Information des salariés RGPD : modèle 2026
Modèle complet de note d'information des salariés RGPD (Art. 13) 2026 : paie, badges, vidéosurveillance, contrôle informatique. Prêt à diffuser.
L’essentiel. L’employeur traite quantité de données sur ses salariés — paie, badges, vidéosurveillance, contrôle des accès informatiques — et l’article 13 du RGPD lui impose de les en informer de façon claire, complète et accessible, au plus tard au moment de la collecte. Une note d’information unique, remise à l’embauche et tenue à jour, remplit cette obligation. Ci-dessous, un modèle complet, section par section.
Le salarié est la personne concernée la plus souvent oubliée du RGPD. On rédige des politiques de confidentialité soignées pour les clients et les prospects, puis on découvre que rien n’a jamais été formalisé pour les données du personnel — alors que ce sont les traitements les plus sensibles et les plus contrôlés par les inspecteurs de la CNIL.
Dans ma pratique de conseil, l’information des salariés est le premier point que je vérifie lors d’un audit RH. Neuf fois sur dix, il manque, ou il se résume à trois lignes dans le règlement intérieur. Or l’enjeu est double : c’est une obligation légale directe, mais c’est aussi une condition d’opposabilité. Un dispositif de vidéosurveillance ou de contrôle informatique dont le salarié n’a pas été informé ne pourra pas être utilisé contre lui — la preuve sera écartée pour déloyauté. La note d’information n’est donc pas de la paperasse : c’est ce qui rend vos dispositifs de contrôle effectifs.
Le cadre légal de l’information des salariés
L’article 13, socle de l’obligation
L’article 13 du RGPD impose au responsable de traitement de fournir, au moment où les données sont collectées auprès de la personne, un ensemble d’informations précises : identité du responsable, finalités, bases légales, destinataires, durées de conservation, droits des personnes, coordonnées du DPO. Ces mentions doivent être délivrées « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12).
Pour les salariés, la collecte commence dès la candidature et se poursuit tout au long de la relation de travail. L’information doit donc être délivrée à l’embauche et actualisée à chaque nouveau traitement (installation d’une vidéosurveillance, mise en place d’un outil de géolocalisation, etc.).
Les bases légales des traitements RH
La plupart des traitements RH ne reposent pas sur le consentement — ce serait même une erreur, car le lien de subordination vicie la liberté du consentement salarié. Les bases légales usuelles sont :
| Traitement | Base légale usuelle | Référence |
|---|---|---|
| Gestion de la paie | Obligation légale | Art. 6.1.c |
| Gestion administrative du personnel | Exécution du contrat | Art. 6.1.b |
| Badges / contrôle d’accès | Intérêt légitime | Art. 6.1.f |
| Vidéosurveillance | Intérêt légitime | Art. 6.1.f |
| Contrôle des outils informatiques | Intérêt légitime | Art. 6.1.f |
| Données de santé (médecine du travail) | Obligation légale + Art. 9 | Art. 9.2.b/h |
Le choix de la base légale conditionne les droits ouverts au salarié : sur un traitement fondé sur l’intérêt légitime, le salarié dispose d’un droit d’opposition, ce qui n’est pas le cas pour la paie fondée sur une obligation légale.
Modèle de note d’information des salariés
NOTE D’INFORMATION SUR LE TRAITEMENT DE VOS DONNÉES PERSONNELLES (Salariés — article 13 du Règlement (UE) 2016/679)
1. Responsable de traitement [Dénomination sociale], [forme juridique], immatriculée au RCS de [ville] sous le numéro [SIREN], dont le siège est situé [adresse], représentée par [nom, qualité], est responsable des traitements de données personnelles vous concernant.
2. Délégué à la protection des données (le cas échéant) Pour toute question relative à la protection de vos données, vous pouvez contacter notre délégué à la protection des données : [nom / service], [adresse e-mail], [adresse postale].
3. Finalités et bases légales des traitements
Finalité Base légale Durée de conservation Gestion de la paie et des déclarations sociales Obligation légale 5 ans (bulletins : 50 ans ou jusqu’aux 75 ans du salarié pour le double employeur) Gestion administrative du contrat de travail Exécution du contrat Durée du contrat + 5 ans Gestion des accès et badges Intérêt légitime (sécurité) Données d’accès : 3 mois glissants Vidéosurveillance des locaux Intérêt légitime (sécurité des biens et personnes) 30 jours maximum Contrôle et sécurité du système d’information Intérêt légitime Journaux : 6 mois Suivi médical (transmis à la médecine du travail) Obligation légale Selon réglementation applicable 4. Destinataires des données Vos données sont destinées aux services habilités de l’entreprise (RH, comptabilité, hiérarchie directe). Elles peuvent être communiquées, dans la limite de leurs besoins respectifs, aux organismes sociaux (URSSAF, caisses de retraite, mutuelle), à l’administration fiscale, à la médecine du travail, ainsi qu’à nos sous-traitants (éditeur de logiciel de paie, hébergeur), lesquels agissent sur instruction et sont contractuellement tenus à la sécurité et à la confidentialité.
5. Transferts hors Union européenne [Aucun transfert hors UE n’est réalisé.] OU [Certaines données peuvent être transférées vers [pays], sur le fondement de [garanties : clauses contractuelles types / décision d’adéquation]. Vous pouvez obtenir copie de ces garanties auprès du DPO.]
6. Vidéosurveillance Des caméras sont installées aux emplacements suivants : [préciser]. Elles n’ont pas pour finalité la surveillance individuelle des salariés à leur poste. Les images sont conservées [30 jours] et accessibles à [personnes habilitées]. Le comité social et économique a été consulté le [date].
7. Contrôle des outils informatiques L’entreprise met en œuvre des dispositifs de sécurité et de contrôle du système d’information (journalisation des connexions, filtrage, supervision). Ces dispositifs n’ont pas pour objet une surveillance permanente et individualisée. Les modalités d’usage figurent dans la charte informatique.
8. Vos droits Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité, ainsi que d’un droit d’opposition pour les traitements fondés sur l’intérêt légitime. Pour les exercer, adressez-vous à [DPO / service RH]. Vous disposez également du droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Caractère obligatoire des données Les données marquées comme obligatoires sont nécessaires à la gestion de votre contrat ; leur absence peut empêcher l’exécution de certaines obligations (paiement du salaire, déclarations sociales).
Note remise le [date]. Version 1.0.
Modèle indicatif fourni à titre documentaire — ne constitue pas un conseil juridique. À adapter à votre contexte avant usage. Version 1.0 — 02/07/2026.
Traitements RH à ne pas oublier
La paie et les déclarations sociales
C’est le traitement RH central. Base légale : obligation légale. Les durées de conservation sont encadrées : le bulletin de paie doit être conservé par l’employeur pendant au moins 5 ans, mais la conservation à des fins de reconstitution de carrière justifie une durée bien plus longue. Reportez-vous à notre tableau des durées de conservation pour caler chaque donnée.
Les badges et le contrôle d’accès
Les données de badgeage (horodatage des entrées/sorties) relèvent de l’intérêt légitime lorsqu’elles servent la sécurité. Attention : si le badge sert aussi à décompter le temps de travail, la finalité change et la durée de conservation doit être ajustée. La CNIL recommande de ne pas conserver les données de contrôle d’accès au-delà de 3 mois.
La vidéosurveillance
C’est le dispositif le plus contrôlé. Les caméras ne peuvent filmer en continu un poste de travail précis, sauf circonstances exceptionnelles (manipulation de valeurs, caisse). L’information doit être double : la note d’information générale, plus un affichage sur site. La consultation du CSE est requise. Une analyse d’impact est souvent nécessaire.
Le contrôle des outils informatiques
Filtrage internet, journalisation, supervision de la messagerie : autant de traitements qui doivent figurer dans la note et dans la charte informatique. Le principe de minimisation s’applique : pas de surveillance permanente et individualisée sans justification proportionnée. La question du télétravail ajoute une couche : les outils de contrôle à distance doivent respecter la vie privée du domicile.
Erreurs fréquentes
Fonder les traitements RH sur le consentement. Le lien de subordination prive le consentement salarié de sa liberté ; il ne constitue donc pas une base valable pour la plupart des traitements RH. Utilisez l’obligation légale, l’exécution du contrat ou l’intérêt légitime.
Diffuser un dispositif de contrôle sans information préalable. Une vidéosurveillance ou un contrôle informatique non déclaré aux salariés est inopposable : la preuve obtenue sera écartée par le juge prud’homal, et la CNIL peut sanctionner le manquement à la transparence.
Oublier la consultation du CSE. La mise en place de tout moyen de contrôle de l’activité des salariés doit faire l’objet d’une information-consultation du comité social et économique. L’omettre fragilise le dispositif.
Confondre note d’information et clause du contrat. La note informe le salarié sur les traitements dont il est l’objet ; la clause du contrat de travail fonde les obligations du salarié à l’égard des données qu’il manipule. Les deux sont nécessaires.
Sanctions
Le défaut d’information des personnes est un manquement fréquemment relevé par la CNIL, sanctionnable au titre du RGPD. Sur le terrain du droit du travail, l’absence d’information préalable rend inopposables les dispositifs de surveillance : plusieurs décisions ont écarté des preuves issues de vidéosurveillance ou de géolocalisation faute d’information loyale. Les enjeux se cumulent donc : sanction administrative possible côté CNIL, perte de la preuve côté prud’hommes.
Maintenir cette note à jour — chaque nouvel outil RH, chaque changement de sous-traitant, chaque évolution des durées — devient un chantier permanent dès qu’on gère plusieurs dizaines de salariés. C’est typiquement ce qu’une plateforme comme Legiscope permet d’industrialiser, en reliant la note d’information au registre des traitements RH.
FAQ
Quand faut-il remettre la note d’information aux salariés ?
Au plus tard au moment de la collecte des données, c’est-à-dire à l’embauche pour le socle des traitements RH. Chaque nouveau traitement (installation d’une caméra, d’un outil de géolocalisation) déclenche une nouvelle information, préalable à la mise en œuvre. Pour les salariés déjà en poste lors de l’introduction du RGPD ou d’un nouveau dispositif, l’information doit être délivrée avant activation.
Le consentement du salarié est-il nécessaire pour la vidéosurveillance ?
Non, et il ne serait même pas valable. La vidéosurveillance des locaux repose sur l’intérêt légitime de l’employeur (sécurité des biens et des personnes), pas sur le consentement. Ce qui est obligatoire, c’est l’information des salariés, l’affichage, la consultation du CSE et, souvent, une analyse d’impact.
Comment informer les salariés du contrôle de leur activité informatique ?
Par la note d’information générale, complétée par une charte informatique détaillant les règles d’usage et les modalités de contrôle. Le dispositif doit être proportionné : pas de surveillance individuelle permanente. Sans cette information préalable, aucune preuve issue du contrôle ne pourra être utilisée contre le salarié.
Faut-il une note d’information distincte pour les candidats ?
Oui, l’information des candidats au recrutement relève aussi de l’article 13, avec des finalités et durées propres (les CV non retenus ne se conservent en principe pas au-delà de deux ans, et seulement avec information). Une note d’information « candidats » distincte est recommandée, adaptée à la phase de recrutement.
Quelle durée de conservation pour les données RH ?
Elle varie selon le traitement : bulletins de paie conservés très longtemps pour la reconstitution de carrière, données de badgeage limitées à quelques mois, images de vidéosurveillance à 30 jours maximum. Le principe est de ne pas conserver au-delà du nécessaire ; notre tableau des durées de conservation détaille les référentiels applicables.
La note d’information suffit-elle ou faut-il aussi un registre ?
Ce sont deux documents différents et tous deux nécessaires. La note informe les salariés (obligation de transparence). Le registre des activités de traitement documente en interne l’ensemble des traitements (obligation d’accountability de l’article 30). La note découle du registre : on informe sur ce qu’on a préalablement recensé.