Faut-il obtenir le consentement écrit d'un salarié pour traiter ses données personnelles ?
Réponse courte
Non, dans la très grande majorité des cas, le consentement du salarié n'est pas la base légale adaptée pour traiter ses données personnelles. En raison du lien de subordination, la CNPD et le Comité européen de la protection des données considèrent que le consentement donné par un salarié à son employeur n'est généralement pas libre au sens du RGPD.
Les traitements RH reposent principalement sur l'exécution du contrat de travail (art. 6.1.b), le respect d'obligations légales (art. 6.1.c) ou l'intérêt légitime de l'employeur (art. 6.1.f). Le consentement écrit n'est requis que pour des traitements facultatifs et non essentiels, comme la publication d'une photo sur le site de l'entreprise ou la participation à une enquête de satisfaction interne. Dans ces cas, le consentement doit pouvoir être retiré sans conséquence sur la relation de travail.
Définition
Le consentement au sens du RGPD (art. 4.11) est « toute manifestation de volonté, libre, spécifique, éclairée et univoque » par laquelle la personne concernée accepte un traitement de ses données. Dans le contexte du travail, la CNPD et le CEPD estiment que la liberté du consentement est présumée compromise par le lien de subordination, rendant cette base légale inadaptée à la plupart des traitements RH.
Conditions d’exercice
Le choix de la base légale dépend de la nature du traitement et ne repose qu'exceptionnellement sur le consentement.
| Base légale | Exemple de traitement RH |
|---|---|
| Exécution du contrat | Paie, déclarations sociales, évaluation, formation obligatoire |
| Obligation légale | Déclaration CCSS, retenues fiscales, registre du personnel |
| Intérêt légitime | Sécurité des locaux, contrôle d'accès, prévention de la fraude |
| Intérêts vitaux | Transmission de données médicales en urgence |
| Mission d'intérêt public | Traitements spécifiques dans le secteur public |
| Consentement | Photo sur site web, trombinoscope, enquêtes facultatives |
Modalités pratiques
Si un consentement est exceptionnellement nécessaire, il doit être écrit, libre, spécifique à une finalité, révocable à tout moment et prouvé par l'employeur (art. 7 RGPD).
| Exigence | Détail |
|---|---|
| Forme écrite | Document distinct du contrat de travail |
| Liberté | Possibilité de refuser sans conséquence sur la relation de travail |
| Spécificité | Un consentement par finalité distincte |
| Information préalable | Finalité, durée, destinataires, droits |
| Retrait facile | Procédure de retrait aussi simple que le consentement |
| Preuve | L'employeur doit pouvoir démontrer le consentement (art. 7 RGPD) |
Pratiques et recommandations
Identifier la base légale appropriée pour chaque traitement RH avant son lancement et la documenter dans le registre des activités.
Éviter de recourir au consentement comme base légale par défaut, car il peut être retiré à tout moment et fragilise la continuité du traitement.
Distinguer clairement les traitements obligatoires (exécution du contrat) des traitements facultatifs (trombinoscope) dans la notice d'information remise au salarié.
Recueillir le consentement dans un document séparé, avec une case à cocher non pré-cochée, et conserver la preuve.
Permettre le retrait du consentement à tout moment via une procédure simple, sans que cela entraîne de sanction pour le salarié.
Cadre juridique
Le cadre juridique repose principalement sur le RGPD et la loi luxembourgeoise.
| Référence | Objet |
|---|---|
| Art. 4.11 RGPD | Définition du consentement |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 7 RGPD | Conditions du consentement et charge de la preuve |
| Art. 88 RGPD | Règles spécifiques aux relations de travail |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Art. L.261-1 Code du travail | Surveillance et protection des salariés |
| Lignes directrices CEPD 05/2020 | Consentement au sens du RGPD |
Note
Un consentement recueilli alors qu'une autre base légale était applicable est irrégulier et expose l'employeur à des sanctions de la CNPD. Le choix de la base légale doit être documenté et figurer dans le registre des traitements.