Solutions cloud RH : sont-elles autorisées au Luxembourg ?
Réponse courte
Oui, l'utilisation de solutions cloud RH est autorisée au Luxembourg, à condition de respecter le RGPD, la loi du 1er août 2018 et les dispositions du Code du travail applicables aux traitements de données de salariés. Le prestataire cloud a généralement la qualité de sous-traitant et doit être encadré par un contrat conforme à l'article 28 du RGPD.
L'employeur doit notamment vérifier la localisation des données (UE ou pays adéquat), exiger des garanties de sécurité (chiffrement, certifications), informer les salariés et la délégation du personnel, et mener une analyse d'impact (AIPD) lorsque le traitement présente un risque élevé. En cas d'hébergement hors de l'UE, des garanties supplémentaires (clauses contractuelles types, BCR) sont obligatoires.
Définition
Une solution cloud RH est un logiciel de gestion des ressources humaines (paie, SIRH, gestion des temps, recrutement, formation) hébergé et exploité à distance par un prestataire, généralement selon un modèle SaaS (Software as a Service). Ce mode de fourniture implique que les données des salariés sont stockées sur les infrastructures du prestataire et non sur celles de l'employeur.
Conditions d’exercice
Le recours à un cloud RH (paie, SIRH) suppose un contrat article 28, un hébergement dans l'UE ou un pays adéquat, une AIPD si le risque est élevé, et une clause de réversibilité permettant de récupérer les données.
| Condition | Détail |
|---|---|
| Contrat article 28 | Accord de sous-traitance conforme au RGPD |
| Localisation des données | UE ou pays bénéficiant d'une décision d'adéquation |
| Transferts hors UE | Clauses contractuelles types, BCR ou autres garanties |
| Sécurité | Chiffrement, gestion des accès, certifications (ISO 27001) |
| Information | Notice RGPD mentionnant le prestataire cloud |
| Délégation du personnel | Avis préalable en cas de surveillance (L.261-1) |
| AIPD | Analyse d'impact si risque élevé (art. 35 RGPD) |
| Réversibilité | Possibilité de récupérer ou de supprimer les données |
Modalités pratiques
De l'analyse préalable au monitoring, huit étapes encadrent le projet : AIPD, due diligence, contrat article 28, consultation de la délégation et migration sécurisée.
| Étape | Détail |
|---|---|
| Analyse préalable | Cartographie des traitements, évaluation des risques |
| AIPD | Analyse d'impact si traitement à risque élevé |
| Sélection | Due diligence du prestataire (certifications, localisation) |
| Contrat | Rédaction et signature du contrat article 28 |
| Consultation délégation | Information ou avis préalable |
| Information salariés | Mise à jour de la notice RGPD |
| Migration | Transfert sécurisé des données existantes |
| Monitoring | Audits et suivi continu |
Pratiques et recommandations
Privilégier les prestataires cloud hébergeant les données dans l'Union européenne et disposant de certifications reconnues (ISO 27001, SOC 2, C5).
Exiger contractuellement la localisation des données et l'interdiction de tout transfert hors UE sans autorisation préalable écrite.
Prévoir une clause de réversibilité claire permettant la récupération des données dans un format standard en cas de changement de prestataire.
Mener une analyse d'impact (AIPD) systématique avant la migration, pour identifier et mitiger les risques pour les droits des salariés.
Consulter la délégation du personnel en amont de la migration et conserver la trace écrite de l'avis rendu, conformément à l'article L.261-1.
Cadre juridique
Le cadre juridique combine RGPD, droit luxembourgeois et recommandations sectorielles.
| Référence | Objet |
|---|---|
| Art. 28 RGPD | Sous-traitance et clauses obligatoires |
| Art. 32 RGPD | Sécurité du traitement |
| Art. 35 RGPD | Analyse d'impact relative à la protection des données |
| Art. 44 à 49 RGPD | Transferts hors Union européenne |
| Loi du 1er août 2018 | Régime général au Luxembourg |
| Art. L.261-1 Code du travail | Surveillance des salariés |
| Recommandations CNPD | Lignes directrices sur le cloud computing |
Note
Le cloud RH n'est pas interdit mais il est strictement encadré. L'arrêt Schrems II de la CJUE a invalidé le Privacy Shield, rendant les transferts vers les États-Unis plus complexes. Les clauses contractuelles types et les mesures supplémentaires sont désormais indispensables.