Depuis que le nouveau règlement général sur le traitement et la protection des données personnelles a été mis en place, les entreprises sont également soumises à de nouvelles obligations régies par la loi informatique et libertés. Vous avez pu remarquer cela, car vous avez une entreprise à gérer. Parmi ces obligations, vous vous demandez si vous devez établir une clause RGPD ? Retrouvez la réponse dans cet article.
Clause RGPD : pour une meilleure garantie de la confidentialité des données personnelles
D’après les textes en vigueur, l’employeur, comme il est le premier responsable de traitement des données personnelles, est astreint à une obligation de protection de ces données. De ce fait, il doit prendre les mesures et précautions nécessaires afin d’optimiser leur confidentialité, qu’il s’agisse de données des clients, des salariés ou des sous-traitants. Cependant, aucune loi ni règlement oblige les dirigeants ou entrepreneurs à faire signer une clause contrat de travail RGPD ou une clause contractuelle de confidentialité.
Toutefois, la Cnil ou Commission nationale de l’informatique et des libertés recommande tout de même de faire signer ces engagements de confidentialité lorsque les employés ont pour mission de traiter des données à caractère personnel. Ce n’est donc pas obligatoire, mais c’est fortement préconisé. Personne ne va vous le reprocher si jamais vous ne prévoyez pas ces engagements au sein de votre entreprise.
Clause de confidentialité RGPD : qu’en est-il vis-à-vis du salarié ?
Le salarié peut parfaitement refuser de signer une clause RGPD et il est difficile, voire même impossible de le sanctionner pour cela. Rappelez-vous qu’en 1994, la Cour de cassation a mentionné que le salarié qui est tenu au secret professionnel par ses différentes fonctions, n’est pas obligé de signer un serment de confidentialité exigé par son supérieur.
Une telle clause RGPD présente un caractère, à la fois vexatoire, superfétatoire et désobligeant selon l’arrêt du 19 octobre 1994. La même solution s’applique a priori si l’employeur ou le responsable DPO souhaite obliger l’employé à procéder à la signature d’une telle clause.
Que faire dans le cas où le salarié divulgue des données à caractère personnel ?
Pour information, il y a une obligation générale de loyauté et de discrétion inhérente au contrat de travail. En effet, l’employé n’a pas le droit, ni l’autorisation de divulguer des informations confidentielles à des tiers même s’il s’agit de ses propres collaborateurs au sein de l’entreprise. C’est le contrat de travail qui induit cette obligation, de manière directe même en l’absence d’une clause RGPD spécifique. De ce fait,il est tout à fait possible de donner une sanction à un salarié qui divulgue ce genre de données.
Toutefois, en tant qu’employeur, vous pouvez montrer et prendre davantage de précautions. Vous pouvez par exemple prévoir une charte dédiée à la sécurisation et la protection des données à caractère personnel. Cette charte peut être annexée au règlement intérieur de l’entreprise selon la recommandation de la Cnil. Elle peut par exemple mentionner que pour les traitements de données personnelles, aucune information ne doit être divulguée à qui que ce soit au risque d’être sanctionné.
En outre, le Conseil d’Etat a déjà procédé à l’admission du fait que des clauses de ce type étaient licites étant donné qu’elles ont pour rôle d’informer les travailleurs au sein d’une entrepris que la communication des documents à caractère personnel à des tiers pourrait constituer une faute disciplinaire. Vous pouvez vérifier cela à l’arrêt du 26 septembre 1990.
Suivez bien les règles par la loi informatique et la politique de protection de données pour que votre entreprise soit bien conforme au nouveau règlement RGPD.