Comment archiver les consentements RGPD des salariés ?

Réponse courte

L’archivage des consentements RGPD des salariés doit se faire de manière sécurisée, traçable et vérifiable, en conservant la preuve que chaque salarié a donné son accord explicite pour le traitement de ses données, uniquement lorsque ce consentement est requis par la législation luxembourgeoise. Il faut archiver l’identité du salarié, la date, la finalité, le texte accepté et la modalité de recueil, dans un système sécurisé (électronique ou papier numérisé), avec accès strictement limité aux personnes habilitées.

Il est recommandé de tenir un registre spécifique des consentements, distinct du dossier personnel, et de documenter chaque consentement (daté, signé ou validé électroniquement, avec copie du texte présenté). La durée de conservation ne doit pas excéder celle nécessaire à la finalité du traitement ou jusqu’au retrait du consentement, et toute opération d’archivage doit être documentée et traçable. Une procédure pour le retrait du consentement et un contrôle périodique de la validité des consentements archivés doivent également être prévus.

Définition

L’archivage des consentements RGPD des salariés désigne l’ensemble des opérations visant à conserver, de manière sécurisée et vérifiable, la preuve que chaque salarié a donné son accord explicite pour le traitement de ses données à caractère personnel, dans les cas où ce consentement est requis par la législation luxembourgeoise. Cette obligation concerne uniquement les traitements fondés sur le consentement, à l’exclusion des traitements nécessaires à l’exécution du contrat de travail ou au respect d’une obligation légale.

L’archivage implique la conservation de la trace du consentement, permettant d’attester que celui-ci a été donné de façon libre, spécifique, éclairée et univoque, conformément aux exigences du Code du travail luxembourgeois et de la loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Conditions d’exercice

L’employeur doit recueillir le consentement du salarié uniquement lorsque le traitement de données ne repose pas sur une autre base légale prévue par l’article 6 de la loi du 1er août 2018. Le consentement doit être donné librement, de manière spécifique, éclairée et univoque, conformément à l’article 7 de la même loi.

Le salarié doit être informé de la finalité du traitement, de la possibilité de retirer son consentement à tout moment, et des conséquences éventuelles de ce retrait. L’employeur doit pouvoir démontrer, à tout moment, que le salarié a effectivement consenti au traitement, conformément à l’article L.261-1 du Code du travail et à l’article 7 de la loi précitée.

L’égalité de traitement entre salariés doit être respectée lors de la collecte et de l’archivage des consentements, conformément à l’article L.241-1 du Code du travail. L’employeur doit également garantir la traçabilité et l’encadrement humain des processus d’archivage.

Modalités pratiques

L’archivage des consentements doit permettre de retracer l’identité du salarié, la date, la finalité du consentement, le contenu exact du texte accepté, ainsi que la modalité de recueil (électronique, papier, etc.). Les consentements recueillis sous forme électronique doivent être conservés dans un système sécurisé, garantissant l’intégrité, la confidentialité et la traçabilité des données, conformément à l’article 12 de la loi du 1er août 2018.

Pour les consentements papier, une numérisation accompagnée d’un classement sécurisé est recommandée afin d’assurer la conservation et la disponibilité des preuves. L’accès aux archives doit être strictement limité aux personnes habilitées, conformément à la politique interne de confidentialité et à l’article L.261-1 du Code du travail.

La durée de conservation ne doit pas excéder celle nécessaire à la finalité du traitement ou jusqu’au retrait du consentement par le salarié, conformément à l’article 8 de la loi du 1er août 2018. Toute opération d’archivage doit être documentée et traçable.

Pratiques et recommandations

Il est recommandé d’intégrer un registre spécifique des consentements, distinct du dossier personnel du salarié, afin de faciliter la gestion et l’auditabilité des preuves. Chaque consentement doit être daté, signé ou validé électroniquement, et accompagné d’une copie du texte présenté au salarié.

Une procédure documentée pour le retrait du consentement doit être prévue, incluant l’archivage de la demande de retrait et la suppression des traitements concernés. Un contrôle périodique de la validité et de la pertinence des consentements archivés doit être mis en place.

En cas de contrôle de la Commission nationale pour la protection des données (CNPD), l’employeur doit pouvoir fournir sans délai la preuve du consentement. Il est également conseillé de sensibiliser régulièrement les salariés à leurs droits en matière de protection des données.

Cadre juridique

Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel :
- Article 6 (licéité du traitement)
- Article 7 (conditions du consentement)
- Article 8 (durée de conservation)
- Article 12 (sécurité du traitement)
- Article 48 (sanctions administratives)
Code du travail luxembourgeois :
- Article L.261-1 (protection des données à caractère personnel)
- Article L.241-1 (égalité de traitement)
Recommandations de la CNPD, notamment la délibération n° 2019/001 du 10 janvier 2019
Jurisprudence administrative luxembourgeoise en matière de protection des données

Note

Actualisez régulièrement les modèles de consentement et informez les salariés de leur droit de retrait. Assurez-vous que toute opération d’archivage soit traçable et encadrée par une personne référente, afin de limiter les risques de non-conformité lors d’un contrôle de la CNPD.