Quels sont les droits d'un salarié concernant ses données personnelles ?
Réponse courte
Tout salarié dispose de six droits fondamentaux sur ses données personnelles, garantis par les articles 15 à 22 du RGPD et la loi du 1er août 2018 : le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la limitation du traitement, le droit d'opposition et le droit à la portabilité.
Ces droits s'exercent par simple demande écrite adressée à l'employeur ou au DPO, sans justification particulière. L'employeur dispose d'un délai d'un mois pour répondre, prolongeable de deux mois en cas de complexité. Le salarié dispose également du droit de ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques, et du droit d'introduire une réclamation auprès de la CNPD.
Définition
Les droits des personnes concernées forment le socle de la protection des données personnelles. Dans le contexte du travail, ils s'appliquent à l'ensemble des données collectées par l'employeur : dossier RH, paie, évaluations, santé, absences, données de connexion, images de vidéosurveillance. Ces droits sont imprescriptibles et peuvent être exercés à tout moment de la relation de travail et après son terme.
Conditions d’exercice
Les articles 15 à 22 du RGPD garantissent sept droits au salarié : accès, rectification, effacement, limitation, opposition, portabilité et refus d'une décision exclusivement automatisée, chacun assorti d'exceptions strictes (obligation légale, droits des tiers, secret des affaires).
| Droit | Portée et limites |
|---|---|
| Accès (art. 15) | Obtenir copie des données et informations sur le traitement |
| Rectification (art. 16) | Corriger les données inexactes ou incomplètes |
| Effacement (art. 17) | Supprimer les données, sauf obligation légale de conservation |
| Limitation (art. 18) | Geler temporairement le traitement |
| Opposition (art. 21) | S'opposer aux traitements fondés sur l'intérêt légitime |
| Portabilité (art. 20) | Recevoir les données dans un format structuré |
| Décision automatisée (art. 22) | Refuser une décision exclusivement automatisée |
Modalités pratiques
La procédure interne couvre sept étapes : réception écrite de la demande, vérification d'identité, accusé de réception, analyse, réponse motivée dans le délai d'un mois (prolongeable à trois, art. 12 RGPD), transmission des données et information sur le droit de réclamation à la CNPD.
| Étape | Détail |
|---|---|
| Demande écrite | Courrier, email ou formulaire adressé à l'employeur ou au DPO |
| Vérification d'identité | Contrôle raisonnable sans collecte excessive |
| Accusé de réception | Enregistrement de la demande dans un registre |
| Analyse | Examen des bases de conservation et des exceptions |
| Réponse motivée | Dans le délai d'un mois, prolongeable à trois en cas de complexité |
| Transmission | Remise des données ou motivation du refus |
| Recours | Information sur le droit de réclamation à la CNPD |
Pratiques et recommandations
Mettre en place une procédure interne formalisée pour traiter les demandes dans le délai légal, avec un point de contact unique (DPO ou RH).
Informer les salariés de leurs droits dans la notice RGPD remise à l'embauche, en précisant la procédure de demande et le délai de réponse.
Former les équipes RH à identifier rapidement les demandes des salariés et à les transmettre au service compétent sans délai.
Documenter chaque demande, la réponse apportée et les éventuels refus motivés, pour démontrer la conformité en cas de contrôle de la CNPD.
Tenir un registre des demandes d'exercice des droits pour assurer la traçabilité et démontrer le principe d'accountability.
Cadre juridique
Le cadre juridique des droits des personnes repose sur le RGPD et la loi luxembourgeoise.
| Référence | Objet |
|---|---|
| Art. 12 RGPD | Modalités d'exercice et délais de réponse |
| Art. 15 RGPD | Droit d'accès |
| Art. 16 RGPD | Droit de rectification |
| Art. 17 RGPD | Droit à l'effacement |
| Art. 18 RGPD | Droit à la limitation |
| Art. 20 RGPD | Droit à la portabilité |
| Art. 21 RGPD | Droit d'opposition |
| Art. 22 RGPD | Décision automatisée et profilage |
| Loi du 1er août 2018 | Régime général au Luxembourg |
Note
Le non-respect des droits des personnes expose l'employeur à une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La procédure interne doit être claire, documentée et respecter rigoureusement les délais.