Quelles sont les obligations de déclaration liées à la protection des données RH ?
Réponse courte
Les obligations de déclaration liées à la protection des données RH au Luxembourg imposent à l’employeur d’informer individuellement chaque salarié sur le traitement de ses données, de tenir un registre interne des activités de traitement accessible à la CNPD sur demande, et de réaliser une analyse d’impact préalable en cas de traitement à risque élevé. L’employeur doit également formaliser contractuellement les obligations de protection des données avec tout sous-traitant.
Il n’est plus nécessaire d’effectuer une déclaration préalable systématique auprès de la CNPD pour chaque traitement, mais toute violation de données présentant un risque pour les droits des salariés doit être notifiée à la CNPD dans un délai de 72 heures, et, dans certains cas, aux personnes concernées. L’égalité de traitement et l’encadrement humain des traitements automatisés doivent être garantis à chaque étape.
Définition
Les obligations de déclaration en matière de protection des données RH désignent l’ensemble des démarches imposées à l’employeur lors de la collecte, du traitement, de la conservation et de la transmission des données à caractère personnel des salariés. Ces obligations visent à garantir la transparence, la sécurité et la licéité des traitements réalisés dans le cadre de la gestion des ressources humaines.
Elles s’inscrivent dans le cadre du Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg, de la loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et du régime général sur la protection des données, ainsi que des articles L.261-1 à L.261-4 du Code du travail luxembourgeois.
Conditions d’exercice
Tout traitement de données à caractère personnel relatif à un salarié doit reposer sur une base légale prévue à l’article 6 du RGPD et à l’article L.261-1 du Code du travail, telle que l’exécution du contrat de travail, le respect d’une obligation légale ou la poursuite d’un intérêt légitime de l’employeur.
L’employeur doit informer individuellement chaque salarié, au moment de la collecte des données, de l’identité du responsable du traitement, des finalités poursuivies, des destinataires éventuels, de la durée de conservation, des droits dont il dispose et de la possibilité d’introduire une réclamation auprès de la CNPD, conformément à l’article 13 du RGPD et à l’article L.261-2 du Code du travail.
Lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en cas de surveillance systématique ou d’évaluation automatisée, une analyse d’impact relative à la protection des données (AIPD) doit être réalisée préalablement (article 35 RGPD, article L.261-3 du Code du travail).
Modalités pratiques
Depuis l’entrée en vigueur du RGPD et de la loi du 1er août 2018, l’employeur n’est plus tenu d’effectuer une déclaration préalable systématique auprès de la CNPD pour chaque traitement de données RH. Il doit cependant tenir un registre interne des activités de traitement, accessible à la CNPD sur demande, mentionnant notamment les catégories de données traitées, les finalités, les destinataires, les transferts éventuels hors de l’UE et les mesures de sécurité mises en œuvre (article 30 RGPD, article L.261-4 du Code du travail).
En cas de sous-traitance (par exemple, gestion de la paie), l’employeur doit formaliser contractuellement les obligations du sous-traitant en matière de protection des données, conformément à l’article 28 RGPD et à l’article L.261-4 du Code du travail. En cas de violation de données susceptible d’engendrer un risque pour les droits et libertés des salariés, l’employeur doit notifier la CNPD dans un délai maximal de 72 heures après en avoir eu connaissance (article 33 RGPD) et, dans certains cas, informer également les personnes concernées (article 34 RGPD).
L’égalité de traitement entre les salariés doit être assurée lors de tout traitement automatisé ou décision fondée sur un traitement automatisé, conformément à l’article L.261-1 du Code du travail. L’encadrement humain des traitements automatisés doit être garanti, notamment pour toute décision ayant un impact significatif sur le salarié.
Pratiques et recommandations
Il est recommandé de désigner un délégué à la protection des données (DPO) lorsque la structure RH traite des données sensibles à grande échelle ou réalise un suivi systématique des salariés, conformément à l’article 37 RGPD et à la recommandation de la CNPD.
Les procédures internes doivent prévoir une information claire et documentée des salariés sur leurs droits d’accès, de rectification, d’effacement, de limitation, d’opposition et de portabilité. Toute nouvelle finalité de traitement doit faire l’objet d’une information préalable et, le cas échéant, d’une mise à jour du registre des traitements.
Les responsables RH doivent veiller à la confidentialité des données, limiter l’accès aux seules personnes habilitées et organiser des formations régulières sur la protection des données. Il est conseillé de documenter toutes les démarches, d’assurer la traçabilité des actions et de consulter la CNPD ou un conseil juridique spécialisé en cas de doute sur la licéité d’un traitement ou sur l’obligation de notification.
Cadre juridique
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
- articles 6, 13, 28, 30, 33, 34, 35, 37
- Loi modifiée du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données
- Code du travail luxembourgeois
- Décisions et recommandations de la CNPD
Note
La tenue rigoureuse du registre des traitements, la traçabilité des actions et la réactivité en cas de violation de données sont essentielles pour limiter la responsabilité de l’employeur lors d’un contrôle de la CNPD. L’égalité de traitement et l’encadrement humain des traitements automatisés doivent toujours être garantis, conformément au Code du travail luxembourgeois.