Le RGPD redéfinit les obligations liées au traitement des données personnelles dans l’entreprise et s’impose au moment de rédiger le contrat de travail. Les équipes RH doivent articuler l’information des salariés, la sécurisation technique et la limitation des accès internes pour répondre aux exigences. Cette évolution juridique implique des adaptations documentaires et organisationnelles concrètes.
Les employeurs doivent préciser les finalités, le consentement éventuel et la durée de conservation de chaque traitement dans les écrits contractuels et les notices. Retenez l’essentiel pour sécuriser les parcours salariés et limiter les risques juridiques.
A retenir :
- Finalités clairement listées pour chaque traitement dans la gestion RH
- Durées de conservation précisées par catégorie et contexte juridique
- Accès limité aux personnes habilitées selon missions internes
- Procédures d’exercice des droits claires et coordonnées pour salariés
Clause RGPD dans le contrat de travail : mentions obligatoires
Après avoir identifié les points essentiels, il faut formuler des mentions claires dans la clause RGPD du contrat de travail. Selon Village de la Justice, cette clause doit décrire les finalités, les destinataires et les modalités d’exercice des droits. La précision de ces éléments facilite la gestion opérationnelle et la conformité documentaire.
Finalités et bases légales des traitements
Sur ce point, la clause doit nommer les finalités liées à la gestion du personnel et à la paie, sans ambiguïté. Selon la CNIL, indiquer la base légale (exécution du contrat, obligation légale) renforce la transparence et le caractère licite du traitement. Cette clarté permet au salarié de comprendre l’usage de ses données.
Finalités RH listées :
- Gestion administrative du personnel et paie
- Suivi des absences, santé et visites médicales
- Formation et évaluation professionnelle
- Gestion des ruptures et obligations légales
Durée de conservation et mesures de sécurité
Cette section précise combien de temps chaque catégorie de document est conservée et où elle est stockée de manière sécurisée. Selon la pratique admise, les fiches de paie font l’objet d’une conservation limitée et protégée, pour la durée légale applicable. L’employeur doit indiquer les outils et garanties mis en place pour la sécurité des données.
Document
Exemple
Responsable
Durée de conservation
CV et pièces de recrutement
CV, diplômes
Responsable recrutement
Pendant la procédure puis suppression
Contrat de travail
Contrat et avenants
Service RH
Pendant l’exécution du contrat puis archivage
Fiche de paie
Bulletin de salaire
Service paie
Conservation 5 ans après départ
Documents médicaux
Attestations visite médicale
Service santé au travail
Conservation limitée, accès restreint
« J’ai revu nos contrats pour préciser les finalités, et cela a réduit les questions des salariés »
Sophie L.
Ces mentions conditionnent l’organisation du dossier du personnel et la répartition des accès, ce que j’examine ensuite dans la partie suivante. Une présentation structurée des rôles évite les accès excessifs et les fuites.
Dossier du personnel et confidentialité des données
Le passage de la clause contractuelle à l’organisation physique du dossier impose des règles strictes d’accès et de confidentialité. Selon la doctrine administrative, les dossiers du personnel contiennent des données sensibles et leur consultation doit être strictement limitée. L’employeur doit également prévoir des modalités d’anonymisation lorsque des tiers sont concernés.
Contenu minimal et documents à conserver
Ce sous-ensemble détaille quels documents composeront le dossier et pour quelle finalité chaque pièce est conservée. Selon Zaïna Abdool Raman, le dossier peut rassembler de la phase d’embauche jusqu’à la rupture et contenir contrats, justificatifs et attestations. Une gestion rigoureuse limite les traitements inutiles et respecte l’article L1222-2 du Code du travail.
Documents statutaires listés :
- Contrat de travail et avenants
- Justificatifs d’identité et bulletin de salaire
- Certificats et attestations de formation
- Documents liés aux absences et santé
Accès autorisé et sanctions en cas de divulgation
La CNIL précise que seuls les personnels habilités doivent accéder aux dossiers en fonction de leurs missions réelles. Selon la jurisprudence, la divulgation non autorisée d’informations peut justifier une sanction disciplinaire, y compris un licenciement pour faute grave. La définition claire des habilitations réduit le risque de manquement et d’atteinte à la vie privée.
« J’ai été sanctionné pour avoir partagé des bulletins, la règle est désormais stricte chez nous »
Marc P.
Cette régulation de l’accès prépare la mise en place de procédures d’exercice des droits, sujet que nous abordons dans la section suivante. Une documentation claire facilite les demandes et les réponses internes.
Exercice des droits et obligations légales de l’employeur
Le lien entre accès salarié et obligations légales implique des procédures claires pour répondre aux demandes d’accès et de rectification. Selon la CNIL, le salarié dispose d’un droit d’accès gratuit et l’employeur dispose d’un mois pour répondre, délai prorogeable en cas de complexité. L’employeur doit prévoir l’identification du responsable de traitement et les coordonnées utiles.
Droit d’accès, rectification et portabilité
La mise en œuvre de ces droits nécessite un point de contact identifié et des procédures écrites pour le traitement des demandes. Selon la pratique, l’employeur peut demander un justificatif d’identité en cas de doute raisonnable sur la requête. Ces processus doivent être documentés et accessibles pour éviter des recours devant la CNIL.
Procédure d’accès interne :
- Demande écrite adressée au responsable identifié
- Vérification d’identité et enregistrement de la demande
- Analyse des données concernées et anonymisation si nécessaire
- Réponse motivée dans le délai légal
Étape
Responsable
Délai indicatif
Réception de la demande
Délégué à la protection des données
Immédiat
Vérification d’identité
Service RH
Quelques jours
Recherche et traitement des données
Responsable du traitement
1 mois standard
Communication au salarié
Service RH
1 mois ou prorogation
« J’ai suivi la procédure et obtenu mes données rapidement, la démarche était claire »
Charlotte N.
Sanctions, bonnes pratiques et gouvernance
La conformité repose sur la gouvernance, la formation des acteurs et la traçabilité des accès au dossier du personnel. Selon la Cour de cassation, la divulgation injustifiée peut entraîner des conséquences disciplinaires lourdes. Mettre en place des audits réguliers et un registre des accès s’avère une bonne pratique opérationnelle.
« Notre audit annuel a permis de corriger des habilitations excessives et d’améliorer la sécurité »
Paul N.
La gouvernance terminera le cycle de conformité et facilitera les réponses aux contrôles externes, notamment ceux de la CNIL. La mise en œuvre de ces bonnes pratiques protège l’entreprise et les salariés.
Source : Zaïna Abdool Raman, « Dossier du personnel et RGPD », Village de la Justice ; CNIL, « Modèle de demande d’accès », CNIL ; Cour de cassation, « décision 22 novembre 2017 », Cour de cassation.