L'entreprise doit-elle faire signer une clause de confidentialité sur les données personnelles ?

Avec l’entrée en vigueur du RGPD, les employeurs doivent-ils faire signer une clause de confidentialité à leurs salariés qui manient des données personnelles ?

Selon les textes, l’employeur en tant que responsable de traitement est astreint à une obligation de sécurité des données. Il doit prendre les mesures nécessaires pour garantir la confidentialité des données qu’il traite – celles de ses clients ou celles de ses salariés. Cependant, ni la loi ni le règlement n’obligent les employeurs à faire signer à leurs salariés une clause de confidentialité.

La Cnil préconise tout de même de faire signer de tels engagements de confidentialité lorsque les salariés sont amenés à traiter des données personnelles. Il n’y a aucune obligation. Autrement dit si l’entreprise ne prévoit pas ces engagements, on ne pourra pas le lui reprocher.

Si une entreprise souhaite faire signer une clause de confidentialité à un salarié, ce dernier peut-il refuser ?

A l’heure actuelle, si le salarié refuse la signature, il est difficile de le sanctionner. La Cour de cassation a indiqué en 1994 que le salarié tenu au secret professionnel par ses fonctions n’a pas d’obligation de signer un serment de confidentialité lorsque l’employeur l’exige. Les juges ajoutent même qu’une telle clause présente « un caractère superfétatoire, vexatoire et désobligeant ». A priori, la même solution s’applique si l’employeur souhaite obliger le salarié à signer une clause de confidentialité.

Peut-on tout de même sanctionner un salarié qui divulgue des données personnelles ?

Il existe une obligation générale de discrétion et de loyauté inhérente au contrat de travail. Le salarié ne doit pas divulguer à des tiers – ni même à d’autres salariés de l’entreprise – les informations confidentielles dont il a connaissance dans l’exercice de ses fonctions. Cette obligation est directement induite par le contrat de travail, même en l’absence d’une clause spécifique. Il est donc possible de sanctionner un salarié qui divulgue des données personnelles.

L’employeur peut toutefois montrer davantage de précautions, et prévoir une charte dédiée à la protection des données, qu’il peut annexer au règlement intérieur de l’entreprise. Cette clause peut indiquer par exemple que les données personnelles sont des informations confidentielles qui ne doivent pas être communiquées à personnes non autorisées, sous peine de sanction. Le Conseil d’Etat a déjà admis que de telles clauses étaient licites car elles ont pour objet « d’informer les salariés que la communication desdits documents à des tiers serait constitutive d’une faute disciplinaire ».

Laurie Mahé Desportes

ActuEL RH