Contrat de travail

Clause RGPD contrat de travail : comment la rédiger

Comprenez quelles clauses RGPD prévoir dans le contrat de travail, lesquelles éviter et comment les articuler avec vos notices d’information. Découvrez la méthode.

Mis à jour le 12 min de lecture
Clause RGPD contrat de travail : comment la rédiger
L'essentiel

La clause RGPD dans un contrat de travail ne suffit pas à “mettre en conformité” une entreprise au RGPD : elle s’inscrit dans un ensemble plus large d’obligations d’information et de protection des données.

Le RGPD impose surtout des obligations d’information (articles 13 et 14), de licéité (article 6) et de minimisation (article 5).

En pratique, le contrat de travail peut contenir une clause d’information concise sur les traitements RH (paie, gestion du personnel, sécurité…) avec renvoi vers une notice détaillée ou un intranet.

Cette clause doit rappeler l’existence des traitements, les grandes finalités et un contact (service RH ou délégué à la protection des données, si désigné).

En revanche, les clauses de “consentement global” du salarié à tous les traitements, ou celles qui prétendent limiter ses droits (droit d’accès, notamment aux emails professionnels), sont déconseillées : le consentement est rarement libre en situation de subordination et ces clauses risquent d’être jugées inutiles ou inopposables, comme le montre la jurisprudence sociale récente de 2024 et 2025.

Chiffres clés

  • 2018, entrée en application du RGPD fixant les obligations d’information des salariés (art. 13 et 14).
  • Article 6 §1 RGPD : au moins 6 bases de licéité, dont exécution du contrat et obligation légale.
  • Cass. soc., 21/05/2025, n° 22-19.925 : rappel de l’importance des articles 5, 6, 13 et 14 RGPD.
  • Cass. soc., 24/04/2024, n° 21-20.979 : communication de données possible pour défendre les droits en justice.
  • Cass. soc., 18/06/2025, n° 23-19.022 : droit d’accès du salarié aux métadonnées et contenus des emails professionnels.

Une clause liée au RGPD dans un contrat de travail sert surtout à informer le salarié de façon synthétique et à le diriger vers une notice plus détaillée, pas à « mettre votre entreprise en conformité » à elle seule. Les obligations centrales viennent du règlement lui-même : information (articles 13 et 14), principes de licéité, loyauté, transparence et minimisation (article 5) et bases légales des traitements (article 6), rappelés par la Cour de cassation le 21 mai 2025.

En tant que DRH, votre enjeu est donc de choisir quelles mentions placer dans le contrat, lesquelles renvoyer vers une notice ou l’intranet, et d’éviter les clauses de consentement global ou de renonciation aux droits, souvent jugées inutiles ou inopposables.

À quoi sert vraiment une clause RGPD dans un contrat de travail

Une clause RGPD dans un contrat de travail sert surtout à informer le salarié de base sur les traitements de ses données et à le renvoyer vers une information plus complète. Elle ne suffit pas à elle seule à “mettre votre entreprise en conformité” avec le RGPD.

Le RGPD repose d’abord sur des principes généraux qui s’imposent à tous vos traitements de données RH. L’article 5 impose la licéité, la loyauté, la transparence et la minimisation des données. La Cour de cassation rappelle ce socle dans plusieurs décisions récentes (Cass. soc., 21/05/2025, n° 22-19.925 ; Cass. soc., 24/04/2024, n° 21-20.979). Ces exigences concernent vos pratiques concrètes (quelles données vous collectez, pourquoi, pendant combien de temps), pas uniquement la rédaction du contrat.

La clause insérée dans le contrat s’inscrit dans l’obligation d’information prévue par les articles 13 et 14 du RGPD. Ces articles imposent de dire au salarié, de façon claire, qui traite ses données, pour quelles finalités, sur quelle base juridique, à qui elles sont transmises et quels sont ses droits. La Cour de cassation souligne ce devoir d’information dans sa décision du 21 mai 2025 (Cass. soc., 21/05/2025, n° 22-19.925).

Concrètement, cette clause a un rôle limité mais utile :

  • signaler l’existence des traitements RH courants (paie, gestion du personnel, sécurité, outils informatiques) ;
  • rappeler que ces traitements respectent les principes du RGPD (art. 5 et 6) ;
  • orienter le salarié vers une notice détaillée ou une rubrique dédiée de votre intranet pour le détail des finalités, catégories de données, durées de conservation ou destinataires ;
  • indiquer un contact pour toute question ou exercice de droits (service RH, délégué à la protection des données s’il existe).

Le contrat devient ainsi un point d’entrée vers l’information RGPD, tandis que la conformité repose surtout sur vos notices, procédures internes et choix de traitements, conformes aux articles 5, 6, 13 et 14 du RGPD et à la jurisprudence sociale récente.

Quelles mentions RGPD intégrer dans le contrat de travail

Votre contrat doit contenir une clause courte d’information sur les traitements RH, rappeler les grandes finalités, indiquer la base juridique principale et orienter vers une notice ou l’intranet, sans chercher à tout détailler dedans.

  1. Indiquer l’existence des traitements RH

    Les articles 13 et 14 RGPD imposent d’informer la personne concernée. La Cour de cassation rappelle cette obligation pour les salariés (Cass. soc., 21/05/2025, n° 22-19.925, § 10-11).

    Formulation possible :

    Les informations personnelles relatives au salarié font l’objet de traitements informatisés ou papiers destinés à la gestion du personnel, à la paie, à la gestion de la formation, à la santé et sécurité au travail et, le cas échéant, à la gestion des outils informatiques et de contrôle de l’activité.

  2. Rappeler les grandes finalités et les bases légales

    L’article 5 RGPD impose licéité, loyauté, transparence et minimisation, rappelés par la Cour de cassation 3. . L’article 6 §1 RGPD, cité par la même décision (§ 9), liste les bases de licéité : exécution du contrat, obligation légale, mission d’intérêt public, intérêt légitime, consentement ou sauvegarde des intérêts vitaux.

    Pour un salarié, la clause peut indiquer, sans tout détailler :

    • que les traitements liés à la paie, au temps de travail ou à la médecine du travail reposent sur une obligation légale ou l’exécution du contrat ;
    • que certains traitements (sécurité des locaux, sécurité des systèmes d’information) reposent sur l’intérêt légitime de l’employeur ;
    • que, si un consentement est requis pour un dispositif particulier, il fera l’objet d’une information distincte.

    Formulation possible :

    Ces traitements reposent, selon les cas, sur l’exécution du présent contrat de travail, sur le respect d’obligations légales ou sur l’intérêt légitime de l’employeur pour assurer la sécurité des personnes, des biens et des systèmes d’information.

  3. Prévoir un renvoi clair vers une notice ou l’intranet

    Les articles 13 et 14 RGPD exigent des informations plus détaillées (destinataires, durées de conservation, droits…). Il est plus lisible de les regrouper dans une notice remise à l’embauche ou accessible sur l’intranet.

    Formulation possible :

    Les informations détaillées sur ces traitements (finalités, base juridique, destinataires, durées de conservation et droits du salarié) figurent dans la notice “Protection des données personnelles – Ressources humaines” remise au salarié et disponible sur l’intranet.

  4. Indiquer un contact pour l’exercice des droits

    La Cour de cassation rappelle l’obligation de communiquer les coordonnées du délégué à la protection des données quand il existe (Cass. soc., 21/05/2025). Cette mention peut viser soit le service RH, soit le délégué désigné.

    Formulation possible :

    Pour toute question relative à la protection de ses données personnelles ou pour exercer ses droits reconnus par le RGPD, le salarié peut contacter le service Ressources humaines ou, le cas échéant, le délégué à la protection des données aux coordonnées indiquées dans la notice d’information.

    Pour aller plus loin, vous pouvez vous appuyer sur un guide pratique dédié à la mise à jour de vos modèles de contrats de travail et notices d’information RGPD, afin d’harmoniser cette clause avec l’ensemble de votre documentation RH.

Clauses RGPD à éviter ou jugées inopposables au salarié

Plusieurs formulations que l’on voit encore dans des contrats de travail sont soit inutiles, soit inopérantes au regard du RGPD et de la jurisprudence sociale récente. Les éviter simplifie vos modèles et limite les risques en contentieux.

  • 1. Clause de “consentement global” du salarié aux traitements RH Problème : le salarié « consent à tous les traitements de ses données ». Pourquoi éviter : en contexte de subordination, le consentement est rarement libre, comme le rappelle la logique générale du RGPD et la Cour de cassation (Cass. soc., 21/05/2025, n° 22-19.925). L’article 6 §1 du RGPD prévoit d’autres bases de licéité (exécution du contrat, obligation légale, intérêt légitime). La clause est donc sans portée réelle et peut être critiquée en cas de litige.
  • 2. Renonciation générale aux droits RGPD (accès, rectification, opposition…) Problème : le salarié renonce par avance à exercer ses droits issus des articles 15 et suivants du RGPD. Pourquoi éviter : ces droits découlent directement du règlement et ne peuvent pas être écartés par une clause. Une telle renonciation a toutes les chances d’être jugée inopposable et peut fragiliser votre position en laissant penser que vous cherchez à contourner le RGPD.
  • 3. Limitation contractuelle du droit d’accès aux emails professionnels Problème : le contrat prévoit que le salarié n’aura pas accès à ses emails professionnels ou seulement à certaines informations. Pourquoi éviter : la Cour de cassation a rappelé que le salarié peut obtenir les métadonnées et le contenu de ses emails professionnels au titre de son droit d’accès (Cass. soc., 18/06/2025, n° 23-19.022). Une clause qui prétend restreindre ce droit est inopérante.
  • 4. Clause de confidentialité “absolue” sur le contrat et les données Problème : le salarié s’engage à ne jamais communiquer son contrat ou ses données, y compris en justice. Pourquoi éviter : la communication de données pour la défense des droits en justice est admise, sous réserve de respecter les articles 6 et 23 du RGPD (Cass. soc., 24/04/2024, n° 21-20.979). Une interdiction générale est contraire à cette logique et risque d’être écartée par le juge.
  • 5. Formules floues d’acceptation de “tout futur traitement” Problème : le salarié accepte par avance des traitements non définis. Pourquoi éviter : les principes de loyauté, transparence et minimisation (article 5 du RGPD, rappelé par Cass. soc., 21/05/2025, n° 22-19.925) imposent une information précise. Une acceptation globale de traitements inconnus est incompatible avec ces principes et ne sécurise pas vos pratiques.

En pratique, une clause RGPD dans le contrat doit informer et renvoyer vers des supports détaillés, non tenter de faire renoncer le salarié à des droits que le RGPD et la jurisprudence protègent fermement.

Comment articuler contrat de travail, notice RGPD et intranet

Pour respecter le RGPD, le contrat doit rester synthétique et renvoyer vers des supports plus complets (notice, intranet), qui portent l’essentiel de l’information prévue aux articles 13 et 14.

  1. Définir la “colonne vertébrale” de l’information RGPD

    Décidez où se trouve l’information de référence sur les traitements RH : notice d’information remise à l’embauche, rubrique dédiée sur l’intranet, livret d’accueil, ou combinaison de ces supports.

    Les articles 13 et 14 RGPD exigent une information accessible et compréhensible, pas forcément intégrale dans le contrat. La CNIL admet depuis 2018 que cette obligation soit remplie par différents supports, à condition que le salarié puisse les consulter facilement.

  2. Limiter le contrat à une clause d’information “porte d’entrée”

    Insérez une clause courte indiquant :

    • l’existence de traitements de données pour la gestion du personnel (paie, temps de travail, sécurité, informatique, etc.) ;
    • un renvoi clair vers la notice ou l’intranet pour le détail des finalités, catégories de données, destinataires, durées de conservation et droits ;
    • un contact (service RH ou délégué à la protection des données, s’il existe) pour toute question ou exercice de droits.

    Cette approche est conforme à la logique de transparence de l’article 5 RGPD, rappelée par la Cour de cassation (Cass. soc., 21/05/2025, n° 22-19.925).

  3. Concentrer le détail des obligations RGPD dans une notice dédiée

    La notice (papier ou numérique) reprend les mentions obligatoires des articles 13 et 14 : finalités, bases légales (article 6 §1), destinataires, durées, droits, coordonnées du DPO le cas échéant.

    Veillez à ce que le contenu de cette notice soit cohérent avec les pratiques réelles (processus RH, outils utilisés, durées de conservation) pour éviter tout décalage relevé en contentieux.

  4. Utiliser l’intranet pour les mises à jour et la traçabilité

    L’intranet ou un espace documentaire interne permet de mettre à jour facilement les informations RGPD sans modifier les contrats.

    La Cour de cassation accepte que l’obligation d’information soit remplie par différents moyens, dès lors que l’ensemble reste lisible et accessible pour le salarié (Cass. soc., 21/05/2025, préc.). Informez vos salariés de chaque mise à jour par un message simple (mail, note interne) pour pouvoir démontrer l’information en cas de contrôle.

Méthode pas à pas pour mettre à jour vos clauses RGPD

Pour sécuriser vos contrats de travail, utilisez une démarche en 5 étapes, en gardant en tête que le contrat ne suffit pas à lui seul à respecter le RGPD.

  1. Cartographier vos traitements RH

    Listez tous les traitements liés aux salariés : paie, gestion du temps, évaluations, vidéosurveillance, contrôle d’accès, messagerie, télétravail, etc.

    Pour chaque traitement, identifiez la finalité, les données utilisées, les destinataires, la durée de conservation et la base légale parmi celles de l’article 6 §1 RGPD (exécution du contrat, obligation légale, intérêt légitime…). La Cour de cassation rappelle ces bases de licéité dans sa décision du 21 mai 2025 (Cass. soc., 21/05/2025, n° 22-19.925).

  2. Distinguer ce qui relève du contrat et de la notice RGPD

    Décidez ce qui doit figurer dans le contrat : une clause synthétique d’information « données RH », les principales finalités (gestion administrative, paie, sécurité des systèmes), et un contact (service RH ou délégué à la protection des données si désigné).

    Réservez les détails (catégories de données, durées de conservation, destinataires, modalités d’exercice des droits) à une notice distincte ou à une rubrique dédiée de votre intranet, pour satisfaire les articles 13 et 14 RGPD, expressément rappelés par la Cour de cassation (Cass. soc., 21/05/2025).

  3. Écarter les clauses inadaptées ou inopposables

    Supprimez les clauses de « consentement global » du salarié aux traitements RH, peu adaptées en raison du lien de subordination et alors que la plupart des traitements reposent sur d’autres bases légales (art. 6 §1 RGPD).

    Retirez aussi les clauses qui prétendent restreindre les droits RGPD, comme l’accès aux emails professionnels : la Cour de cassation a confirmé le droit du salarié à obtenir métadonnées et contenu de ses emails professionnels (Cass. soc., 18/06/2025, n° 23-19.022), ce qui rend ces clauses inopérantes.

  4. Aligner vos clauses sur la jurisprudence récente

    Intégrez dans vos modèles une mention sobre indiquant que certaines données peuvent être communiquées pour la défense des droits en justice, en renvoyant au cadre légal (licéité au regard des articles 6 et 23 RGPD), comme l’a admis la Cour de cassation (Cass. soc., 24/04/2024, n° 21-20.979).

    Vérifiez que le vocabulaire de vos clauses reste cohérent avec les principes de licéité, loyauté, transparence et minimisation fixés par l’article 5 RGPD, rappelés par la Cour de cassation en 2024 et 2025 (Cass. soc., 24/04/2024, n° 21-20.979 ; Cass. soc., 21/05/2025).

  5. Mettre à jour vos modèles et vos supports d’information

    À partir de cette analyse, mettez à jour vos modèles de contrats de travail, vos notices RGPD et, si besoin, les pages intranet qui informent les salariés.

    Assurez-vous que les informations transmises à l’embauche sont complètes et cohérentes avec la pratique interne, en gardant en mémoire que le RGPD est appliqué depuis 2018 et que la jurisprudence sociale de 2024-2025 impose de revoir les clauses anciennes qui reposaient surtout sur le consentement ou sur des limitations de droits.

    Pour aller plus loin, vous pouvez vous appuyer sur un guide pratique plus large sur la mise à jour des modèles de contrats de travail et des notices d’information RGPD, ou sur un outil spécialisé pour centraliser vos modèles et vos notices.

Questions fréquentes

  • Que signifie concrètement une clause RGPD dans un contrat de travail pour un salarié ?

    Une clause RGPD dans un contrat de travail signifie surtout que le salarié reçoit une information résumée sur l’usage de ses données : qui les traite, pour quoi faire, avec quelles grandes catégories de destinataires et quels sont ses droits. Elle renvoie souvent vers une notice ou un espace intranet plus complet. Elle ne remplace pas les autres obligations légales de l’employeur en matière de protection des données.

  • Quelles mentions RGPD intégrer dans un contrat de travail pour respecter les articles 13 et 14 ?

    Pour respecter les articles 13 et 14, le contrat de travail doit au moins mentionner l’identité du responsable de traitement, les principales finalités RH, les bases légales les plus courantes (exécution du contrat, obligation légale, intérêt légitime), un renvoi vers une notice détaillée, ainsi que les droits du salarié et les coordonnées de contact pour les exercer. Les éléments plus fins peuvent figurer dans un document séparé.

  • Une clause de consentement global du salarié aux traitements de données est-elle valable ?

    Une clause de consentement global du salarié aux traitements de données est en pratique fragile. En droit du travail, le consentement est souvent jugé discutable car le salarié est dans un lien de subordination. Les traitements RH reposent plutôt sur l’exécution du contrat, les obligations légales ou l’intérêt légitime. Une clause de renonciation générale aux droits serait en principe inopposable, voire contraire au RGPD.

  • Est-ce que l’employeur peut limiter par contrat le droit d’accès du salarié à ses emails professionnels ?

    L’employeur ne peut pas supprimer par contrat le droit d’accès du salarié à ses données, y compris ses emails professionnels, garanti par le RGPD. Le contrat peut encadrer l’usage de la messagerie, rappeler les règles de confidentialité et l’existence de contrôles, mais il ne peut pas écarter un droit prévu par la loi. Toute limitation doit rester compatible avec le RGPD et avec la jurisprudence sur la vie privée au travail.

  • Faut-il détailler toutes les finalités et durées de conservation dans le contrat de travail ou dans une notice séparée ?

    Il est souvent plus pratique de garder dans le contrat de travail une information synthétique et un renvoi vers une notice RGPD ou un intranet RH. Les finalités détaillées, les durées de conservation par catégorie de données et la liste précise des destinataires y sont plus faciles à mettre à jour. L’important est que l’information globale fournie au salarié reste claire, complète et aisément accessible.

  • Comment mettre à jour les modèles de contrats de travail après les décisions de la Cour de cassation de 2024 et 2025 sur le RGPD ?

    Pour mettre à jour vos modèles, il faut vérifier que la clause RGPD respecte la logique rappelée par la Cour de cassation : information claire, renvoi vers un document complet, pas de consentement global ni de renonciation aux droits. Simplifiez la clause, décrivez les grands traitements RH et insérez un lien vers la notice. Assurez-vous aussi que vos pratiques concrètes et vos supports d’information sont alignés avec le RGPD.

Vanessa Rajaofetra
Fondatrice d'Aoria RH
Vanessa Rajaofetra

Fondatrice et directrice de la publication d'Aoria RH, assistant juridique RH spécialisé en droit social français.

Vanessa sur LinkedIn

Testez 14 jours, sans carte bancaire

Posez vos questions de droit social et obtenez des réponses sourcées. Accès complet au plan Solo, aucun débit automatique.