Salariés et RGPD : quelles obligations d’information pour l’employeur ?

RGPD en entreprise : comment informer vos salariés de leurs droits ?

Depuis l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018, tous les employeurs traitant des données personnelles doivent se conformer aux obligations européennes. Cette conformité implique non seulement des règles techniques de sécurité, mais aussi une obligation d’information des salariés, lesquels disposent de droits spécifiques sur leurs données.

Le règlement (UE) 2016/679, directement applicable en droit français, prévoit en effet que toute personne dont les données font l’objet d’un traitement doit être informée de manière claire, transparente et accessible. Le non-respect de ces obligations peut exposer l’employeur à des sanctions de la CNIL allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83 du RGPD).

L’information des salariés doit être intégrée dans une politique interne de protection des données, couvrant la collecte, le traitement, l’accès, la conservation et l’effacement des informations personnelles.

Sommaire

1. Introduction
2. Quelles données personnelles l’employeur peut-il détenir sur les salariés ?
3. Le consentement des salariés est-il nécessaire pour le traitement des données ?
4. Comment informer les salariés sur les traitements de données ?
5. Quels sont les droits des salariés en matière de protection des données ?
6. Comment rédiger une clause RGPD dans le contrat de travail ?
7. Sensibiliser les salariés aux enjeux du RGPD
8. Conclusion

‍

Quelles données personnelles l’employeur peut-il détenir sur ses salariés ?

L’article 4 du RGPD définit la donnée personnelle comme toute information permettant d’identifier directement ou indirectement une personne physique. Cette définition englobe des éléments variés, tels que :

• les informations d’état civil et de contact (nom, adresse, numéro de téléphone) ;
• les données administratives et sociales (numéro de sécurité sociale, coordonnées bancaires, ayants droit pour la mutuelle) ;
• les informations liées à la vie professionnelle (CV, diplômes, expériences, données de performance, registre du personnel) ;
• les informations de sécurité (personne à prévenir en cas d’urgence, données nécessaires aux déclarations sociales).

Conformément au principe de minimisation prévu à l’article 5 du RGPD, l’employeur ne peut collecter que les données strictement nécessaires à l’exécution du contrat de travail ou au respect de ses obligations légales.

Le consentement du salarié est-il nécessaire pour le traitement de ses données ?

Le consentement du salarié n’est pas toujours requis. L’article 6 du RGPD énumère les bases légales de licéité d’un traitement de données. Dans le cadre de la relation de travail, l’employeur peut traiter des données sans consentement dès lors que :

• le traitement est nécessaire à l’exécution du contrat de travail (par exemple, utilisation du RIB pour verser le salaire) ;
• le traitement est imposé par une obligation légale (déclarations sociales, cotisations, DSN).

Le consentement ne devient nécessaire que pour des traitements qui ne sont pas strictement liés à la gestion du contrat de travail. Exemple : inscription d’un salarié à une newsletter interne facultative ou utilisation de ses données à des fins de communication externe.

Comment informer les salariés des traitements mis en œuvre ?

L’article 13 du RGPD impose que l’employeur transmette une information claire au salarié dès la collecte de ses données. Cette information doit mentionner :

• l’identité et les coordonnées du responsable du traitement ;
• si applicable, les coordonnées du délégué à la protection des données (DPO) ;
• les finalités du traitement (paie, gestion des congés, recrutement, etc.) ;
• la durée de conservation des données ;
• l’existence d’un éventuel transfert hors Union européenne ;
• les droits ouverts au salarié (accès, rectification, effacement, limitation, opposition, portabilité).

Cette information peut être transmise via :

• une note interne remise à chaque salarié ;
• une mention dans le contrat de travail ou dans un avenant ;
• l’affichage sur l’intranet ou dans un règlement intérieur.

Quels sont les droits des salariés en matière de protection des données ?

Conformément aux articles 15 à 21 du RGPD, chaque salarié dispose de droits spécifiques :

• droit d’accès à ses données et d’obtenir une copie (article 15) ;
• droit de rectification des données inexactes (article 16) ;
• droit à l’effacement (« droit à l’oubli »), notamment si les données ne sont plus nécessaires (article 17) ;
• droit à la limitation du traitement, en cas d’usage illicite ou contestation (article 18) ;
• droit d’opposition pour motifs légitimes tenant à sa situation particulière (article 21) ;
• droit à la portabilité des données, permettant de les transférer à un autre organisme (article 20).

Ces droits doivent être explicitement rappelés aux salariés et mis en œuvre par l’employeur via une procédure interne transparente.

La clause RGPD dans le contrat de travail

Si elle n’est pas obligatoire, l’insertion d’une clause spécifique dans le contrat de travail constitue une bonne pratique. Cette clause informe le salarié des principaux traitements de données opérés par l’employeur, de leur finalité et des droits dont il dispose.

Elle peut être intégrée lors de la signature du contrat pour les nouveaux embauchés, ou ajoutée via un avenant pour les salariés déjà en poste. En parallèle, une note d’information RGPD peut être distribuée afin de formaliser la démarche et démontrer la conformité de l’entreprise en cas de contrôle de la CNIL.

Sensibiliser les salariés aux enjeux du RGPD

L’information ne se limite pas à un formalisme documentaire : l’employeur a intérêt à former et sensibiliser ses salariés aux bonnes pratiques de protection des données. La CNIL recommande notamment :

• de rappeler l’interdiction de divulguer des données à des personnes non autorisées ;
• d’exiger la mise en place de mots de passe complexes et leur renouvellement régulier ;
• d’imposer le verrouillage des postes de travail en cas d’absence ;
• d’encourager la sauvegarde régulière des fichiers et la sécurisation des systèmes.

La sensibilisation permet de limiter les risques de fuite de données et d’assurer que les obligations de conformité au RGPD sont respectées au quotidien par l’ensemble des collaborateurs.

Conclusion

L’obligation d’information des salariés sur le RGPD s’inscrit dans un cadre juridique exigeant, qui engage directement la responsabilité de l’employeur. Le règlement (UE) 2016/679, complété par la jurisprudence et le contrôle de la CNIL, impose aux entreprises de traiter les données de leurs collaborateurs avec transparence, loyauté et proportionnalité.

En pratique, l’employeur doit non seulement limiter la collecte des données au strict nécessaire (principe de minimisation, article 5 du RGPD), mais aussi garantir la sécurité de leur traitement et informer les salariés de manière claire et accessible. Cette information ne se résume pas à un document : elle constitue une démarche continue, qui commence dès le recrutement et se poursuit tout au long de la relation de travail.

Les salariés bénéficient de droits étendus – accès, rectification, effacement, opposition, limitation, portabilité – que l’entreprise doit respecter et faciliter. La simple méconnaissance de ces obligations peut exposer l’employeur à des sanctions administratives lourdes (article 83 du RGPD) mais aussi à des atteintes à son image et à la confiance de ses équipes.

Au-delà du respect de la réglementation, l’information et la sensibilisation des salariés participent à une culture interne de la conformité. Former les collaborateurs aux bons réflexes, insérer des mentions RGPD dans les contrats ou avenants, et mettre en place des procédures de gestion des demandes liées aux droits des personnes sont autant d’outils permettant de sécuriser l’entreprise.

Ainsi, le RGPD ne doit pas être perçu uniquement comme une contrainte juridique, mais comme une opportunité de renforcer la transparence, la confiance et la responsabilité numérique de l’organisation. En s’assurant que chaque salarié connaît ses droits et comprend ses obligations, l’employeur réduit son exposition aux risques et place la protection des données au cœur de sa stratégie sociale et managériale.

FAQ

1. Quelles données personnelles un employeur est-il autorisé à collecter sur ses salariés ?
L’employeur ne peut pas collecter toutes les informations qu’il souhaite : il est limité par le principe de minimisation des données prévu à l’article 5 du RGPD. Seules les données strictement nécessaires à l’exécution du contrat de travail et au respect des obligations légales peuvent être traitées.

Cela comprend notamment :

• les informations d’état civil (nom, prénom, adresse, coordonnées de contact) ;
• les données sociales et administratives (numéro de sécurité sociale, informations nécessaires aux déclarations URSSAF, coordonnées bancaires pour la paie) ;
• les données relatives à la vie professionnelle (diplômes, expériences, évaluations, registre du personnel) ;
• certaines informations liées à la sécurité (contact d’urgence, ayants droit pour la mutuelle).

Toute collecte excessive, par exemple demander des informations sur la religion, la situation familiale détaillée ou l’appartenance syndicale, serait illicite sauf cas très particuliers prévus par la loi.

2. Le consentement des salariés est-il obligatoire pour traiter leurs données personnelles ?
Contrairement à une idée répandue, l’employeur n’a pas toujours besoin du consentement des salariés. L’article 6 du RGPD énumère plusieurs bases légales de traitement, dont :

• l’exécution du contrat de travail (par exemple, utiliser le RIB du salarié pour verser le salaire) ;
• le respect d’une obligation légale (déclarations sociales et fiscales, conservation des bulletins de paie).

Le consentement devient obligatoire uniquement pour les traitements qui ne sont pas indispensables au fonctionnement de la relation de travail. Exemple : utilisation de la photo d’un salarié sur le site internet de l’entreprise à des fins de communication. Dans ce cas, le salarié doit donner un accord libre, spécifique, éclairé et univoque.

3. Comment informer les salariés sur le traitement de leurs données personnelles ?
L’article 13 du RGPD impose à l’employeur une information claire et complète au moment de la collecte. Cette information doit comporter :

• l’identité et les coordonnées du responsable du traitement ;
• si applicable, les coordonnées du délégué à la protection des données (DPO) ;
• les finalités du traitement (gestion de la paie, recrutement, suivi des congés, sécurité informatique) ;
• la durée de conservation des données ;
• l’existence d’un transfert éventuel de données hors Union européenne ;
• les droits ouverts aux salariés.

Concrètement, cette obligation peut être remplie par :

• une clause dans le contrat de travail ;
• une note interne remise aux salariés ;
• une charte RGPD disponible sur l’intranet de l’entreprise.

Exemple : un employeur qui met en place un logiciel de gestion des horaires doit informer les salariés de la finalité (gestion du temps de travail), de la durée de conservation (par exemple 5 ans) et de la possibilité de demander l’accès aux données.

4. Quels droits les salariés peuvent-ils exercer sur leurs données personnelles ?
Le RGPD consacre un ensemble de droits destinés à protéger la vie privée des salariés (articles 15 à 21) :

• Droit d’accès : le salarié peut demander une copie de l’ensemble de ses données. L’employeur doit répondre sous un mois.
• Droit de rectification : toute donnée inexacte (adresse, état civil) doit être corrigée.
• Droit à l’effacement : appelé aussi « droit à l’oubli », il permet de demander la suppression de données qui ne sont plus nécessaires.
• Droit à la limitation : le salarié peut exiger que l’utilisation de certaines données soit suspendue, par exemple en cas de litige sur leur exactitude.
• Droit d’opposition : possibilité de refuser certains traitements, comme l’utilisation des données à des fins de prospection.
• Droit à la portabilité : transfert des données vers un autre système, utile en cas de changement d’employeur ou de prestataire RH.

Exemple : un salarié peut exiger que ses anciennes évaluations de performance soient supprimées si elles ne présentent plus d’intérêt professionnel et qu’aucune obligation légale n’impose leur conservation.

5. Comment l’employeur peut-il sensibiliser ses salariés au RGPD ?
Informer les salariés n’est pas suffisant : il est fortement recommandé de les former aux enjeux de la protection des données. La CNIL conseille de mettre en place une politique de sensibilisation régulière.

Celle-ci peut inclure :

• des sessions de formation à l’embauche et des rappels annuels ;
• des rappels sur les bonnes pratiques de sécurité (verrouiller son poste de travail, changer régulièrement son mot de passe, éviter d’envoyer des données sensibles par email non sécurisé) ;
• la diffusion de supports pédagogiques (fiches pratiques, e-learning, affiches internes).

Exemple : une entreprise peut instaurer un module de formation obligatoire pour tous ses collaborateurs afin de rappeler les règles de confidentialité, l’interdiction de divulguer des informations personnelles à des tiers non autorisés et la procédure à suivre en cas de fuite de données.