Comment traiter la demande de suppression des données d'un ancien salarié ?
Réponse courte
L'employeur ne doit pas systématiquement accéder à une demande d'effacement de données personnelles d'un ancien salarié. Le droit à l'effacement (article 17 du RGPD) est conditionné par plusieurs exceptions légales. Au Luxembourg, l'employeur doit refuser la suppression des données qu'il est tenu de conserver, notamment :
- 3 mois à 1 an : délai pour contester un licenciement (art. L.124-11 Code du travail) ;
- 10 ans : conservation légale des bulletins de paie et documents comptables (art. 16 Code de commerce).
La procédure consiste à accuser réception, analyser les catégories de données, refuser motivé pour celles soumises à obligation légale, et répondre dans le mois. Le salarié doit être informé de son droit de réclamation auprès de la CNPD.
Définition
Le droit à l'effacement permet à toute personne de demander la suppression de ses données lorsque celles-ci ne sont plus nécessaires. Cependant, dans le cadre professionnel luxembourgeois, ce droit est limité par :
- les obligations légales de conservation (comptables, sociales, fiscales) ;
- les délais de forclusion pour contester un licenciement ;
- la nécessité de défense en justice.
Questions fréquentes
Conditions d’exercice
Une demande valide doit être écrite, datée, signée, permettre d'identifier le demandeur et être adressée à l'employeur ou au DPO. L'employeur peut refuser l'effacement lorsque :
- Obligation légale : conservation imposée par le Code du commerce (10 ans) ou le Code de la sécurité sociale.
- Défense de droits : conservation du dossier pendant le délai de recours (3 mois à 1 an) et tant qu'un litige est possible.
- Prescription pénale prolongée : en cas de harcèlement ou discrimination.
L'effacement peut être accepté pour les données non essentielles : notes internes, correspondances obsolètes, fichiers de recrutement non liés à une embauche.
Modalités pratiques
- Accusé de réception dans les meilleurs délais, avec rappel du délai de réponse (1 mois).
- Vérification d'identité pour éviter les usurpations.
- Analyse des données : classer entre effacement possible, refusé, ou impossible.
- Réponse motivée précisant les bases juridiques du refus (art. 17§3 b et e RGPD) et les durées de conservation.
- Exécution et traçabilité : effacement dans les systèmes concernés et documentation de la décision.
- Notification aux sous-traitants pour les données qu'ils détiennent.
Pratiques et recommandations
- Établir une politique claire de conservation avec durées et bases légales.
- Mettre en place un archivage intermédiaire pour les données conservées à des fins de preuve.
- Former les équipes RH aux exceptions du RGPD et à la gestion des demandes.
- Refuser toute suppression tant qu'un litige est en cours ou prévisible.
- Consulter le DPO pour les cas complexes.
- Tenir un registre des demandes RGPD et des réponses fournies.
Cadre juridique
Sources européennes :
- RGPD (UE 2016/679) : art. 17 (droit à l'effacement), art. 12 §3 (délai), art. 19 (notification).
Sources luxembourgeoises :
- Loi du 1er août 2018 sur la CNPD.
- Code du travail : art. L.124-11 (délai de recours), art. L.261-1 (surveillance au travail).
- Code de commerce : art. 16 (10 ans de conservation).
- Code de la sécurité sociale : obligations déclaratives CCSS.
Autorité de contrôle : CNPD Luxembourg – 1, avenue du Rock'n'Roll, L-4361 Esch-sur-Alzette.
Jurisprudence et doctrine :
- CJUE, Google Spain, 13 mai 2014 ; C-507/17, 24 sept. 2019.
- Lignes directrices du Comité européen de la protection des données (CEPD).
Note
Le droit à l'effacement s'exerce après la fin du contrat de travail, sous réserve des obligations légales de conservation. Les mêmes règles s'appliquent aux travailleurs frontaliers exerçant au Luxembourg. Les sanctions RGPD peuvent atteindre 20 millions € ou 4 % du chiffre d'affaires mondial. En cas de doute, consulter la CNPD ou un juriste spécialisé avant toute suppression définitive.