Quelles clauses RGPD insérer dans un règlement intérieur ?
Réponse courte
Le règlement intérieur doit comporter des clauses RGPD qui rappellent l'identité du responsable de traitement, les finalités des traitements RH, les bases légales, les destinataires, les durées de conservation, les droits des salariés et les coordonnées du DPO si désigné. Il doit aussi mentionner les éventuels dispositifs de surveillance relevant de l'article L.261-1 du Code du travail.
Ces clauses ne remplacent pas la notice d'information exigée par l'article 13 du RGPD, mais constituent un socle opposable au salarié. Elles doivent être cohérentes avec la charte informatique, le registre des traitements et les contrats de sous-traitance.
Définition
Les clauses RGPD d'un règlement intérieur sont des dispositions qui encadrent les traitements de données personnelles mis en œuvre dans le cadre de la relation de travail. Elles rappellent les principes fondamentaux du Règlement UE 2016/679 et précisent leurs modalités d'application concrètes dans l'entreprise. Elles jouent un double rôle : informer les salariés et garantir l'opposabilité des règles en cas de litige disciplinaire lié à un manquement à la politique de protection des données.
Conditions d’exercice
Les clauses doivent être alignées sur les articles 5, 6, 12 à 22 et 30 du RGPD, cohérentes avec la notice et le registre, et soumises à l'avis de la délégation en cas de surveillance.
| Condition | Détail |
|---|---|
| Conformité RGPD | Alignement avec les articles 5, 6, 12 à 22 et 30 du RGPD |
| Transparence | Information claire sur les finalités et bases légales |
| Proportionnalité | Traitements limités au nécessaire |
| Cohérence documentaire | Concordance avec la notice RGPD et le registre |
| Consultation sociale | Avis de la délégation si dispositif L.261-1 |
| Opposabilité | Diffusion individuelle contre accusé de réception |
| Mise à jour | Révision à chaque nouveau traitement significatif |
Modalités pratiques
Les rubriques obligatoires sont l'identité du responsable, les finalités, les bases légales, les catégories de données et de destinataires, les durées de conservation, les droits et les coordonnées du DPO.
| Rubrique | Contenu |
|---|---|
| Responsable de traitement | Raison sociale et coordonnées de l'entreprise |
| Finalités | Gestion RH, paie, formation, sécurité, surveillance |
| Bases légales | Contrat, obligation légale, intérêt légitime |
| Catégories de données | Identité, carrière, paie, santé le cas échéant |
| Destinataires | Services internes, sous-traitants, autorités |
| Durées de conservation | Délais par finalité (paie, carrière, candidatures) |
| Droits des salariés | Accès, rectification, opposition, effacement |
| DPO | Coordonnées du délégué à la protection des données |
| Surveillance | Référence explicite à l'article L.261-1 |
Pratiques et recommandations
Aligner les clauses du règlement intérieur avec la notice RGPD remise aux salariés, pour éviter toute contradiction susceptible d'affaiblir la valeur probatoire du dispositif.
Mentionner explicitement les dispositifs de surveillance relevant de l'article L.261-1 (vidéoprotection, contrôle d'accès, géolocalisation) avec leur finalité et la durée de conservation des données.
Préciser les coordonnées du DPO ou du référent RGPD interne pour permettre l'exercice effectif des droits des salariés.
Faire viser le document par la délégation du personnel lorsqu'elle existe, afin d'asseoir la légitimité des clauses et de tracer la consultation préalable.
Actualiser les clauses à chaque évolution significative (nouveau logiciel RH, télétravail, IA, biométrie), et documenter les versions successives pour démontrer la diligence de l'employeur.
Cadre juridique
Plusieurs textes structurent le contenu des clauses RGPD.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 5 RGPD | Principes relatifs au traitement |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 13 RGPD | Information de la personne concernée |
| Art. 15 à 22 RGPD | Droits des personnes concernées |
| Art. 30 RGPD | Registre des activités de traitement |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
| Art. L.261-1 Code du travail | Surveillance des salariés |
| Art. L.414-1 Code du travail | Attributions de la délégation du personnel |
Note
Des clauses RGPD génériques ou copiées sans adaptation au contexte de l'entreprise n'offrent qu'une protection limitée en cas de contrôle de la CNPD. L'opposabilité suppose une diffusion tracée et une mise à jour régulière. La notice d'information reste obligatoire même si le règlement intérieur contient déjà un volet RGPD.