← Article précédent
Télécharger en PDF
Article suivant →

Que doit prévoir une politique d’archivage RH conforme au RGPD ?

Réponse courte

Une politique d’archivage RH conforme au RGPD doit prévoir la limitation et la justification des durées de conservation des données personnelles, la traçabilité des accès et suppressions, l’information claire des salariés sur leurs droits, ainsi que l’encadrement humain des décisions automatisées. Elle doit également organiser l’inventaire des traitements, définir précisément les durées de conservation pour chaque type de donnée, sécuriser les archives, mettre en place une procédure de purge systématique et documenter toutes les opérations d’archivage et de suppression.

La politique doit être formalisée, régulièrement mise à jour, communiquée à l’ensemble des collaborateurs concernés, et accompagnée de formations pour les équipes RH. Des audits internes et, si nécessaire, des analyses d’impact doivent être prévus pour garantir la conformité continue et l’égalité de traitement entre les salariés.

Définition

La politique d’archivage RH désigne l’ensemble des règles internes encadrant la conservation, la gestion, la sécurisation et la suppression des données à caractère personnel traitées dans le cadre de la gestion des ressources humaines. Elle vise à garantir que les traitements de données opérés par l’employeur respectent les exigences du Règlement général sur la protection des données (RGPD) tel qu’appliqué au Luxembourg, ainsi que la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Cette politique s’inscrit dans le respect des principes fondamentaux du droit du travail luxembourgeois, notamment l’égalité de traitement, la loyauté des traitements et la protection des droits des salariés. Elle doit également assurer la traçabilité des opérations et l’encadrement humain des processus automatisés.

Conditions d’exercice

La politique d’archivage RH doit impérativement prévoir :

  • La limitation de la durée de conservation : Les données à caractère personnel ne peuvent être conservées que pour la durée strictement nécessaire à la finalité pour laquelle elles ont été collectées. Les durées doivent être déterminées en fonction des obligations légales luxembourgeoises, notamment celles du Code du travail (ex. : conservation des contrats de travail, bulletins de paie, dossiers disciplinaires).

  • La justification des durées de conservation : Chaque catégorie de données RH doit être assortie d’une justification précise de la durée de conservation, fondée sur une obligation légale, contractuelle ou l’intérêt légitime de l’employeur, conformément à l’article 6 du RGPD et à l’article L.261-1 du Code du travail.

  • La traçabilité des accès et des suppressions : La politique doit prévoir des mesures permettant de tracer les accès, modifications et suppressions de données RH, afin de garantir la transparence et la responsabilité de l’employeur.

  • L’information des salariés : Les salariés doivent être informés, de manière claire et accessible, des durées de conservation applicables à leurs données et de leurs droits en matière d’effacement, de rectification et d’opposition, conformément à l’article 13 du RGPD et à l’article L.261-1 du Code du travail.

  • L’encadrement humain : Toute décision automatisée relative à l’archivage ou à la suppression de données doit faire l’objet d’un contrôle humain effectif, conformément à l’article 22 du RGPD.

Modalités pratiques

La mise en œuvre d’une politique d’archivage RH conforme au RGPD implique :

  • L’inventaire des traitements : Recenser l’ensemble des traitements RH (recrutement, gestion administrative, paie, évaluation, disciplinaire, etc.) et catégoriser les données traitées, en tenant compte des obligations de documentation prévues à l’article 30 du RGPD.

  • La définition des durées de conservation : Établir un tableau de correspondance précisant, pour chaque type de document ou donnée RH, la durée de conservation applicable (ex. : 10 ans pour les bulletins de paie selon l’article L.103-1 du Code du travail, 5 ans pour les dossiers disciplinaires, 3 ans pour les candidatures non retenues).

  • L’organisation de l’archivage : Préciser les modalités d’archivage intermédiaire (données conservées avec accès restreint pour répondre à une obligation légale) et d’archivage définitif (suppression ou anonymisation irréversible), conformément à l’article 5 du RGPD.

  • La sécurisation des archives : Mettre en place des mesures techniques et organisationnelles adaptées (contrôle d’accès, chiffrement, journalisation) pour garantir la confidentialité, l’intégrité et la disponibilité des données archivées, conformément à l’article 32 du RGPD.

  • La procédure de purge : Définir un processus systématique de suppression ou d’anonymisation des données à l’issue de la durée de conservation, avec traçabilité des opérations, en application de l’article 17 du RGPD (droit à l’effacement).

  • La documentation des opérations : Conserver la preuve des opérations d’archivage, de suppression ou d’anonymisation, afin de pouvoir justifier la conformité en cas de contrôle.

Pratiques et recommandations

Il est recommandé de :

  • Formaliser la politique d’archivage dans un document interne validé par la direction et communiqué à l’ensemble des collaborateurs concernés, en veillant à l’accessibilité de l’information.

  • Mettre à jour régulièrement la politique en fonction de l’évolution de la législation luxembourgeoise, des recommandations de la Commission nationale pour la protection des données (CNPD) et de la jurisprudence nationale.

  • Former les équipes RH à la gestion des archives et à la protection des données personnelles, en intégrant des modules spécifiques sur la sécurité et la confidentialité.

  • Prévoir des audits internes réguliers pour vérifier la conformité des pratiques d’archivage et la bonne application des durées de conservation, conformément à l’obligation de responsabilité (article 24 du RGPD).

  • Documenter les analyses d’impact lorsque le traitement ou l’archivage présente un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD.

  • Assurer l’égalité de traitement entre les salariés dans l’application des règles d’archivage, conformément à l’article L.241-1 du Code du travail.

Cadre juridique

La politique d’archivage RH doit se conformer aux textes suivants :

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment articles 5, 6, 13, 17, 22, 24, 30, 32, 35.
  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
  • Code du travail luxembourgeois :
    • Article L.103-1 (conservation des documents sociaux)
    • Article L.261-1 (protection des données à caractère personnel)
    • Article L.241-1 (égalité de traitement)
  • Recommandations et lignes directrices de la CNPD, notamment en matière de durées de conservation et de sécurité des données RH.
  • Jurisprudence des juridictions luxembourgeoises en matière de protection des données personnelles dans le contexte professionnel.

Note

Veillez à ce que toute suppression ou anonymisation de données RH soit effectivement irréversible et documentée, afin de pouvoir justifier la conformité de vos pratiques en cas de contrôle de la CNPD ou de contentieux avec un salarié. L’absence de traçabilité ou de justification des durées de conservation peut entraîner des sanctions administratives et civiles.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 22.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...