Faut-il un avenant RGPD au contrat de travail ? Pour la plupart des salariés, une clause bien rédigée dans le contrat (ou un avenant pour les contrats existants) plus une charte informatique opposable suffisent. Mais pour les salariés qui manipulent des données personnelles dans leurs fonctions — gestionnaires RH et paie, commerciaux sur CRM, support client, IT, marketing — la clause contractuelle devient un maillon de vos mesures organisationnelles au sens des articles 24 et 32 du RGPD. L’article 32(4) impose précisément que toute personne agissant sous l’autorité du responsable de traitement ne traite les données que sur instruction : la clause en est la traduction contractuelle.
Voici les modèles complets — clause courte pour tous les contrats, avenant détaillé pour les postes exposés — puis la méthode d’adaptation. Sur le volet employeur (traitement des données DES salariés), voir notre guide RGPD et ressources humaines : c’est un sujet distinct, souvent confondu avec celui-ci.
Pourquoi une clause contractuelle en plus de la charte ?
Les deux instruments ne jouent pas au même niveau :
- La charte informatique, annexée au règlement intérieur, fixe les règles collectives d’usage du SI et fonde les sanctions disciplinaires.
- La clause contractuelle crée une obligation individuelle, survit partiellement à la rupture (confidentialité post-contractuelle), s’applique même sans règlement intérieur (entreprises de moins de 50 salariés où il n’est pas obligatoire), et se signe — au besoin par signature électronique à valeur probante conforme à eIDAS —, la preuve d’acceptation est incontestable.
S’y ajoute le socle légal : obligation générale de discrétion découlant de la bonne foi contractuelle (article L1222-1 du code du travail), secret professionnel pour certaines fonctions (article 226-13 du code pénal, un an d’emprisonnement et 15 000 € d’amende), et sanctions pénales spécifiques des atteintes aux traitements (articles 226-16 à 226-24 du code pénal — jusqu’à 5 ans et 300 000 € pour le détournement de finalité de l’article 226-21). Le salarié qui exfiltre un fichier clients commet en outre un abus de confiance et engage sa responsabilité disciplinaire : la Cour de cassation valide le licenciement pour faute grave du salarié qui copie des données confidentielles à des fins personnelles.
Modèle 1 — Clause RGPD standard (tout contrat de travail)
Article [X] — Protection des données personnelles et confidentialité
Dans l’exercice de ses fonctions, le Salarié peut avoir accès à des données personnelles concernant des clients, prospects, salariés ou partenaires de la Société. Le Salarié s’engage à :
- ne traiter ces données que dans le cadre de ses fonctions et conformément aux instructions de la Société, en application de l’article 32(4) du règlement (UE) 2016/679 (RGPD) ;
- respecter la plus stricte confidentialité sur ces données, et ne les divulguer à aucun tiers non autorisé, y compris au sein de la Société ;
- respecter la charte informatique et les procédures de sécurité et de protection des données en vigueur, dont il reconnaît avoir pris connaissance ;
- ne réaliser aucune copie, extraction ou transmission de données personnelles en dehors des outils et procédures autorisés ;
- signaler sans délai à [DPO / référent] tout incident, perte ou divulgation non autorisée dont il aurait connaissance ;
- restituer à la cessation du contrat l’ensemble des données, documents et supports, sans en conserver de copie.
La présente obligation de confidentialité demeure applicable sans limitation de durée après la cessation du contrat, pour les données personnelles et informations confidentielles dont le Salarié a eu connaissance à l’occasion de ses fonctions. Tout manquement expose le Salarié à des sanctions disciplinaires, sans préjudice des sanctions civiles et pénales applicables (articles 226-13 et 226-16 à 226-24 du code pénal).
Modèle 2 — Avenant détaillé (postes exposés : RH, IT, support, marketing)
AVENANT AU CONTRAT DE TRAVAIL — PROTECTION DES DONNÉES PERSONNELLES
Entre [Société] et [Salarié], en poste de [fonction] depuis le [date], il est convenu ce qui suit, en complément du contrat de travail du [date].
1. Contexte. Les fonctions du Salarié impliquent le traitement régulier de données personnelles : [ex. : données RH de l’ensemble du personnel / base clients / données de connexion]. Le présent avenant précise les obligations du Salarié au titre du RGPD et de la loi n° 78-17 du 6 janvier 1978.
2. Traitement sur instruction. Le Salarié ne traite les données que pour les finalités attachées à ses fonctions et sur instruction de la Société. Il s’interdit tout traitement à des fins personnelles ou étrangères à ses missions, tout détournement de finalité étant pénalement sanctionné (article 226-21 du code pénal).
3. Habilitations. Le Salarié n’accède qu’aux données couvertes par ses habilitations. Il s’interdit de contourner les contrôles d’accès, de partager ses identifiants ou d’utiliser ceux d’un tiers.
4. Sécurité. Le Salarié applique les mesures de sécurité en vigueur : [verrouillage de session, chiffrement des supports, interdiction des transferts vers des messageries ou clouds personnels, destruction sécurisée]. Il suit les formations à la protection des données organisées par la Société.
5. Confidentialité renforcée. Le Salarié est tenu à une obligation de confidentialité absolue sur les données personnelles, les mesures de sécurité et les incidents. Cette obligation survit à la rupture du contrat sans limitation de durée.
6. Alerte. Le Salarié signale immédiatement à [DPO — coordonnées] toute violation de données, réelle ou suspectée, afin de permettre à la Société de respecter ses obligations de notification (articles 33 et 34 RGPD).
7. Fin de fonctions. À la cessation du contrat ou en cas de changement de fonctions, le Salarié restitue tous les supports et données, et ses habilitations sont révoquées au plus tard le jour du départ.
8. Portée. Le présent avenant ne modifie ni la qualification, ni la rémunération, ni la durée du travail. Les autres clauses du contrat demeurent inchangées.
Fait à [ville], le [date], en deux exemplaires. [Signatures]
Comment adapter ces modèles
Choisissez l’instrument selon l’exposition. Clause standard pour tous les nouveaux contrats ; avenant détaillé pour les fonctions à accès étendu (RH, DSI, administrateurs). Pour les contrats en cours, l’avenant suppose l’accord du salarié — s’il refuse, la charte annexée au règlement intérieur et l’obligation légale de bonne foi restent votre socle ; le refus de signer un simple rappel d’obligations légales ne crée pas de droit acquis à l’insécurité.
Articulez avec les habilitations réelles. Une clause qui interdit ce que le SI permet techniquement (export CSV massif du CRM par tout commercial) protège mal : alignez droits d’accès, politique de sécurité et engagements contractuels. La CNIL sanctionne régulièrement les défauts de gestion des habilitations sur le fondement de l’article 32 — voir la fiche « gérer les habilitations » de son guide de la sécurité des données personnelles.
Documentez la remise des procédures. La clause renvoie à la charte et aux procédures : faites-les signer ou émarger, et conservez la preuve — c’est votre dossier d’accountability. Complétez par une formation RGPD tracée : clause + formation + charte forment le triptyque des mesures organisationnelles qu’un contrôleur CNIL demande à voir. Legiscope permet de documenter ces mesures et de les relier aux traitements de votre registre.
N’oubliez pas les non-salariés. Intérimaires, stagiaires, prestataires ne sont pas couverts par le règlement intérieur : faites signer un engagement de confidentialité autonome reprenant le modèle 1, et traitez les prestataires accédant aux données comme des sous-traitants avec DPA.
Erreurs courantes
- Clause purement décorative (« le salarié respecte le RGPD ») : sans obligations concrètes (instruction, habilitations, alerte, restitution), elle n’apporte rien de plus que la loi.
- Confondre confidentialité et non-concurrence : la clause de confidentialité post-contractuelle est valable sans contrepartie financière (Cass. soc., 2 octobre 2001, n° 99-42.942 a contrario ; jurisprudence constante) — contrairement à la non-concurrence. Ne mélangez pas les deux régimes dans la même clause.
- Sanctionner sans information préalable : la clause fonde la faute, mais la procédure disciplinaire suit le droit commun (règlement intérieur, article L1332-2 du code du travail).
- Ignorer le changement de poste : les habilitations et l’avenant doivent suivre les mobilités internes ; l’accès conservé « au cas où » est un manquement classique relevé en contrôle.
- Faire signer l’avenant sans mettre à jour l’information RGPD des salariés : l’employeur reste tenu de son information au titre des articles 13 et 14 sur les traitements RH.
FAQ
L’avenant RGPD est-il légalement obligatoire ?
Non, aucun texte ne l’impose. Mais l’article 32(4) RGPD exige que les personnes sous votre autorité ne traitent les données que sur instruction : la clause contractuelle est le moyen de preuve le plus solide de cette instruction, avec la charte et la formation. En cas de violation causée par un salarié, ce dossier fait la différence entre un manquement de l’entreprise et une faute individuelle documentée.
Un salarié peut-il refuser de signer l’avenant ?
Oui, s’agissant d’un avenant au contrat en cours. En pratique, l’avenant proposé ne modifie aucun élément essentiel (rémunération, fonctions) : il rappelle des obligations qui s’imposent déjà légalement. En cas de refus, appuyez-vous sur la charte annexée au règlement intérieur, opposable sans signature individuelle.
La clause de confidentialité survit-elle au départ du salarié ?
Oui, si elle le stipule : l’obligation de confidentialité post-contractuelle est valable sans limitation de durée et sans contrepartie financière. Elle n’empêche pas le salarié de travailler pour un concurrent (ce serait une clause de non-concurrence, soumise à ses propres conditions) : elle lui interdit d’utiliser ou divulguer les données et informations confidentielles.
Que risque un salarié qui exfiltre un fichier clients ?
Cumul possible : licenciement pour faute grave, responsabilité civile, et poursuites pénales — abus de confiance (article 314-1 du code pénal, 3 ans et 375 000 €), accès ou maintien frauduleux dans un STAD (article 323-1), détournement de données personnelles (article 226-21, 5 ans et 300 000 €). La clause contractuelle facilite la démonstration de la faute et du préjudice.
Conclusion
Deux modèles suffisent : une clause standard de six engagements pour tous les contrats, un avenant détaillé pour les postes à accès étendu. L’efficacité vient de l’écosystème : clause signée + charte opposable + habilitations cohérentes + formation tracée. C’est ce faisceau — pas la clause isolée — qui satisfait les articles 24 et 32 et qui, le jour d’un incident d’origine interne, protège l’entreprise devant la CNIL comme devant le juge.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial