Le RGPD s'applique-t-il aux données d'un salarié mobile à l'étranger ?
Réponse courte
Le RGPD s'applique aux données d'un salarié mobile à l'étranger dès lors que le traitement est réalisé dans le cadre des activités d'un employeur établi au Luxembourg, conformément à l'article 3 du RGPD et à l'article 4 de la loi du 1er août 2018. Cette application reste valable quelle que soit la localisation du salarié (détachement, expatriation, télétravail à l'étranger), sa nationalité ou la durée de sa mobilité.
L'employeur luxembourgeois doit respecter l'ensemble des obligations du RGPD pour la collecte, le traitement, la conservation et le transfert des données du salarié mobile, y compris en cas de transfert vers un pays tiers nécessitant des garanties appropriées.
Définition
La mobilité internationale d'un salarié désigne toute situation dans laquelle un salarié, engagé par un employeur établi au Luxembourg, exerce temporairement ou durablement son activité professionnelle à l'étranger. Les données personnelles sont toutes informations se rapportant à une personne physique identifiée ou identifiable, collectées ou traitées dans le cadre de la relation de travail.
Conditions d’exercice
Le RGPD s'applique dès lors que l'employeur est établi au Luxembourg et traite des données personnelles dans le cadre de ses activités.
| Condition | Détail |
|---|---|
| Établissement au Luxembourg | Application dès que l'employeur est établi au Luxembourg (art. 3 RGPD) |
| Lieu d'exercice | Sans incidence : détachement, expatriation, télétravail à l'étranger |
| Nationalité du salarié | Sans incidence sur l'application du RGPD |
| Durée de la mobilité | Sans incidence |
| Égalité de traitement | Droits fondamentaux garantis (art. L.261-1 et s. Code du travail) |
Modalités pratiques
L'employeur doit garantir la conformité du traitement des données du salarié mobile.
| Obligation | Détail |
|---|---|
| Collecte, accès, conservation | Conformité aux articles 5, 6, 32 du RGPD |
| Transfert pays tiers | Garanties appropriées requises (clauses contractuelles types, BCR) |
| Analyse d'impact | Obligatoire si risque élevé pour les droits du salarié (art. 35 RGPD) |
| Traçabilité | Documentation des traitements et encadrement humain (art. 22, 30 RGPD) |
Pratiques et recommandations
Informer explicitement le salarié mobile sur les traitements de données réalisés pendant sa mobilité, en précisant les finalités, la durée de conservation, les destinataires et les éventuels transferts hors Luxembourg, est une obligation. L'employeur doit mettre à jour le registre des activités de traitement, en tenant compte de la loi applicable au contrat.
En cas de transfert vers un pays tiers, il convient de vérifier l'existence d'une décision d'adéquation ou de mettre en œuvre des garanties contractuelles appropriées. Toute violation de données doit être notifiée à la CNPD dans les délais légaux.
La désignation d'un délégué à la protection des données (DPO) est recommandée pour les entreprises traitant des volumes importants de données de salariés mobiles.
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement (UE) 2016/679 (RGPD) | Articles 3, 5, 6, 13, 14, 22, 30, 32, 33, 35, 37, 44-50 |
| Loi du 1er août 2018 | Organisation de la CNPD et régime de protection des données (art. 4, 38, 41 et s.) |
| Art. L.261-1 et s. Code du travail | Égalité de traitement, droits fondamentaux |
| Décisions et recommandations CNPD | Lignes directrices applicables |
Note
L'employeur doit anticiper les risques liés aux transferts internationaux de données et documenter précisément les mesures de conformité, sous peine de sanctions administratives par la CNPD.