← Article précédent
Télécharger en PDF
Article suivant →

Le traitement des données liées aux horaires de travail doit-il faire l'objet d'une déclaration à la CNPD ?

Réponse courte

Le traitement des données liées aux horaires de travail ne fait plus l'objet d'une obligation de déclaration préalable à la CNPD, sauf exceptions spécifiques prévues par la loi.

L'employeur doit cependant documenter ce traitement dans un registre des activités de traitement, accessible à la CNPD sur demande, et informer les salariés sur l'utilisation de leurs données.

Définition

Le traitement des données liées aux horaires de travail correspond à toute opération portant sur des informations permettant d'identifier directement ou indirectement un salarié à travers ses heures d'arrivée, de départ, de pauses, d'absences ou de présence sur le lieu de travail. Ces données constituent des données à caractère personnel dès lors qu'elles se rapportent à une personne physique identifiée ou identifiable, conformément à la loi du 1er août 2018 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

Les traitements incluent la collecte, l'enregistrement, la conservation, la modification, la consultation, la communication ou la suppression de ces données. Ils s'appliquent à tous les employeurs, quel que soit le secteur d'activité, dès lors que des salariés sont concernés.

Conditions d’exercice

L'employeur peut traiter les données relatives aux horaires de travail des salariés uniquement si ce traitement est nécessaire à la gestion du personnel, au respect des obligations légales en matière de temps de travail, ou à l'organisation interne de l'entreprise. Le traitement doit reposer sur une base légale, telle que l'exécution du contrat de travail ou le respect d'une obligation légale incombant à l'employeur.

Le traitement doit respecter les principes de licéité, de loyauté, de transparence, de proportionnalité, de limitation des finalités et de minimisation des données. L'employeur doit garantir l'égalité de traitement entre les salariés et assurer la traçabilité des opérations de traitement.

Modalités pratiques

Depuis l'entrée en vigueur de la loi du 1er août 2018 et l'abrogation de la procédure de déclaration préalable pour la majorité des traitements courants, le traitement des données liées aux horaires de travail ne fait plus l'objet d'une obligation de déclaration à la Commission nationale pour la protection des données (CNPD), sauf exceptions spécifiques prévues par la loi.

L'employeur doit toutefois documenter en interne le traitement dans un registre des activités de traitement, accessible à la CNPD sur demande. Ce registre doit préciser la finalité du traitement, les catégories de données, les destinataires, la durée de conservation, ainsi que les mesures de sécurité mises en place. L'information des salariés sur le traitement de leurs données est obligatoire, notamment via une note d'information ou une mention dans le règlement interne.

Pratiques et recommandations

Il est recommandé à l'employeur de limiter l'accès aux données horaires aux seules personnes habilitées et de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la confidentialité et l'intégrité des données. L'information des salariés doit être claire, accessible et compréhensible, précisant les droits d'accès, de rectification, d'opposition et d'effacement.

En cas de recours à des dispositifs de contrôle automatisé (badgeuses, logiciels de pointage), une analyse d'impact relative à la protection des données (AIPD) peut s'avérer nécessaire si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. L'encadrement humain du dispositif doit être assuré, et la consultation de la délégation du personnel est requise en cas d'introduction ou de modification d'un système de contrôle.

Cadre juridique

Le traitement des données liées aux horaires de travail est encadré par :

  • Loi du 1er août 2018 relative à la protection des personnes à l'égard du traitement des données à caractère personnel :
    • Article 6 (licéité du traitement)
    • Article 9 (conditions de licéité du traitement)
    • Article 30 (registre des activités de traitement)
    • Article 35 (analyse d'impact relative à la protection des données)
    • Article 13 (information des personnes concernées)
  • Code du travail luxembourgeois :
    • Article L.261-1 (égalité de traitement)
    • Article L.414-9 (consultation de la délégation du personnel sur les dispositifs de contrôle)
  • Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg

La CNPD conserve un pouvoir de contrôle et de sanction en cas de non-respect des obligations prévues par la législation nationale.

Note

L'absence d'obligation de déclaration préalable à la CNPD ne dispense pas l'employeur de ses responsabilités en matière de documentation, de sécurité, d'information des salariés et de consultation de la délégation du personnel. Un manquement à ces obligations peut entraîner des sanctions administratives et pénales.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 07.04.2026.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...