← Article précédent
Télécharger en PDF
Article suivant →

Quelles sont les conditions de légalité pour la collecte de données RH ?

Réponse courte

La collecte de données RH est légale uniquement si elle poursuit une finalité déterminée, explicite et légitime, directement liée à la gestion du personnel ou à l’exécution du contrat de travail. Seules les données strictement nécessaires à cette finalité peuvent être collectées, dans le respect du principe de minimisation. La collecte de données sensibles est en principe interdite, sauf exceptions prévues par la loi ou le RGPD, notamment en cas d’obligation légale ou pour la sécurité sociale.

Le consentement du salarié n’est requis que si la collecte ne repose pas sur une obligation légale, contractuelle ou sur l’intérêt légitime de l’employeur. L’égalité de traitement, la non-discrimination, la transparence, la loyauté, la sécurité, la confidentialité et la traçabilité des traitements doivent être garanties. L’employeur doit informer la personne concernée sur la collecte, limiter l’accès aux données aux seules personnes habilitées, et documenter les traitements dans un registre interne.

Définition

La collecte de données RH correspond à l’ensemble des opérations visant à obtenir, enregistrer ou organiser des informations à caractère personnel relatives aux salariés, candidats à l’embauche ou anciens collaborateurs, dans le cadre de la gestion des ressources humaines.

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, incluant l’identité, les coordonnées, la situation familiale, les éléments relatifs au parcours professionnel, à la rémunération ou à la santé.

Les données sensibles, au sens de la législation luxembourgeoise, englobent notamment celles relatives à la santé, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, ainsi qu’aux données biométriques et génétiques.

Conditions d’exercice

La collecte de données RH n’est licite que si elle poursuit une finalité déterminée, explicite et légitime, directement liée à la gestion du personnel ou à l’exécution du contrat de travail, conformément à l’article 5 de la loi du 1er août 2018 et à l’article 6 du règlement (UE) 2016/679 (RGPD).

Le responsable du traitement doit respecter le principe de minimisation des données, en ne collectant que les informations strictement nécessaires à la finalité poursuivie. La collecte de données sensibles est en principe interdite, sauf exceptions prévues par l’article 9 du RGPD et l’article 6 de la loi du 1er août 2018, notamment lorsque la collecte est requise par le droit du travail ou la sécurité sociale.

Le consentement du salarié n’est requis que lorsque la collecte ne repose pas sur une obligation légale, contractuelle ou sur l’intérêt légitime de l’employeur, conformément à l’article L.261-1 du Code du travail et à l’article 6 du RGPD.

L’égalité de traitement et la non-discrimination doivent être garanties lors de la collecte, en application des articles L.241-1 et suivants du Code du travail. L’employeur doit également assurer la traçabilité des traitements et l’encadrement humain des processus automatisés, conformément à l’article L.261-1-1 du Code du travail.

Modalités pratiques

Avant toute collecte, l’employeur doit informer la personne concernée de manière claire et accessible sur l’identité du responsable du traitement, la finalité de la collecte, la base juridique, les destinataires des données, la durée de conservation, ainsi que sur les droits d’accès, de rectification, d’effacement, de limitation et d’opposition, conformément à l’article 13 du RGPD et à l’article 12 de la loi du 1er août 2018.

Cette information doit être délivrée par écrit, généralement via une notice d’information remise lors de l’embauche ou lors de la collecte effective. La collecte doit être réalisée de manière loyale et transparente, sans subterfuge ni pression.

Les données doivent être tenues à jour et conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la finalité du traitement, conformément à l’article 5 du RGPD.

L’accès aux données doit être limité aux seules personnes habilitées, dans le respect du principe de confidentialité et de traçabilité des accès, conformément à l’article 32 du RGPD. L’employeur doit également documenter l’ensemble des traitements dans un registre interne, conformément à l’article 30 du RGPD et à l’article 37 de la loi du 1er août 2018.

Pratiques et recommandations

Il est recommandé de procéder à une analyse d’impact relative à la protection des données (AIPD) lorsque la collecte porte sur des données sensibles ou présente un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD.

Les formulaires de collecte doivent être limités aux informations indispensables à la gestion du personnel. Toute collecte indirecte (par exemple, via des tiers ou des réseaux sociaux) doit faire l’objet d’une vigilance accrue et d’une information spécifique.

Les responsables RH doivent veiller à la sécurisation des supports de collecte, à la traçabilité des accès et à l’encadrement humain des traitements automatisés, conformément à l’article L.261-1-1 du Code du travail.

En cas de sous-traitance, un contrat écrit doit encadrer les obligations du sous-traitant en matière de confidentialité et de sécurité, conformément à l’article 28 du RGPD.

Il est conseillé de consulter régulièrement la Commission nationale pour la protection des données (CNPD) et de mettre à jour les procédures internes en fonction de l’évolution de la législation et des recommandations de l’autorité de contrôle.

Cadre juridique

  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel :
    • articles 5, 6, 12, 30, 37
  • Règlement (UE) 2016/679 (RGPD) :
    • articles 5, 6, 9, 13, 28, 30, 32, 35
  • Code du travail luxembourgeois :
    • articles L.241-1 et suivants (égalité de traitement et non-discrimination)
    • article L.261-1 (protection des données à caractère personnel)
    • article L.261-1-1 (encadrement humain des traitements automatisés)
  • Toute collecte doit respecter le principe de non-discrimination et d’égalité de traitement.
  • La Commission nationale pour la protection des données (CNPD) est l’autorité compétente pour contrôler la conformité des pratiques et sanctionner les manquements.

Note

Un manquement aux conditions de légalité de la collecte expose l’employeur à des sanctions administratives de la CNPD, à des actions en responsabilité civile de la part des salariés concernés, ainsi qu’à des sanctions pénales en cas de violation grave des obligations légales.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...