← Article précédent
Télécharger en PDF
Article suivant →

Dans quel délai l'employeur doit-il notifier une violation de données à caractère personnel au Luxembourg ?

Réponse courte

L'employeur doit notifier toute violation de données à caractère personnel à la Commission nationale pour la protection des données (CNPD) dans un délai maximal de 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, celles-ci doivent être informées sans délai indu.

Définition

Une violation de données à caractère personnel désigne toute atteinte à la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles, qu'elle soit accidentelle ou illicite. Cette définition couvre l'ensemble des incidents affectant les données des salariés, qu'elles soient sous format numérique ou papier.

L'employeur, en qualité de responsable du traitement, est tenu d'assurer la sécurité des données personnelles qu'il traite dans le cadre de la relation de travail.

Conditions d’exercice

La notification est obligatoire dès lors que la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Cette obligation s'applique :

  • À tout employeur, quelle que soit la taille de l'entreprise
  • Pour toute violation présentant un risque
  • Dans le respect du délai légal de 72 heures
  • Avec une documentation complète de l'incident

L'obligation de notification aux personnes concernées s'impose uniquement en cas de risque élevé pour leurs droits et libertés.

Modalités pratiques

La notification à la CNPD doit contenir :

  • La description de la nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif de données concernées
  • Les coordonnées du délégué à la protection des données (DPO) ou du point de contact
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées pour remédier à la violation

La notification aux personnes concernées doit inclure, en langage clair :

  • La nature de la violation
  • Les conséquences probables
  • Les mesures prises ou recommandées
  • Les coordonnées du contact pour plus d'informations

Pratiques et recommandations

Pour respecter ces obligations, il est recommandé de :

  • Mettre en place une procédure interne de gestion des incidents
  • Tenir un registre des violations
  • Former le personnel à la détection et au signalement des incidents
  • Désigner des responsables pour l'évaluation rapide des incidents
  • Préparer des modèles de notification
  • Documenter chaque étape du processus de gestion

Cadre juridique

  • Article L.261-2 du Code du travail luxembourgeois (protection des données dans la relation de travail)
  • Articles 33 et 34 du RGPD (notification des violations)
  • Articles 12 et 13 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données
  • Articles L.241-1 à L.241-11 du Code du travail (principes généraux de protection des salariés)
  • Lignes directrices WP250 du Comité européen de la protection des données

Note

Le non-respect des délais de notification peut entraîner des sanctions administratives importantes. En cas de doute sur la nécessité de notifier, il est préférable de consulter le DPO ou de contacter la CNPD pour avis.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...