Immobilier
Entreprise
Droit civil
Connexion
Créer
Lettre d intention
Lettre de licenciement pour inaptitude
Declaration de creance
Statuts sarl
Avenant au contrat de travail à durée déterminée
Contrat de partenariat commercial
Statuts sasu
Contrat de colocation
Charge de la preuve
Résiliation de bail
Promesse d embauche
Temoignage
Reglement interieur association
Attestation de vie commune
Attestation d'hébergement
Contrat de vente
Depot de plainte
Acte de caution solidaire
Injonction de payer
Contrat de sous location
CDD saisonnier
Bail commercial 3 6 9
Augmentation des loyers
Lettre de demande de rupture conventionnelle
Sarl de famille
Statuts association
Bail professionnel
Lettre de démission
Quittance de loyer
Facture
Plan d'affaires
Mise en demeure
Devis
Reconnaissance de dette
Fiche de poste
Contrat de travail
Sci familiale
Etat des lieux de sortie
Bon de commande
Bail commercial
Lettre de rupture conventionnelle
Home
/
Entreprise
/
Obligation d'information RGPD de l'employeur

Obligation de l'employeur de fournir des informations relatives au RGPD : procédure à suivre

Obligation d'information RGPD de l'employeur
Créer un document
Mis à jour
29
/
01
/
2026
Rédigé par
Tiphaine D
|
Révisé par
Yasmina Micu
Noms similaires
Devoir de transparence RGPD employeur, Information sur le traitement des données salariés
+ 0de plus
Afficher moins
Similar Tag Sample
Créez facilement et rapidement des documents juridiques
Pas besoin d’avocats onéreux
Accessible à tout moment, partout dans le monde
Des documents juridiques personnalisés pour vos besoins
Obligation d'information RGPD de l'employeur
Créer un document

L’obligation d’information RGPD de l’employeur constitue l’un des piliers de la conformité en matière de protection des données personnelles. Dès qu’une entreprise collecte, stocke ou utilise les informations de ses salariés, elle doit leur fournir des informations claires et complètes sur les traitements en question. Cette démarche répond aux articles 12 à 14 du RGPD et vise à garantir transparence et respect des droits fondamentaux. 

Dans cet article, tu découvriras à quoi sert cette note d’information sur le RGPD, dans quelles situations elle est obligatoire, comment la rédiger et quels éléments essentiels doivent y figurer pour être conforme à la réglementation.

Table des matières

Quelle est l’obligation d’information RGPD de l’employeur ?

L’obligation d’information RGPD impose à l’employeur d’expliquer aux salariés de manière accessible comment leurs données seront collectées, utilisées, conservées, partagées et protégées. Cette note d'information doit couvrir la finalité de chaque traitement, les bases légales applicables, les destinataires internes et externes, les durées de conservation, ainsi que l’ensemble des droits prévus par le RGPD. 

Cette obligation concerne toutes les organisations, quelle que soit leur taille, car toute relation de travail implique nécessairement la collecte de données personnelles comme l’identité du salarié, les informations professionnelles, la paie ou encore les données d’accès informatiques. Conformément aux articles 12 à 14 du RGPD, ces informations doivent être fournies au moment de la collecte des données ou, si les données proviennent d’un tiers, dans un délai raisonnable. L’objectif est de permettre au salarié de comprendre précisément le traitement de ses données et d’exercer ses droits en toute connaissance de cause.

Conseil d’expert : Ta note d’information RGPD doit couvrir la totalité de ton registre d’activités de traitement. Si un traitement figure dans le registre mais n’apparaît nulle part dans la note remise aux salariés, cette erreur peut être relevée par la CNIL. 

Quand utiliser une note d’information RGPD pour les salariés ?

1. Lors de l’embauche et de l’intégration d’un salarié

Quand un salarié rejoint l’entreprise, l’employeur doit collecter un ensemble conséquent de données personnelles nécessaires à l’établissement du contrat, à la paie, à la sécurité et à la gestion administrative. Cela inclut les coordonnées, l’état civil, les informations bancaires, les justificatifs administratifs, l’historique professionnel, les documents légaux ainsi que les données nécessaires à la création des accès informatiques. À ce stade, l’obligation d’information n’est pas une simple formalité : elle doit permettre au salarié de comprendre précisément pourquoi chaque donnée est collectée, qui y aura accès, combien de temps elle sera conservée et quels droits il peut exercer, conformément aux articles 12 à 14 du RGPD. 

Cette information doit être fournie avant ou au moment de la collecte. L’entreprise peut l’intégrer dans le livret d’accueil, la procédure d’onboarding, la signature du contrat ou dans un espace intranet. L’essentiel est que le salarié puisse y accéder facilement et à tout moment, car cette transparence initiale crée un cadre de confiance durable et sécurise juridiquement l’employeur en cas de contrôle de la CNIL.

2. Lors de la mise en place d’un nouvel outil ou logiciel interne

Chaque introduction d’un outil numérique modifie potentiellement la nature, le volume ou la sensibilité des données collectées sur les salariés. Par exemple, l’implémentation d’un système de RH, d’un outil de suivi des horaires, d’un logiciel collaboratif ou d’une plateforme Cloud entraîne de nouveaux flux de données, parfois vers des prestataires externes ou vers des pays hors de l’Union européenne. Cela peut également inclure l’analyse des connexions, la gestion des droits d’accès ou la conservation de logs techniques. 

L’employeur doit mettre à jour la note d’information RGPD pour expliquer ces nouveaux partages, leurs bases légales, les mesures de sécurité, ainsi que les éventuels transferts internationaux. Cette mise à jour doit être effectuée avant la mise en service de l’outil, car les salariés doivent comprendre les changements en question et comment ces derniers affecteront leurs données. Une communication claire et anticipée permet également de limiter les inquiétudes liées à l’usage des technologies internes, notamment lorsqu’il s’agit d’outils susceptibles d’être perçus comme intrusifs, comme la vidéosurveillance ou certains logiciels d’analyse d’activité.

3. Lors du recours à un prestataire externe

Lorsque l’entreprise confie une partie du traitement de données à un prestataire, elle doit informer les salariés de cette sous-traitance mais aussi de ses conséquences. Les prestataires peuvent être par exemple une société de paie, un cabinet comptable, un fournisseur d’outils SaaS, une entreprise de cybersécurité, un cabinet de recrutement ou encore un service de maintenance informatique. 

La note d’information doit préciser le type de données concernées, la finalité de la sous-traitance, les garanties contractuelles mises en place (comme les clauses contractuelles types), ainsi que les mesures techniques de protection exigées du prestataire. Elle doit aussi indiquer si ce prestataire transfère ou héberge les données hors UE. L’objectif est de donner au salarié une vision complète du parcours de ses données au-delà de l’entreprise. Cette transparence est particulièrement importante, car les sous-traitants représentent l’un des principaux risques identifiés par la CNIL en matière de protection des données : une information claire contribue donc à renforcer la confiance des salariés et à réduire la responsabilité de l’employeur en cas d’incident.

Conseil d’expert : Avant de signer avec un prestataire, demande systématiquement où sont hébergées les données, quelles mesures de sécurité sont mises en œuvre et exige une clause contractuelle sur la confidentialité et la sous-traitance ultérieure. Cela te permettra d’anticiper les transferts hors UE et de sécuriser la relation sur le long terme.

Comment rédiger une note d’information RGPD pour les salariés ?

1. Identifie tous les traitements RH

La première étape essentielle consiste à dresser un inventaire précis de tous les traitements de données réalisés au sein de l’entreprise. Cet inventaire doit aller au-delà des seuls dossiers administratifs et inclure l’ensemble des outils, processus et interactions dans lesquels circulent des données personnelles comme la gestion des absences, le système de paie, les évaluations annuelles, les dispositifs de sécurité informatique, le suivi des accès, les plateformes internes de communication, les fiches de poste, les bases de recrutement, les systèmes de contrôle d’accès ou encore les logiciels de formation. Identifier ces traitements permet de comprendre quelles données circulent, dans quel but et via quels acteurs internes ou externes. Un inventaire complet constitue la base d’une note d’information RGPD fiable, car il souligne les risques éventuels, les doublons, les traitements non documentés et les pratiques nécessitant une mise à jour. 

Conseil d’expert : C’est également un exercice indispensable pour démontrer la conformité en cas de contrôle de la CNIL, le RGPD imposant une traçabilité et une maîtrise complète des traitements opérés.

2. Détermine la base légale de chaque traitement

Chaque traitement doit être justifié par une base légale conforme aux articles 6 et 9 du RGPD, et l’employeur doit être capable d’expliquer clairement pourquoi il s’appuie sur cette base pour collecter ou utiliser des données. Les obligations légales s’appliquent souvent pour la paie, les déclarations sociales ou la sécurité au travail. L’exécution du contrat est une justification pour la gestion administrative ou l’attribution de moyens nécessaires au travail. L’intérêt légitime peut être invoqué pour la sécurité informatique, la prévention de fraude ou l’organisation interne. Le consentement, quant à lui, doit rester exceptionnel, car il doit être véritablement libre et ne peut pas être obtenu dans un contexte hiérarchique. 

Conseil d’expert : En définissant la base légale, l’employeur sécurise ses traitements et évite les risques d’irrégularités susceptibles d’entraîner des sanctions ou d’annuler certaines pratiques internes.

3. Définis les durées de conservation selon les obligations juridiques

Le RGPD impose de conserver les données personnelles uniquement pour une durée proportionnée à la finalité pour laquelle elles ont été collectées. Déterminer ces durées nécessite de combiner les obligations légales, les besoins opérationnels et les recommandations de la CNIL. Par exemple, les dossiers du personnel doivent être conservés pendant toute la durée du contrat, puis archivés selon les obligations sociales. Les documents comptables, eux, doivent être conservés dix ans. Les images de vidéosurveillance sont limitées en général à trente jours et les logs informatiques doivent être conservés seulement quelques mois, selon leur utilité. Chaque durée doit être justifiée et compréhensible pour le salarié, car cela lui permet de savoir combien de temps ses données resteront stockées et pourquoi. Définir ces durées de conservation aide aussi l’entreprise à mettre en place une politique d’archivage cohérente, à limiter le stockage inutile et à réduire les risques liés à l’accumulation de données sensibles.

Conseil d’expert : Crée un calendrier de suppression ou d’archivage automatisé pour les catégories principales de données (dossiers RH, logs, vidéos, candidatures). En mettant en place des actions concrètes (tâches récurrentes, rappels, workflows), tu risqueras moins de conserver des données au-delà des délais légaux.

4. Rédige un document clair et structuré

Une note d’information RGPD efficace doit être rédigée dans un langage clair, accessible et organisé en sections logiques. L’objectif n’est pas d’utiliser un vocabulaire juridique complexe, mais de permettre à chaque salarié de comprendre facilement le traitement de ses données, même s’il n’a aucune connaissance en droit ou en informatique. Le document doit distinguer clairement les finalités, les bases légales, les destinataires, les durées de conservation, les droits et les éventuels transferts internationaux. Une structure cohérente permet au salarié de retrouver rapidement l’information qu’il recherche, ce qui est particulièrement utile lorsqu’il souhaite exercer un droit d’accès, d’opposition ou de rectification. L’employeur doit veiller à ce que le document reste cohérent même lorsqu’il inclut plusieurs traitements différents ou lorsque certains processus sont complexes. 

Conseil d’expert : Une présentation claire concernant le traitement RGPD renforce la crédibilité de l’entreprise et démontre son engagement en matière de transparence et de conformité.

5. Utilise un générateur conforme pour éviter les oublis

Rédiger une note conforme peut être complexe, car les mentions obligatoires sont nombreuses et la moindre omission peut rendre le document incomplet. L’utilisation d’un générateur spécialisé, comme celui proposé par Legally.io, permet de sécuriser la rédaction en intégrant automatiquement toutes les exigences légales, les formulations adaptées et les bonnes pratiques attendues par la réglementation. Cette approche évite les erreurs courantes, comme le manque de base légale, l’absence des droits des salariés ou la non-mention d’un prestataire externe. Elle permet également de gagner du temps lors des mises à jour régulières, notamment lorsque l’entreprise adopte un nouvel outil ou modifie un traitement. 

Conseil d’expert : Les générateurs comme Legally.io produisent un document immédiatement exploitable, structuré et personnalisable, ce qui simplifie la conformité de l’entreprise et assure une cohérence globale.

Que doit contenir l’obligation d’information RGPD de l’employeur ?

La note doit intégrer plusieurs éléments détaillés pour répondre pleinement aux articles 13 et 14 du RGPD. Chaque section doit donner des informations concrètes et opérationnelles afin que les salariés comprennent le traitement de leurs données et puissent exercer leurs droits de manière simple.

  • L’identité et les coordonnées du responsable de traitement : L’entreprise doit préciser son nom, son adresse et les coordonnées permettant de contacter le responsable interne de la protection des données. Si un délégué à la protection des données (DPO) existe, ses coordonnées doivent être indiquées. Les salariés devront se tourner vers cette personne pour exercer leurs droits.
  • Les finalités du traitement et leurs bases légales : La note doit expliquer précisément pourquoi les données sont collectées. Ces finalités peuvent inclure la gestion du personnel, les obligations légales, la sécurité informatique, la gestion des carrières ou encore l’organisation du travail. La base légale de chaque finalité doit être justifiée de manière claire pour assurer la conformité avec le RGPD.
  • Les catégories de données collectées : L’employeur doit indiquer les types de données traitées, comme les données d’identification, les informations bancaires, les données professionnelles, les logs informatiques ou les informations de connexion. 
  • Les destinataires internes et externes : La note doit mentionner les personnes ou services ayant accès aux données. Cela inclut les services internes tels que les RH ou le pôle informatique, mais aussi les prestataires externes. L’objectif est d’assurer la transparence sur les flux de données et les responsabilités associées.
  • Les durées de conservation : Chaque type de donnée doit être associé à une durée de conservation déterminée et justifiée. Ces durées doivent être cohérentes avec les obligations légales, les recommandations de la CNIL et les besoins opérationnels de l’entreprise. 
  • Les droits des salariés et la manière de les exercer : Les salariés doivent être informés de leurs droits concernant l’accès, la rectification, l’effacement, l’opposition, la portabilité et la limitation du traitement de leurs données ainsi que les recours possibles auprès de la CNIL. La note doit expliquer comment exercer ces droits et dans quels délais les réponses seront apportées.
  • Les transferts éventuels hors de l’Union européenne : Si les données sont hébergées ou traitées hors UE, l’employeur doit détailler les garanties utilisées, comme les clauses contractuelles types ou les accords d’adéquation. 

Conseils pratiques pour rédiger une note d’information RGPD

Pour assurer la conformité, plusieurs bonnes pratiques permettent d’améliorer la clarté, l’efficacité et la pertinence de la note d’information.

  • Rédaction dans un langage simple et compréhensible : Même si les obligations sont juridiques, la note s’adresse à des salariés qui ne sont pas spécialistes en droit. Un document trop technique peut être considéré comme contraire au RGPD, qui impose une information claire et accessible. L’objectif est de faciliter la compréhension des traitements plutôt que de les rendre plus compliqués.
  • Détails des destinataires : Les salariés doivent savoir qui manipule leurs données et pourquoi. Mentionner les services internes et les prestataires externes permet d’éviter les zones d’ombre et renforce la confiance au sein de l’entreprise. La transparence est l’un des principes fondamentaux du RGPD.
  • Mise à jour en cas de changement : Chaque évolution interne doit entraîner une mise à jour du document. L’introduction d’un nouvel outil, la modification d’un logiciel ou l’arrivée d’un nouveau prestataire doivent être intégrées rapidement dans la note en question. Le RGPD n’est pas un document figé mais un processus continu.
  • Faciliter l’accès à la note pour tous les salariés : L’information doit être mise à disposition de manière permanente, via l’intranet, le livret d’accueil ou un espace partagé. Un document difficile à trouver ou inaccessible serait contraire au RGPD, qui impose une disponibilité immédiate de ces informations clés.
  • Utiliser un générateur spécialisé pour éviter les oublis : Un outil comme Legally.io garantit que toutes les mentions obligatoires sont intégrées conformément au RGPD et aux exigences nationales . Cela permet de sécuriser juridiquement le document tout en simplifiant la création et la mise à jour.

Conseil d’expert : Teste ta note d’information auprès d’un petit groupe de salariés ou de représentants du personnel avant de la diffuser à tous. Demande-leur ce qui n’est pas clair, quelles notions semblent trop techniques et ajuste la formulation en conséquence. Si les salariés en question comprennent facilement le document, tu seras conforme à l’exigence de transparence du RGPD.

Points clés à retenir

L’obligation d’information RGPD de l’employeur est indispensable pour assurer la transparence des traitements réalisés sur les données des salariés. Une note bien structurée et complète permet de respecter la loi mais aussi de renforcer la confiance des collaborateurs. 

Cette conformité nécessite une mise à jour régulière, une bonne compréhension des traitements internes et une communication claire.  En adoptant une méthode rigoureuse ou en utilisant un générateur spécialisé, tu peux créer un document fiable et conforme.

Questions fréquemment posées

Quels sont les principes liés au traitement des données personnelles ?
En tant qu’employeur, suis-je obligé d’informer les salariés sur l’utilisation de leurs données personnelles ?
Dois-je obtenir le consentement des salariés pour traiter leurs données personnelles ?
Quelles sont les obligations en cas de traitement hors de l’Union européenne ?
Que signifie « donnée personnelle » ?
Combien de temps dois-je conserver les données collectées ?
Dois-je informer les candidats de la collecte des données lors d’un recrutement ?
Comment permettre aux salariés d’exercer leurs droits RGPD ?
Comment sécuriser les données personnelles collectées ?
Quelles sont les sanctions en cas de non-respect de l’obligation d’information ?
Obligation d'information RGPD de l'employeur
Créer un document
Fermer
Document Popup Title
Il s’agit d’un exemple de prévisualisation. Le document final sera adapté à vos besoins en fonction des informations que vous fournirez aux étapes suivantes.
Créer un document