Une clause liée au RGPD dans un contrat de travail sert surtout à informer le salarié de façon synthétique et à le diriger vers une notice plus détaillée, pas à « mettre votre entreprise en conformité » à elle seule. Les obligations centrales viennent du règlement lui-même : information (articles 13 et 14), principes de licéité, loyauté, transparence et minimisation (article 5) et bases légales des traitements (article 6), rappelés par la Cour de cassation le 21 mai 2025.
En tant que DRH, votre enjeu est donc de choisir quelles mentions placer dans le contrat, lesquelles renvoyer vers une notice ou l’intranet, et d’éviter les clauses de consentement global ou de renonciation aux droits, souvent jugées inutiles ou inopposables.
À quoi sert vraiment une clause RGPD dans un contrat de travail
Une clause RGPD dans un contrat de travail sert surtout à informer le salarié de base sur les traitements de ses données et à le renvoyer vers une information plus complète. Elle ne suffit pas à elle seule à “mettre votre entreprise en conformité” avec le RGPD.
Le RGPD repose d’abord sur des principes généraux qui s’imposent à tous vos traitements de données RH. L’article 5 impose la licéité, la loyauté, la transparence et la minimisation des données. La Cour de cassation rappelle ce socle dans plusieurs décisions récentes (Cass. soc., 21/05/2025, n° 22-19.925 ; Cass. soc., 24/04/2024, n° 21-20.979). Ces exigences concernent vos pratiques concrètes (quelles données vous collectez, pourquoi, pendant combien de temps), pas uniquement la rédaction du contrat.
La clause insérée dans le contrat s’inscrit dans l’obligation d’information prévue par les articles 13 et 14 du RGPD. Ces articles imposent de dire au salarié, de façon claire, qui traite ses données, pour quelles finalités, sur quelle base juridique, à qui elles sont transmises et quels sont ses droits. La Cour de cassation souligne ce devoir d’information dans sa décision du 21 mai 2025 (Cass. soc., 21/05/2025, n° 22-19.925).
Concrètement, cette clause a un rôle limité mais utile :
- signaler l’existence des traitements RH courants (paie, gestion du personnel, sécurité, outils informatiques) ;
- rappeler que ces traitements respectent les principes du RGPD (art. 5 et 6) ;
- orienter le salarié vers une notice détaillée ou une rubrique dédiée de votre intranet pour le détail des finalités, catégories de données, durées de conservation ou destinataires ;
- indiquer un contact pour toute question ou exercice de droits (service RH, délégué à la protection des données s’il existe).
Le contrat devient ainsi un point d’entrée vers l’information RGPD, tandis que la conformité repose surtout sur vos notices, procédures internes et choix de traitements, conformes aux articles 5, 6, 13 et 14 du RGPD et à la jurisprudence sociale récente.
Quelles mentions RGPD intégrer dans le contrat de travail
Votre contrat doit contenir une clause courte d’information sur les traitements RH, rappeler les grandes finalités, indiquer la base juridique principale et orienter vers une notice ou l’intranet, sans chercher à tout détailler dedans.
-
Indiquer l’existence des traitements RH
Les articles 13 et 14 RGPD imposent d’informer la personne concernée. La Cour de cassation rappelle cette obligation pour les salariés (Cass. soc., 21/05/2025, n° 22-19.925, § 10-11).
Formulation possible :
Les informations personnelles relatives au salarié font l’objet de traitements informatisés ou papiers destinés à la gestion du personnel, à la paie, à la gestion de la formation, à la santé et sécurité au travail et, le cas échéant, à la gestion des outils informatiques et de contrôle de l’activité.
-
Rappeler les grandes finalités et les bases légales
L’article 5 RGPD impose licéité, loyauté, transparence et minimisation, rappelés par la Cour de cassation 3. . L’article 6 §1 RGPD, cité par la même décision (§ 9), liste les bases de licéité : exécution du contrat, obligation légale, mission d’intérêt public, intérêt légitime, consentement ou sauvegarde des intérêts vitaux.
Pour un salarié, la clause peut indiquer, sans tout détailler :
- que les traitements liés à la paie, au temps de travail ou à la médecine du travail reposent sur une obligation légale ou l’exécution du contrat ;
- que certains traitements (sécurité des locaux, sécurité des systèmes d’information) reposent sur l’intérêt légitime de l’employeur ;
- que, si un consentement est requis pour un dispositif particulier, il fera l’objet d’une information distincte.
Formulation possible :
Ces traitements reposent, selon les cas, sur l’exécution du présent contrat de travail, sur le respect d’obligations légales ou sur l’intérêt légitime de l’employeur pour assurer la sécurité des personnes, des biens et des systèmes d’information.
-
Prévoir un renvoi clair vers une notice ou l’intranet
Les articles 13 et 14 RGPD exigent des informations plus détaillées (destinataires, durées de conservation, droits…). Il est plus lisible de les regrouper dans une notice remise à l’embauche ou accessible sur l’intranet.
Formulation possible :
Les informations détaillées sur ces traitements (finalités, base juridique, destinataires, durées de conservation et droits du salarié) figurent dans la notice “Protection des données personnelles – Ressources humaines” remise au salarié et disponible sur l’intranet.
-
Indiquer un contact pour l’exercice des droits
La Cour de cassation rappelle l’obligation de communiquer les coordonnées du délégué à la protection des données quand il existe (Cass. soc., 21/05/2025). Cette mention peut viser soit le service RH, soit le délégué désigné.
Formulation possible :
Pour toute question relative à la protection de ses données personnelles ou pour exercer ses droits reconnus par le RGPD, le salarié peut contacter le service Ressources humaines ou, le cas échéant, le délégué à la protection des données aux coordonnées indiquées dans la notice d’information.
Pour aller plus loin, vous pouvez vous appuyer sur un guide pratique dédié à la mise à jour de vos modèles de contrats de travail et notices d’information RGPD, afin d’harmoniser cette clause avec l’ensemble de votre documentation RH.
Clauses RGPD à éviter ou jugées inopposables au salarié
Plusieurs formulations que l’on voit encore dans des contrats de travail sont soit inutiles, soit inopérantes au regard du RGPD et de la jurisprudence sociale récente. Les éviter simplifie vos modèles et limite les risques en contentieux.
- 1. Clause de “consentement global” du salarié aux traitements RH Problème : le salarié « consent à tous les traitements de ses données ». Pourquoi éviter : en contexte de subordination, le consentement est rarement libre, comme le rappelle la logique générale du RGPD et la Cour de cassation (Cass. soc., 21/05/2025, n° 22-19.925). L’article 6 §1 du RGPD prévoit d’autres bases de licéité (exécution du contrat, obligation légale, intérêt légitime). La clause est donc sans portée réelle et peut être critiquée en cas de litige.
- 2. Renonciation générale aux droits RGPD (accès, rectification, opposition…) Problème : le salarié renonce par avance à exercer ses droits issus des articles 15 et suivants du RGPD. Pourquoi éviter : ces droits découlent directement du règlement et ne peuvent pas être écartés par une clause. Une telle renonciation a toutes les chances d’être jugée inopposable et peut fragiliser votre position en laissant penser que vous cherchez à contourner le RGPD.
- 3. Limitation contractuelle du droit d’accès aux emails professionnels Problème : le contrat prévoit que le salarié n’aura pas accès à ses emails professionnels ou seulement à certaines informations. Pourquoi éviter : la Cour de cassation a rappelé que le salarié peut obtenir les métadonnées et le contenu de ses emails professionnels au titre de son droit d’accès (Cass. soc., 18/06/2025, n° 23-19.022). Une clause qui prétend restreindre ce droit est inopérante.
- 4. Clause de confidentialité “absolue” sur le contrat et les données Problème : le salarié s’engage à ne jamais communiquer son contrat ou ses données, y compris en justice. Pourquoi éviter : la communication de données pour la défense des droits en justice est admise, sous réserve de respecter les articles 6 et 23 du RGPD (Cass. soc., 24/04/2024, n° 21-20.979). Une interdiction générale est contraire à cette logique et risque d’être écartée par le juge.
- 5. Formules floues d’acceptation de “tout futur traitement” Problème : le salarié accepte par avance des traitements non définis. Pourquoi éviter : les principes de loyauté, transparence et minimisation (article 5 du RGPD, rappelé par Cass. soc., 21/05/2025, n° 22-19.925) imposent une information précise. Une acceptation globale de traitements inconnus est incompatible avec ces principes et ne sécurise pas vos pratiques.
En pratique, une clause RGPD dans le contrat doit informer et renvoyer vers des supports détaillés, non tenter de faire renoncer le salarié à des droits que le RGPD et la jurisprudence protègent fermement.
Comment articuler contrat de travail, notice RGPD et intranet
Pour respecter le RGPD, le contrat doit rester synthétique et renvoyer vers des supports plus complets (notice, intranet), qui portent l’essentiel de l’information prévue aux articles 13 et 14.
-
Définir la “colonne vertébrale” de l’information RGPD
Décidez où se trouve l’information de référence sur les traitements RH : notice d’information remise à l’embauche, rubrique dédiée sur l’intranet, livret d’accueil, ou combinaison de ces supports.
Les articles 13 et 14 RGPD exigent une information accessible et compréhensible, pas forcément intégrale dans le contrat. La CNIL admet depuis 2018 que cette obligation soit remplie par différents supports, à condition que le salarié puisse les consulter facilement.
-
Limiter le contrat à une clause d’information “porte d’entrée”
Insérez une clause courte indiquant :
- l’existence de traitements de données pour la gestion du personnel (paie, temps de travail, sécurité, informatique, etc.) ;
- un renvoi clair vers la notice ou l’intranet pour le détail des finalités, catégories de données, destinataires, durées de conservation et droits ;
- un contact (service RH ou délégué à la protection des données, s’il existe) pour toute question ou exercice de droits.
Cette approche est conforme à la logique de transparence de l’article 5 RGPD, rappelée par la Cour de cassation (Cass. soc., 21/05/2025, n° 22-19.925).
-
Concentrer le détail des obligations RGPD dans une notice dédiée
La notice (papier ou numérique) reprend les mentions obligatoires des articles 13 et 14 : finalités, bases légales (article 6 §1), destinataires, durées, droits, coordonnées du DPO le cas échéant.
Veillez à ce que le contenu de cette notice soit cohérent avec les pratiques réelles (processus RH, outils utilisés, durées de conservation) pour éviter tout décalage relevé en contentieux.
-
Utiliser l’intranet pour les mises à jour et la traçabilité
L’intranet ou un espace documentaire interne permet de mettre à jour facilement les informations RGPD sans modifier les contrats.
La Cour de cassation accepte que l’obligation d’information soit remplie par différents moyens, dès lors que l’ensemble reste lisible et accessible pour le salarié (Cass. soc., 21/05/2025, préc.). Informez vos salariés de chaque mise à jour par un message simple (mail, note interne) pour pouvoir démontrer l’information en cas de contrôle.
Méthode pas à pas pour mettre à jour vos clauses RGPD
Pour sécuriser vos contrats de travail, utilisez une démarche en 5 étapes, en gardant en tête que le contrat ne suffit pas à lui seul à respecter le RGPD.
-
Cartographier vos traitements RH
Listez tous les traitements liés aux salariés : paie, gestion du temps, évaluations, vidéosurveillance, contrôle d’accès, messagerie, télétravail, etc.
Pour chaque traitement, identifiez la finalité, les données utilisées, les destinataires, la durée de conservation et la base légale parmi celles de l’article 6 §1 RGPD (exécution du contrat, obligation légale, intérêt légitime…). La Cour de cassation rappelle ces bases de licéité dans sa décision du 21 mai 2025 (Cass. soc., 21/05/2025, n° 22-19.925).
-
Distinguer ce qui relève du contrat et de la notice RGPD
Décidez ce qui doit figurer dans le contrat : une clause synthétique d’information « données RH », les principales finalités (gestion administrative, paie, sécurité des systèmes), et un contact (service RH ou délégué à la protection des données si désigné).
Réservez les détails (catégories de données, durées de conservation, destinataires, modalités d’exercice des droits) à une notice distincte ou à une rubrique dédiée de votre intranet, pour satisfaire les articles 13 et 14 RGPD, expressément rappelés par la Cour de cassation (Cass. soc., 21/05/2025).
-
Écarter les clauses inadaptées ou inopposables
Supprimez les clauses de « consentement global » du salarié aux traitements RH, peu adaptées en raison du lien de subordination et alors que la plupart des traitements reposent sur d’autres bases légales (art. 6 §1 RGPD).
Retirez aussi les clauses qui prétendent restreindre les droits RGPD, comme l’accès aux emails professionnels : la Cour de cassation a confirmé le droit du salarié à obtenir métadonnées et contenu de ses emails professionnels (Cass. soc., 18/06/2025, n° 23-19.022), ce qui rend ces clauses inopérantes.
-
Aligner vos clauses sur la jurisprudence récente
Intégrez dans vos modèles une mention sobre indiquant que certaines données peuvent être communiquées pour la défense des droits en justice, en renvoyant au cadre légal (licéité au regard des articles 6 et 23 RGPD), comme l’a admis la Cour de cassation (Cass. soc., 24/04/2024, n° 21-20.979).
Vérifiez que le vocabulaire de vos clauses reste cohérent avec les principes de licéité, loyauté, transparence et minimisation fixés par l’article 5 RGPD, rappelés par la Cour de cassation en 2024 et 2025 (Cass. soc., 24/04/2024, n° 21-20.979 ; Cass. soc., 21/05/2025).
-
Mettre à jour vos modèles et vos supports d’information
À partir de cette analyse, mettez à jour vos modèles de contrats de travail, vos notices RGPD et, si besoin, les pages intranet qui informent les salariés.
Assurez-vous que les informations transmises à l’embauche sont complètes et cohérentes avec la pratique interne, en gardant en mémoire que le RGPD est appliqué depuis 2018 et que la jurisprudence sociale de 2024-2025 impose de revoir les clauses anciennes qui reposaient surtout sur le consentement ou sur des limitations de droits.
Pour aller plus loin, vous pouvez vous appuyer sur un guide pratique plus large sur la mise à jour des modèles de contrats de travail et des notices d’information RGPD, ou sur un outil spécialisé pour centraliser vos modèles et vos notices.


