RGPD & les salariés qui gèrent les données personnelles

Le 17 Juillet 2018

RGPD : L’ENTREPRISE DOIT-ELLE FAIRE SIGNER À SES SALARIÉS UNE CLAUSE DE CONFIDENTIALITÉ CONCERNANT LES DONNÉES PERSONNELLES ?

Depuis l’entrée en application du RGPD, les entreprises ont de nouvelles obligations en matière de sécurité des données personnelles.

Avec l’entrée en vigueur du RGPD, les employeurs doivent-ils faire signer une clause de confidentialité à leurs salariés qui manient des données personnelles ?

Selon les textes, l’employeur en tant que responsable de traitement est astreint à une obligation de sécurité des données. Il doit prendre les mesures nécessaires pour garantir la confidentialité des données qu’il traite – celles de ses clients ou celles de ses salariés. Cependant, ni la loi ni le règlement n’obligent les employeurs à faire signer à leurs salariés une clause de confidentialité.

La Cnil préconise tout de même de faire signer de tels engagements de confidentialité lorsque les salariés sont amenés à traiter des données personnelles. Il n’y a aucune obligation. Autrement dit si l’entreprise ne prévoit pas ces engagements, on ne pourra pas le lui reprocher.

Si une entreprise souhaite faire signer une clause de confidentialité à un salarié, ce dernier peut-il refuser ?

A l’heure actuelle, si le salarié refuse la signature, il est difficile de le sanctionner. La Cour de cassation a indiqué en 1994 que le salarié tenu au secret professionnel par ses fonctions n’a pas d’obligation de signer un serment de confidentialité lorsque l’employeur l’exige. Les juges ajoutent même qu’une telle clause présente « un caractère superfétatoire, vexatoire et désobligeant » (arrêt du 19 octobre 1994). A priori, la même solution s’applique si l’employeur souhaite obliger le salarié à signer une clause de confidentialité.

Peut-on tout de même sanctionner un salarié qui divulgue des données personnelles ?

Il existe une obligation générale de discrétion et de loyauté inhérente au contrat de travail. Le salarié ne doit pas divulguer à des tiers – ni même à d’autres salariés de l’entreprise – les informations confidentielles dont il a connaissance dans l’exercice de ses fonctions. Cette obligation est directement induite par le contrat de travail, même en l’absence d’une clause spécifique. Il est donc possible de sanctionner un salarié qui divulgue des données personnelles.

L’employeur peut toutefois montrer davantage de précautions, et prévoir une charte dédiée à la protection des données, qu’il peut annexer au règlement intérieur de l’entreprise (comme le conseille la Cnil). Cette clause peut indiquer par exemple que les données personnelles sont des informations confidentielles qui ne doivent pas être communiquées aux personnes non autorisées, sous peine de sanction. Le Conseil d’Etat a déjà admis que de telles clauses étaient licites car elles ont pour objet « d’informer les salariés que la communication desdits documents à des tiers serait constitutive d’une faute disciplinaire » (arrêt du 26 septembre 1990).

Sources : Editions législatives via sma

 

 

Ci-dessous modèle d'engagement 

 

 ENGAGEMENT DE CONFIDENTIALITÉ

Je soussigné(e) Monsieur/Madame …, exerçant les fonctions de … au sein de la société …, étant à ce titre amené/e à accéder à des données à caractère personnel, déclare reconnaître la confidentialité desdites données.

Je m’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles j’ai accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées à recevoir ces informations.

Je m’engage en particulier à :

-ne pas utiliser les données auxquelles je peux accéder à des fins autres que celles prévues par mes attributions ;

-ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;

-ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de mes fonctions ;

-prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

-prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données ;

-m’assurer, dans la limite de mes attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;

-en cas de cessation de mes fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de mes fonctions, demeurera effectif, sans limitation de durée après la cessation de mes fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.

J’ai été informé(e) que toute violation du présent engagement m’expose à des sanctions disciplinaires et pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.

Fait à …, le …, en deux exemplaires

Signature