← Article précédent
Télécharger en PDF
Article suivant →

Peut-on conserver des documents RH dans un pays hors UE ?

Réponse courte

La conservation de documents RH dans un pays hors Union européenne est possible, mais strictement encadrée. Elle n’est autorisée que si le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne ou, à défaut, si des garanties appropriées (clauses contractuelles types, règles d’entreprise contraignantes, etc.) sont mises en place. À défaut de ces garanties, le transfert ne peut avoir lieu que dans des cas exceptionnels, comme le consentement explicite du salarié ou la nécessité liée à l’exécution du contrat de travail.

Avant tout transfert, l’employeur doit réaliser une analyse d’impact si le risque est élevé, informer individuellement chaque salarié concerné, documenter toutes les démarches et garantir l’exercice des droits des salariés. Il est recommandé de privilégier la conservation des documents RH dans l’UE/EEE et de consulter le DPO en cas de doute.

Définition

La conservation de documents RH correspond à l’archivage, sous format papier ou électronique, de données relatives aux salariés, telles que contrats de travail, bulletins de salaire, évaluations, dossiers disciplinaires ou tout autre document contenant des données à caractère personnel. Le transfert de ces documents vers un pays hors Union européenne implique leur stockage ou leur traitement sur des serveurs situés dans un État tiers, c’est-à-dire un pays n’appartenant ni à l’Union européenne, ni à l’Espace économique européen.

Ce transfert constitue un traitement de données à caractère personnel au sens du Code du travail luxembourgeois et du Règlement (UE) 2016/679 (RGPD), soumis à des conditions strictes de licéité, de sécurité et de respect des droits des personnes concernées.

Conditions d’exercice

Au Luxembourg, le transfert de documents RH contenant des données à caractère personnel vers un pays hors UE/EEE est strictement encadré par la loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, qui complète le RGPD. Un tel transfert n’est autorisé que si le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne (article 70 de la loi précitée et article 45 RGPD).

En l’absence de décision d’adéquation, le transfert n’est possible que si des garanties appropriées sont mises en place, telles que :

  • Clauses contractuelles types adoptées par la Commission européenne (article 46 RGPD)
  • Règles d’entreprise contraignantes approuvées par la CNPD (article 47 RGPD)
  • Codes de conduite ou mécanismes de certification, assortis d’engagements contraignants et exécutoires

À défaut, le transfert ne peut être réalisé que dans des cas exceptionnels, limitativement énumérés à l’article 70 de la loi du 1er août 2018 et à l’article 49 RGPD, notamment :

  • Consentement explicite de la personne concernée, après information sur les risques
  • Nécessité à l’exécution du contrat de travail ou à la défense de droits en justice

L’égalité de traitement, la traçabilité des opérations et l’encadrement humain du traitement doivent être garantis à chaque étape.

Modalités pratiques

Avant tout transfert de documents RH vers un pays hors UE/EEE, l’employeur doit :

  • Réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés (article 35 RGPD, article L.261-1 et suivants du Code du travail)
  • Informer individuellement chaque salarié concerné de la nature des données transférées, du pays de destination, des garanties mises en place et des droits dont il dispose (articles 13 et 14 RGPD, article L.261-1 du Code du travail)
  • Documenter l’ensemble des démarches (contrats, analyses d’impact, consentements) et tenir ces documents à disposition de la CNPD en cas de contrôle (article 30 RGPD, article L.261-1 du Code du travail)

Si le transfert repose sur des clauses contractuelles types, celles-ci doivent être signées avant tout transfert effectif. En cas de recours au consentement, celui-ci doit être libre, spécifique, éclairé et univoque, et recueilli par écrit. L’employeur doit également s’assurer que le prestataire ou le sous-traitant situé hors UE respecte les obligations contractuelles en matière de sécurité et de confidentialité des données.

L’employeur doit garantir la possibilité pour le salarié d’exercer ses droits d’accès, de rectification, d’effacement et d’opposition, même après le transfert.

Pratiques et recommandations

Il est recommandé de privilégier la conservation des documents RH sur le territoire luxembourgeois ou dans un État membre de l’UE/EEE afin de limiter les risques juridiques et opérationnels. En cas de nécessité de transfert hors UE/EEE, il convient de sélectionner des prestataires disposant de certifications reconnues en matière de sécurité des données et de prévoir des audits réguliers.

L’employeur doit mettre en place des procédures internes pour la gestion des demandes d’accès, de rectification ou d’effacement des données transférées, et assurer la traçabilité de toutes les opérations de transfert. Il est déconseillé de recourir au consentement comme unique fondement du transfert, en raison de la relation de subordination inhérente au contrat de travail, qui peut affecter la validité du consentement.

La CNPD recommande de privilégier les garanties contractuelles ou organisationnelles robustes et de consulter le délégué à la protection des données (DPO) en cas de doute.

Cadre juridique

  • Article L.261-1 et suivants du Code du travail luxembourgeois (protection des données à caractère personnel dans la relation de travail)
  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, telle que modifiée
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment articles 13, 14, 30, 35, 45, 46, 47, 49
  • Décisions et recommandations de la Commission nationale pour la protection des données (CNPD)
  • Décisions d’adéquation de la Commission européenne (article 45 RGPD)
  • Jurisprudence des juridictions luxembourgeoises en matière de transfert de données à caractère personnel hors UE

Note

Un transfert non conforme de documents RH vers un pays hors UE/EEE expose l’employeur à des sanctions administratives de la CNPD (amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial) et à des actions en responsabilité civile de la part des salariés concernés. L’absence de traçabilité ou de documentation adéquate constitue une infraction distincte.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 25.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...