Les logiciels de type ATS sont-ils soumis à des obligations spécifiques au Luxembourg ?
Réponse courte
Les logiciels de type ATS sont soumis à des obligations spécifiques au Luxembourg, principalement en matière de protection des données à caractère personnel et de respect du Code du travail. Leur utilisation doit respecter le RGPD, la loi du 1er août 2018 et garantir l'égalité de traitement entre les candidats, la transparence des traitements, la sécurité des données et l'encadrement humain des décisions automatisées.
L'employeur doit notamment informer les candidats de leurs droits, limiter la conservation des données à la durée nécessaire, restreindre l'accès aux seules personnes habilitées, et évaluer la nécessité d'une analyse d'impact. Toute violation de données doit être notifiée à la CNPD, et des mesures organisationnelles et contractuelles doivent être mises en place pour assurer la conformité.
Définition
Un logiciel ATS (Applicant Tracking System) est un outil informatique permettant d'automatiser et de centraliser la gestion des candidatures dans le cadre du recrutement. Il traite des données à caractère personnel telles que les CV, lettres de motivation, correspondances et évaluations des candidats. Au Luxembourg, l'utilisation d'un ATS par un employeur ou un prestataire RH implique la gestion de données personnelles dans le respect du cadre légal applicable.
Conditions d’exercice
L'utilisation d'un ATS par un employeur luxembourgeois est soumise aux conditions suivantes.
| Critère | Détail |
|---|---|
| Base légale | Exécution de mesures précontractuelles (art. 6(1)(b) RGPD) ou obligation légale |
| Données sensibles | Collecte strictement encadrée, nécessité avérée et justification légale spécifique |
| Égalité de traitement | Garantie à toutes les étapes du processus (art. L.241-1) |
| Traçabilité | Documentation des opérations de traitement obligatoire |
| Encadrement humain | Décisions automatisées encadrées par une intervention humaine (art. L.261-1) |
Modalités pratiques
La mise en oeuvre d'un ATS implique les modalités suivantes.
| Aspect | Détail |
|---|---|
| Analyse d'impact | AIPD requise si risque élevé pour les droits et libertés (art. 35 RGPD) |
| Configuration | Confidentialité, intégrité et disponibilité des données, accès limités aux personnes habilitées |
| Information des candidats | Identité du responsable, finalités, durée de conservation, destinataires et droits (art. 13 RGPD, art. L.261-1) |
| Droits des candidats | Accès, rectification, effacement, limitation, opposition, portabilité |
| Conservation | Limitée à la durée nécessaire au recrutement, sauf consentement exprès pour prolongation |
Pratiques et recommandations
Il est recommandé de choisir des ATS offrant des garanties contractuelles solides en matière de sécurité et de confidentialité des données. Les contrats avec les éditeurs ou prestataires doivent comporter des clauses précises sur la sous-traitance, la localisation des serveurs et les modalités d'exercice des droits des candidats. Une politique interne de gestion des accès et des habilitations doit être formalisée et documentée.
Toute violation de données à caractère personnel doit être notifiée à la CNPD dans les meilleurs délais, et, le cas échéant, aux personnes concernées, conformément à l'article 33 du RGPD. Les responsables RH doivent organiser des formations régulières sur les obligations légales et les bonnes pratiques en matière de traitement des données. Il est également conseillé de documenter toutes les opérations de traitement et de veiller à l'encadrement humain des décisions automatisées, notamment lors du tri ou du rejet automatique de candidatures.
Cadre juridique
| Référence | Objet |
|---|---|
| Code du travail luxembourgeois | |
| Article L.261-1 et suivants | protection de la vie privée des salariés et traitement des données à caractère personnel |
| Article L.241-1 | égalité de traitement |
| Loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du traitement des données à caractère personnel | |
| Règlement | UE) 2016/679 (RGPD), notamment articles 6, 13, 33, 35 (applicables via la loi nationale |
| Recommandations et décisions de la CNPD |
Note
L'absence d'analyse d'impact, d'information transparente des candidats ou de mesures de sécurité adaptées expose l'employeur à des sanctions administratives et pénales, ainsi qu'à des actions en responsabilité civile. L'égalité de traitement et l'encadrement humain des décisions automatisées doivent être garantis à chaque étape du processus de recrutement.