Comment transférer les données d'un salarié à un prestataire externe ?
Réponse courte
Le transfert de données personnelles d'un salarié à un prestataire externe (paie, SIRH, santé au travail, cabinet comptable) est autorisé sous conditions strictes. Il doit reposer sur une finalité précise et légitime, respecter le principe de minimisation et faire l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD.
Le salarié doit être informé de l'identité du prestataire, de la finalité du transfert, de la durée de conservation et de ses droits. Le prestataire a la qualité de sous-traitant au sens du RGPD et agit uniquement sur instructions documentées de l'employeur (responsable de traitement). Si le prestataire est établi hors de l'UE, des garanties supplémentaires (clauses contractuelles types, décision d'adéquation) sont obligatoires.
Définition
Le transfert à un sous-traitant est l'opération par laquelle l'employeur confie à un tiers le traitement de tout ou partie des données de ses salariés, pour son compte et selon ses instructions. Le sous-traitant n'utilise les données que pour l'exécution du contrat et doit respecter les obligations de sécurité et de confidentialité imposées par le RGPD.
Conditions d’exercice
Tout transfert de données à un prestataire RH (paie, SIRH, santé au travail) exige un contrat de sous-traitance article 28 RGPD, une information du salarié et, hors UE, des clauses contractuelles types ou une décision d'adéquation.
| Condition | Détail |
|---|---|
| Finalité légitime | Objectif clair lié à la gestion RH (paie, formation, santé) |
| Minimisation | Seules les données strictement nécessaires sont transférées |
| Contrat article 28 | Accord écrit précisant les obligations du sous-traitant |
| Information salarié | Notice précisant l'identité et la finalité |
| Garanties de sécurité | Chiffrement, mesures techniques et organisationnelles |
| Localisation | UE ou pays adéquat, sinon clauses contractuelles types |
| Transparence | Registre des traitements listant les sous-traitants |
Modalités pratiques
De la sélection du prestataire à la fin du contrat, sept étapes encadrent le transfert : contrat article 28, information, chiffrement, audit et restitution des données.
| Étape | Détail |
|---|---|
| Sélection | Vérification des garanties RGPD du prestataire avant contractualisation |
| Contrat de sous-traitance | Clauses article 28 RGPD obligatoires |
| Information salariés | Notice mise à jour et communication |
| Sécurité du transfert | Protocoles chiffrés (HTTPS, SFTP, VPN) |
| Accès limité | Authentification forte et traçabilité des connexions |
| Audit | Contrôle périodique de la conformité du prestataire |
| Fin du contrat | Restitution ou destruction certifiée des données |
Pratiques et recommandations
Établir une liste à jour des sous-traitants dans le registre des activités de traitement et la communiquer aux salariés dans la notice RGPD.
Sélectionner des prestataires offrant des garanties suffisantes de conformité RGPD (certifications, politique de sécurité, localisation UE).
Signer systématiquement un contrat de sous-traitance conforme à l'article 28 avant tout transfert effectif de données.
Auditer périodiquement les sous-traitants pour s'assurer du respect continu des engagements contractuels et des mesures de sécurité.
Prévoir contractuellement les conditions de restitution ou de destruction des données à la fin du contrat, avec attestation écrite.
Cadre juridique
Le cadre juridique repose sur le RGPD et la loi luxembourgeoise.
| Référence | Objet |
|---|---|
| Art. 28 RGPD | Obligations contractuelles avec les sous-traitants |
| Art. 29 RGPD | Traitement sur instructions du responsable |
| Art. 32 RGPD | Sécurité du traitement |
| Art. 44 à 49 RGPD | Transferts hors Union européenne |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Art. L.261-1 Code du travail | Protection dans la relation de travail |
Note
Le transfert non encadré à un sous-traitant constitue une violation du RGPD. L'employeur reste responsable des manquements de son sous-traitant et peut être sanctionné par la CNPD jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.