Un engagement de confidentialité du personnel RH est un document contractuel par lequel un membre de l'équipe des ressources humaines s'engage à ne pas divulguer les informations personnelles et sensibles traitées dans l'exercice de ses fonctions. En Belgique, ce document est indispensable dès qu'un collaborateur RH accède à des données de salaires, dossiers disciplinaires, évaluations de performance ou données de santé des travailleurs.
Legal basis: Loi du 3 juillet 1978 sur les contrats de travail (art. 17 §2 — obligation de discrétion); Règlement général sur la protection des données (RGPD — Règlement (UE) 2016/679, art. 5, 32, 83); Loi du 30 juillet 2018 relative à la protection des
engagement confidentialite rh — free, fillable template; download as PDF or Word.
Ce qu'est un engagement de confidentialité RH
Un engagement de confidentialité RH est un acte écrit, distinct du contrat de travail ou annexé à celui-ci, par lequel un salarié reconnaît la nature sensible des informations auxquelles son poste lui donne accès et s'oblige à en préserver le secret. En contexte belge, cet acte repose sur deux piliers légaux complémentaires.
Le premier pilier est la Loi du 3 juillet 1978 sur les contrats de travail. Son article 17, 3° impose à tout travailleur une obligation de discrétion concernant les affaires relevant de la vie privée des personnes et les faits dont la confidentialité s'impose par nature. Pour le personnel RH — qui consulte quotidiennement des données de rémunération, des motifs d'absence maladie, des dossiers d'évaluation ou des situations familiales — cette obligation légale est particulièrement aiguë.
Le second pilier est le Règlement général sur la protection des données (RGPD — Règlement (UE) 2016/679). Ses articles 5 et 32 exigent que les données à caractère personnel soient traitées selon des principes de confidentialité et d'intégrité, et que des mesures techniques et organisationnelles appropriées soient mises en place pour garantir leur sécurité. Un engagement écrit du personnel RH constitue précisément l'une de ces mesures organisationnelles. L'article 83 du RGPD prévoit des amendes administratives potentiellement considérables en cas de violation : la formalisation de l'obligation de discrétion au niveau individuel démontre la diligence de l'employeur.
La Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel transpose et complète le RGPD en droit belge. Elle précise les conditions d'application nationale et renforce les obligations des responsables de traitement.
Quand cet engagement est-il nécessaire
Plusieurs situations rendent cet engagement non seulement utile, mais pratiquement indispensable.
À l'embauche d'un nouveau collaborateur RH, le moment idéal pour formaliser l'obligation de discrétion est la signature du contrat de travail ou l'entrée en service. Attendre qu'un incident survienne expose l'employeur à un risque probatoire réel.
Lors d'un changement de poste interne, un salarié déplacé vers une fonction RH — même temporairement — accède à des catégories de données auxquelles il n'était pas habitué. Un avenant ou un engagement spécifique permet de matérialiser cette nouvelle responsabilité.
En cas de recours à un prestataire externe ou à un intérimaire chargé de missions RH, l'engagement de confidentialité s'impose également. Le RGPD, en ses articles 5 et 32, ne distingue pas selon le statut du traitement : toute personne agissant pour le compte du responsable de traitement doit être liée par une obligation contractuelle de confidentialité.
Enfin, lors de la mise en place d'un nouveau système d'information RH (SIRH) ou d'un outil de gestion des absences, le périmètre des données accessibles s'élargit souvent. Actualiser ou faire signer un nouvel engagement permet de couvrir les données nouvellement traitées.
Les clauses essentielles du document
Un engagement de confidentialité RH efficace comprend plusieurs éléments structurants.
L'identification des parties : le nom complet de l'employeur ou de l'entité responsable du traitement, le nom et la fonction du collaborateur, ainsi que la date de prise d'effet.
La définition des informations confidentielles : une liste non exhaustive mais suffisamment précise des catégories de données concernées — données salariales, informations relatives à l'état de santé, données disciplinaires, données relatives à la vie familiale, évaluations individuelles, données d'identification nationale. La précision ici évite les contestations ultérieures sur le périmètre de l'obligation.
L'étendue de l'obligation : le collaborateur s'engage à ne pas communiquer les informations protégées à des tiers non autorisés, à ne pas les utiliser à des fins personnelles et à respecter les procédures internes de sécurité. L'obligation vaut non seulement pendant l'exécution du contrat, mais aussi après la fin de la relation de travail — durée que les parties peuvent préciser selon la nature des informations.
Le renvoi aux politiques internes : charte informatique, politique de sécurité des données, procédures d'accès aux systèmes. L'engagement de confidentialité n'a pas vocation à tout reformuler, mais à lier formellement le collaborateur aux règles existantes.
Les conséquences d'un manquement : le document peut rappeler que la violation de l'obligation de discrétion peut constituer une faute grave au sens du droit du travail, sans préjudice des sanctions prévues par le RGPD et par la loi du 30 juillet 2018.
La signature datée : élément probatoire fondamental. Une signature manuscrite ou électronique qualifiée garantit l'opposabilité du document.
Comment remplir cet engagement correctement
Compléter cet engagement ne requiert pas de compétences juridiques avancées, mais quelques points méritent attention.
Commencez par identifier avec précision le périmètre de la fonction. Un chargé de recrutement n'accède pas aux mêmes données qu'un gestionnaire de paie : adapter la liste des informations confidentielles à la réalité du poste renforce la pertinence — et donc l'opposabilité — du document.
Veillez à ne pas formuler d'obligations manifestement disproportionnées. Une clause qui interdirait au collaborateur de mentionner l'existence même de son employeur serait excessive et risquerait d'être écartée par un tribunal du travail. L'obligation de discrétion visée par l'article 17, 3° de la loi du 3 juillet 1978 porte sur les informations dont la confidentialité s'impose par nature, pas sur des évidences publiques.
Prévoyez une procédure de mise à jour. Les systèmes évoluent, les fonctions changent, de nouvelles catégories de données sont traitées. Un engagement signé une fois pour toutes peut devenir obsolète : indiquer une date de révision ou prévoir qu'un avenant sera signé en cas d'évolution significative du périmètre est une bonne pratique.
Conservez les originaux signés dans le dossier personnel du collaborateur, de manière sécurisée. En cas de litige, c'est la pièce maîtresse. La tentation de ne conserver qu'une version numérique non signée est à éviter.
Pour disposer d'un modèle structuré et conforme au droit belge, vous pouvez utiliser l'Engagement de Confidentialité du Personnel RH Belgique disponible gratuitement, à adapter aux spécificités de votre organisation.
Les erreurs fréquentes à éviter
Plusieurs écueils reviennent régulièrement dans la pratique.
Confondre l'obligation légale et le document contractuel. L'article 17, 3° de la loi du 3 juillet 1978 crée bien une obligation légale de discrétion, mais cette obligation ne dispense pas d'un document écrit. En l'absence d'écrit, prouver qu'un collaborateur connaissait précisément le périmètre de son obligation devient difficile.
Rédiger un document générique non adapté au secteur RH. Un engagement passe-partout, rédigé pour l'ensemble du personnel sans distinction, ne couvre pas adéquatement les spécificités des données RH — notamment les données de santé et les données relatives aux évaluations, qui appellent un niveau de protection renforcé au regard des articles 5 et 32 du RGPD.
Négliger la période postérieure à la fin du contrat. L'obligation de discrétion ne s'éteint pas le dernier jour de travail. Un ancien gestionnaire de paie emporte dans sa mémoire des informations salariales sensibles. Prévoir explicitement une durée d'obligation post-contractuelle — sans pour autant fixer un délai arbitraire non justifié — est une précaution légitime.
Omettre de former le personnel. Un engagement signé sans explication reste une formalité creuse. Une brève session d'information sur les obligations découlant du RGPD et de la loi du 30 juillet 2018, sur les procédures internes et sur les risques concrets de violation transforme le document en outil de prévention réel.
Ne pas mettre à jour l'engagement lors d'un changement de fonction. Un collaborateur RH promu à un poste de direction accède à des données supplémentaires et plus sensibles. Un avenant signé à cette occasion évite une zone grise probatoire.
En respectant ces principes, l'engagement de confidentialité du personnel RH devient bien plus qu'une formalité administrative : il constitue un maillon concret de la politique de protection des données de l'entreprise, démontrable à l'Autorité de protection des données belge en cas de contrôle.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.