Quelles informations doivent être fournies au salarié lors de la collecte de ses données ?
Réponse courte
L'employeur doit remettre au salarié une notice d'information RGPD au moment de la collecte des données, conformément aux articles 13 et 14 du RGPD. Cette information doit être claire, concise, accessible et rédigée en langage simple, et peut être transmise par écrit, par courrier électronique ou via l'intranet.
La notice doit préciser l'identité du responsable de traitement, les finalités et les bases légales de chaque traitement, les destinataires des données, la durée de conservation, les droits du salarié (accès, rectification, effacement, limitation, opposition, portabilité), le droit de réclamation auprès de la CNPD, ainsi que l'existence éventuelle de transferts hors UE ou de décisions automatisées. Cette information doit être délivrée avant ou au moment de la collecte et mise à jour en cas de changement substantiel.
Définition
L'information des personnes concernées est une obligation fondamentale du responsable de traitement, qui découle du principe de transparence posé par l'article 5 du RGPD. Au Luxembourg, elle s'applique à tous les traitements de données RH, du recrutement à la rupture du contrat, et s'adresse tant aux candidats qu'aux salariés en poste.
Conditions d’exercice
L'information doit contenir l'ensemble des mentions obligatoires listées aux articles 13 et 14 du RGPD.
| Mention | Détail |
|---|---|
| Identité du responsable | Nom, coordonnées, représentant légal le cas échéant |
| Coordonnées du DPO | Si un délégué à la protection des données est désigné |
| Finalités | Objectifs précis de chaque traitement |
| Base légale | Contrat, obligation légale, intérêt légitime, consentement |
| Destinataires | Services internes, organismes sociaux, sous-traitants |
| Durée de conservation | Durée précise ou critères permettant de la déterminer |
| Droits | Accès, rectification, effacement, limitation, opposition, portabilité |
| Transferts hors UE | Garanties prévues (clauses types, BCR, adéquation) |
| Décisions automatisées | Logique, importance et conséquences pour le salarié |
Modalités pratiques
Les supports d'information varient selon le contexte : notice signée à l'embauche, politique accessible sur l'intranet RH, clause contractuelle de renvoi, affichage pour la vidéosurveillance, courrier électronique pour les mises à jour et sensibilisation régulière des équipes.
| Support | Contexte d'utilisation |
|---|---|
| Notice à l'embauche | Remise avec le contrat de travail et signée par le salarié |
| Intranet RH | Politique de protection des données accessible en permanence |
| Clause contractuelle | Renvoi à la notice complète dans le contrat |
| Affichage | Information sur la vidéosurveillance ou le contrôle des accès |
| Courrier électronique | Notification des mises à jour et nouveaux traitements |
| Formation | Sensibilisation régulière des équipes |
Pratiques et recommandations
Rédiger une notice unique et complète, structurée par finalité, pour faciliter la lecture et la mise à jour par les équipes RH.
Remettre la notice au moment de l'embauche, en même temps que le contrat de travail et le règlement intérieur, et conserver la preuve de la remise.
Actualiser la notice à chaque nouveau traitement ou à chaque modification substantielle, en informant les salariés du changement.
Adapter le niveau de détail selon le public : version synthétique pour l'affichage, version complète sur l'intranet ou dans le contrat.
Consulter la délégation du personnel avant la mise en place de nouveaux traitements, conformément à l'article L.261-1 du Code du travail.
Cadre juridique
Le cadre juridique de l'information repose sur le RGPD et la loi luxembourgeoise.
| Référence | Objet |
|---|---|
| Art. 12 RGPD | Transparence et modalités de l'information |
| Art. 13 RGPD | Informations à fournir lors de la collecte directe |
| Art. 14 RGPD | Informations à fournir en cas de collecte indirecte |
| Art. 5 RGPD | Principe de licéité, loyauté et transparence |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Art. L.261-1 Code du travail | Information de la délégation du personnel |
Note
L'absence d'information ou une information insuffisante constitue une violation du RGPD et peut entraîner une amende administrative de la CNPD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La preuve de l'information incombe à l'employeur (principe d'accountability).