 28

Quelles sont les clauses RGPD interdites ou invalides ?

Certaines clauses contractuelles, bien que formellement intégrées dans un contrat, sont interdites ou invalides au regard du RGPD et du droit français. Leur présence expose l'entreprise à des sanctions et à la nullité des dispositions concernées.

Clauses portant atteinte aux libertés fondamentales

Les clauses qui restreignent les libertés fondamentales sont absolument prohibées. Par exemple, une clause limitant le droit de grève, la liberté d'expression ou la liberté syndicale serait nulle. De même, une clause imposant des restrictions disproportionnées sur la vie privée du salarié (surveillance excessive, géolocalisation permanente) serait considérée comme abusive.

Clauses discriminatoires

Le RGPD et le droit français interdisent toute clause entraînant un traitement discriminatoire des données personnelles. Par exemple, une clause permettant de collecter des données sur la religion, les opinions politiques ou l'orientation sexuelle sans justification légale serait invalide.

En outre, les clauses qui imposent un traitement différencié basé sur le sexe, l'âge ou l'origine ethnique sont également prohibées, sauf exceptions strictement encadrées par la loi (par exemple, actions positives en faveur de l'égalité professionnelle).

Clauses de modification unilatérale sans consentement

Une clause permettant au responsable de traitement de modifier unilatéralement les finalités ou les modalités du traitement sans obtenir le consentement de la personne concernée est invalide. Le RGPD impose que toute modification substantielle du traitement soit portée à la connaissance de la personne concernée et, le cas échéant, fasse l'objet d'un nouveau consentement.

Clauses de renonciation aux droits RGPD

Toute clause par laquelle une personne renoncerait à l'exercice de ses droits RGPD (accès, rectification, effacement, opposition) est nulle. Ces droits sont d'ordre public et ne peuvent faire l'objet d'une renonciation contractuelle.

Par exemple, une clause stipulant que le salarié renonce à son droit d'accès à ses données personnelles serait invalide. De même, une clause interdisant au salarié de demander la suppression de ses données après la fin du contrat serait contraire au RGPD.

Le moment de bascule : quand faire appel à un avocat spécialisé ?

Plusieurs signaux indiquent qu'il est nécessaire de faire appel à un avocat spécialisé en protection des données pour sécuriser vos clauses RGPD.

D'une part, si votre entreprise traite des données sensibles (données de santé, données biométriques, données relatives aux condamnations pénales), l'accompagnement d'un avocat est indispensable pour garantir la conformité des clauses contractuelles.

D'autre part, si vous mettez en place des traitements complexes (profilage, décisions automatisées, transferts de données hors UE), un audit juridique préalable est nécessaire pour identifier les risques et adapter les clauses contractuelles.

En outre, si vous recevez une plainte d'une personne concernée ou une notification de la CNIL, il est urgent de faire réviser vos contrats par un avocat pour corriger les éventuelles non-conformités.

Enfin, si vous concluez des contrats internationaux impliquant des transferts de données hors de l'Union européenne, l'assistance d'un avocat spécialisé est essentielle pour intégrer les clauses contractuelles types de la Commission européenne ou mettre en place des garanties appropriées.

SWIM LEGAL est une alternative au cabinet d'avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l'Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d'accéder rapidement via la plateforme à des avocats d'affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu'il s'agisse d'un dossier, d'une consultation ou d'un renfort temporaire — de manière confidentielle et recevoir des propositions d'avocats pour répondre rapidement à leur demande.

FAQ

Quelle est la différence entre une clause RGPD et une politique de confidentialité ?
La clause RGPD est une disposition contractuelle intégrée directement dans un contrat (travail, prestation, commercial). La politique de confidentialité est un document distinct, souvent annexé, qui détaille l'ensemble des traitements de données de l'entreprise. Les deux sont complémentaires : la clause contractualise les engagements, la politique informe de manière exhaustive.

Les clauses RGPD sont-elles obligatoires dans tous les contrats ?
Oui, dès lors qu'un contrat implique le traitement de données personnelles. Cela concerne les contrats de travail, les contrats de prestation de services, les contrats commerciaux et les contrats de sous-traitance. L'absence de clauses RGPD expose l'entreprise à des sanctions administratives et à des recours judiciaires.

Quelles sanctions en cas de non-conformité des clauses RGPD ?
La CNIL peut prononcer des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. En outre, les personnes concernées peuvent engager des actions en réparation pour obtenir des dommages et intérêts en cas de préjudice matériel ou moral.

Comment modifier les clauses RGPD d'un contrat en cours ?
Toute modification substantielle des clauses RGPD nécessite un avenant contractuel signé par les deux parties. En outre, si la modification affecte les finalités ou les modalités du traitement, l'entreprise doit en informer les personnes concernées et, le cas échéant, obtenir leur consentement. Un avocat spécialisé peut accompagner cette démarche pour garantir la validité juridique de l'avenant.

Les clauses RGPD s'appliquent-elles aux contrats conclus avant 2018 ?
Oui, le RGPD s'applique à tous les traitements de données en cours, y compris ceux résultant de contrats conclus avant le 25 mai 2018. Les entreprises doivent donc réviser leurs contrats existants pour les mettre en conformité. En pratique, cela passe par la signature d'avenants intégrant les clauses RGPD obligatoires.

Télécharger la ressource