Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Clause RGPD contrat de travail : modèle 2026

Modèles de clauses RGPD prêtes à insérer dans le contrat de travail 2026 : confidentialité des données, usage des outils, obligations du salarié.

L’essentiel. Le contrat de travail doit comporter une clause encadrant l’accès du salarié aux données personnelles qu’il traite dans le cadre de ses fonctions : confidentialité, usage strictement professionnel des outils, respect des consignes de sécurité. Cette clause ne remplace ni l’information des salariés au titre de l’article 13, ni la charte informatique, mais elle donne un fondement contractuel opposable à la faute en cas de manquement.

Presque tous les salariés manipulent des données personnelles : le commercial qui consulte le CRM, la comptable qui traite les bulletins de paie, le technicien support qui accède aux dossiers clients. Pourtant, dans la plupart des contrats de travail que je relis, rien n’encadre spécifiquement cette manipulation. On trouve parfois une vague clause de confidentialité héritée d’un modèle des années 2000, muette sur le RGPD.

Dans ma pratique de conseil, c’est un angle mort récurrent. L’employeur découvre le problème le jour où un salarié exfiltre un fichier clients, ou consulte par curiosité le dossier RH d’un collègue. Sans clause précise, la sanction disciplinaire devient contestable : le salarié plaidera qu’aucune consigne claire ne lui interdisait ce comportement. La clause RGPD dans le contrat de travail n’est pas un gadget juridique : c’est le socle qui transforme une bonne pratique en obligation contractuelle, donc en faute sanctionnable.

Pourquoi une clause RGPD dans le contrat de travail

Le fondement juridique

Le salarié qui accède à des données personnelles agit sous l’autorité de l’employeur, seul responsable de traitement. L’article 29 du RGPD pose un principe simple : toute personne agissant sous l’autorité du responsable et ayant accès à des données à caractère personnel ne peut traiter ces données que sur instruction du responsable. La clause contractuelle est précisément le vecteur de ces instructions.

L’article 32 du RGPD impose par ailleurs à l’employeur de garantir la sécurité des traitements, ce qui inclut la sensibilisation et l’encadrement des personnes ayant accès aux données. Une clause claire participe à cette démonstration de conformité, exigée par le principe d’accountability de l’article 5.2.

Ce que la clause apporte et ce qu’elle ne remplace pas

Il faut être précis sur le périmètre. La clause RGPD du contrat de travail :

Fonction La clause À compléter par
Fonder l’obligation de confidentialité Oui
Rendre une faute disciplinaire opposable Oui Charte informatique
Informer sur les traitements RH Non Note d’information Art. 13
Détailler les règles d’usage IT Partiellement Charte informatique
Encadrer la sous-traitance Non Contrat Art. 28

Autrement dit, la clause est un maillon. Elle vit en écosystème avec la note d’information des salariés, la charte informatique et, lorsque le salarié agit pour un prestataire, avec l’encadrement de la sous-traitance.

Les trois clauses à insérer

Je recommande de structurer l’encadrement RGPD en trois clauses distinctes plutôt qu’un bloc unique : confidentialité des données, usage des outils, obligations générales du salarié. Cette séparation facilite l’application différenciée et la preuve.

Clause 1 — Confidentialité et protection des données personnelles

Article [X] — Confidentialité et protection des données à caractère personnel

Dans l’exercice de ses fonctions, le/la salarié(e) est amené(e) à accéder à des données à caractère personnel concernant notamment les clients, prospects, fournisseurs, collègues et candidats de l’entreprise.

Le/la salarié(e) s’engage à :

  1. Ne traiter ces données que dans la stricte mesure nécessaire à l’accomplissement de ses missions et conformément aux instructions écrites de l’employeur, seul responsable de traitement au sens de l’article 4 du Règlement (UE) 2016/679 (RGPD) ;
  2. Respecter le caractère strictement confidentiel des données auxquelles il/elle a accès, et s’abstenir de toute consultation, communication, copie ou extraction non justifiée par ses fonctions ;
  3. Ne divulguer aucune donnée personnelle à un tiers, interne ou externe, sans autorisation préalable et sans base juridique appropriée ;
  4. Appliquer les mesures de sécurité définies par l’employeur (gestion des mots de passe, verrouillage de session, chiffrement, etc.) ;
  5. Signaler sans délai à son responsable hiérarchique ou au délégué à la protection des données toute violation de données ou tout risque de violation dont il/elle aurait connaissance.

Cette obligation de confidentialité perdure sans limitation de durée après la rupture du contrat de travail, quelle qu’en soit la cause.

Le manquement à ces obligations est susceptible de constituer une faute pouvant justifier une sanction disciplinaire, sans préjudice des poursuites civiles et pénales encourues, notamment au titre des articles 226-16 à 226-22 du Code pénal.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.

Le renvoi aux articles 226-16 à 226-22 du Code pénal est important : il rappelle que la violation des règles de protection des données n’est pas qu’un manquement contractuel, mais aussi une infraction pénale (jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende pour les atteintes les plus graves).

Clause 2 — Usage des outils et systèmes d’information

Article [X+1] — Usage des outils et systèmes d’information

Les outils informatiques et de communication mis à disposition du/de la salarié(e) (poste de travail, messagerie professionnelle, accès internet, applications métier, téléphone, matériel mobile) sont destinés à un usage professionnel.

Un usage privé résiduel est toléré dans les conditions et limites fixées par la charte informatique annexée au présent contrat, dont le/la salarié(e) reconnaît avoir pris connaissance.

Le/la salarié(e) s’engage à :

  1. Utiliser ces outils conformément à la charte informatique et aux consignes de sécurité en vigueur ;
  2. Ne pas installer de logiciel non autorisé et ne pas contourner les dispositifs de sécurité ;
  3. Ne pas utiliser de comptes ou services personnels (messagerie, stockage cloud) pour traiter des données professionnelles ;
  4. Restituer, à la fin du contrat, l’ensemble des matériels, accès et données en sa possession.

Le/la salarié(e) est informé(e) que l’employeur peut mettre en œuvre des dispositifs de contrôle de l’activité et de sécurité des systèmes d’information, dans le respect du RGPD, de la vie privée et après information et consultation des instances représentatives du personnel. Les modalités de ces contrôles sont précisées dans la note d’information relative à la protection des données des salariés.

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.

Cette clause fait le lien avec la charte informatique, qui détaille les règles d’usage, et renvoie la question de la surveillance à la note d’information — car l’employeur ne peut opposer un dispositif de contrôle au salarié que s’il l’en a préalablement informé (principe de loyauté de la preuve, désormais bien établi en droit du travail).

Clause 3 — Obligations générales et coopération

Article [X+2] — Obligations du/de la salarié(e) en matière de protection des données

Le/la salarié(e) s’engage à :

  1. Suivre les actions de sensibilisation et de formation à la protection des données organisées par l’employeur ;
  2. Respecter les procédures internes relatives à l’exercice des droits des personnes concernées et à la gestion des violations de données ;
  3. Coopérer avec le délégué à la protection des données et avec l’employeur pour toute demande relative à la conformité (audit, analyse d’impact, réponse à l’autorité de contrôle) ;
  4. Appliquer les principes de minimisation et de limitation des durées de conservation dans le traitement quotidien des données.

Ces obligations s’inscrivent dans le cadre général de bonne exécution du contrat de travail et de l’obligation de loyauté du/de la salarié(e).

Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.

Cas particuliers à adapter

Le salarié qui manipule des données sensibles

Lorsque le poste implique l’accès à des données sensibles au sens de l’article 9 du RGPD — données de santé pour un infirmier du travail, données syndicales pour un gestionnaire RH, données relatives aux condamnations — la clause de confidentialité doit être renforcée. J’ajoute systématiquement une mention rappelant le secret professionnel applicable et l’interdiction absolue de tout traitement en dehors du périmètre strict de la mission.

Le salarié désigné DPO

Si le salarié exerce la fonction de délégué à la protection des données, le contrat (ou un avenant) doit garantir son indépendance : absence d’instruction sur l’exercice de ses missions, absence de conflit d’intérêts, protection contre les sanctions liées à l’exercice de sa fonction. C’est une exigence directe de l’article 38.3 du RGPD.

Le télétravailleur

Le télétravail déplace le traitement de données hors des locaux de l’entreprise. La clause doit alors renvoyer aux règles spécifiques : sécurisation du poste à domicile, interdiction d’imprimer des documents contenant des données personnelles, verrouillage systématique, usage exclusif du VPN. Ces règles figurent utilement dans un avenant de télétravail ou dans la charte.

Le contrat conclu avec un prestataire

Attention à ne pas confondre. La clause du contrat de travail encadre le salarié. Lorsque vous confiez un traitement à un prestataire externe (paie externalisée, hébergeur, éditeur SaaS), l’encadrement passe par un contrat de sous-traitance au titre de l’article 28, et non par une clause de contrat de travail. Pour un contrat déjà signé sans ces clauses, il faut régulariser par un avenant RGPD.

Erreurs fréquentes

Recycler une clause de confidentialité générique. La vieille clause « le salarié s’engage à ne pas divulguer les informations confidentielles de l’entreprise » ne couvre pas le RGPD : elle protège le secret des affaires, pas les données personnelles des tiers. Il faut les deux, distinctes. Voyez notre modèle dédié de clause de confidentialité.

Croire que la clause dispense de l’information des salariés. Faux. La clause fonde des obligations du salarié ; l’information au titre de l’article 13 renseigne le salarié sur les traitements dont il est l’objet (paie, badgeuse, vidéosurveillance). Ce sont deux logiques opposées. La note d’information des salariés reste obligatoire.

Oublier la survie post-contractuelle. Une obligation de confidentialité qui s’éteint à la rupture du contrat ne protège rien : c’est justement au départ que les risques d’exfiltration culminent. La clause doit expressément prévoir sa persistance.

Ne pas annexer la charte. Si la clause renvoie à une charte informatique sans que celle-ci soit annexée et acceptée, l’opposabilité de la charte est fragilisée. Annexez-la et faites-la contresigner.

Sanctions et enjeux

Un manquement du salarié aux obligations RGPD peut justifier une sanction disciplinaire allant jusqu’au licenciement pour faute grave, à condition que la faute soit établie et proportionnée. Les conseils de prud’hommes examinent la précision des consignes données : plus la clause est claire, plus la sanction est solide.

Côté employeur, l’absence d’encadrement des accès expose l’entreprise à sa propre responsabilité. En cas de violation de données causée par un salarié insuffisamment encadré, la CNIL peut retenir un manquement à l’obligation de sécurité de l’article 32. Cartographier qui accède à quoi, et sous quelles obligations, fait partie des mesures organisationnelles attendues — un audit RGPD permet de repérer les postes à risque.

Structurer ces clauses, les articuler avec la charte et la note d’information, puis en suivre les versions, prend vite de l’ampleur dès qu’on gère plusieurs dizaines de contrats. C’est le type de documentation que des outils comme Legiscope centralisent, en reliant chaque traitement RH au registre des activités et aux mesures de sécurité associées.

FAQ

Une clause RGPD dans le contrat de travail est-elle obligatoire ?

Aucun texte ne l’impose formellement en tant que clause. Mais l’article 29 du RGPD exige que les personnes agissant sous l’autorité de l’employeur ne traitent les données que sur instruction, et l’article 32 impose la sécurité des traitements. La clause est le moyen le plus sûr de matérialiser ces instructions et de rendre une éventuelle faute opposable. En pratique, elle est fortement recommandée.

Faut-il un avenant pour ajouter la clause à un contrat existant ?

Oui. Ajouter une clause à un contrat de travail déjà signé nécessite l’accord du salarié, formalisé par un avenant. Profitez-en pour joindre la charte informatique et remettre la note d’information. Le salarié n’est pas tenu d’accepter une modification substantielle, mais l’encadrement de la confidentialité et de la sécurité relève des conditions normales d’exécution du contrat.

La clause de confidentialité suffit-elle à protéger les données ?

Non, elle est nécessaire mais pas suffisante. Elle fonde l’obligation du salarié, mais la protection réelle repose aussi sur des mesures techniques (gestion des habilitations, journalisation, chiffrement) et sur la formation. La clause sans dispositif de sécurité effectif ne démontrera pas la conformité à l’article 32.

Quelle différence entre la clause du contrat et la charte informatique ?

La clause est une disposition contractuelle qui crée des obligations générales et durables. La charte informatique détaille les règles pratiques d’usage des outils et peut être plus facilement mise à jour. La clause renvoie à la charte, qui doit être annexée et acceptée. Les deux se complètent ; voyez le modèle de charte informatique.

Que risque un salarié qui consulte des données sans nécessité ?

La consultation de données personnelles en dehors du besoin professionnel constitue un détournement de finalité, sanctionnable disciplinairement et pénalement (articles 226-16 et suivants du Code pénal). La jurisprudence sociale admet le licenciement pour faute grave lorsque le salarié a accédé, par curiosité ou malveillance, à des dossiers étrangers à ses fonctions.

La clause survit-elle après la fin du contrat ?

L’obligation de confidentialité, si elle est expressément stipulée comme survivant à la rupture, perdure sans limitation de durée. C’est essentiel : les risques de divulgation sont maximaux au moment du départ. La restitution des matériels et la suppression des accès doivent être organisées dès la notification de la rupture.