Transmettre des données RH à un avocat ou expert-comptable : quelles règles ?
Réponse courte
L'employeur peut transmettre des données RH à un avocat ou à un expert-comptable lorsque cela est nécessaire à la défense d'un droit, à l'établissement de la paie ou au respect d'une obligation légale. La base légale est généralement l'obligation légale ou l'intérêt légitime au sens de l'article 6 du RGPD.
La transmission doit être sécurisée, minimisée et encadrée par un contrat lorsque le prestataire agit comme sous-traitant au sens de l'article 28 du RGPD. L'avocat bénéficie du secret professionnel et n'est pas un sous-traitant : il agit en tant que responsable de traitement indépendant pour sa mission de conseil et de défense.
Définition
La transmission de données RH à un professionnel externe désigne l'envoi ciblé d'informations personnelles concernant un salarié à un tiers mandaté par l'employeur. Selon la nature du tiers, le cadre juridique diffère : l'expert-comptable ou la fiduciaire agissent généralement en sous-traitants avec un contrat article 28 RGPD, tandis que l'avocat agit en responsable de traitement indépendant protégé par le secret professionnel.
Conditions d’exercice
L'expert-comptable agit comme sous-traitant soumis à un contrat article 28 RGPD, tandis que l'avocat, couvert par le secret professionnel, intervient comme responsable de traitement indépendant.
| Condition | Détail |
|---|---|
| Base légale | Obligation légale ou intérêt légitime |
| Finalité précise | Défense, paie, fiscalité, conseil |
| Minimisation | Données limitées au besoin du prestataire |
| Sécurité | Transmission chiffrée |
| Contrat sous-traitance | Article 28 RGPD pour expert-comptable |
| Secret professionnel | Avocat non soumis au régime du sous-traitant |
| Information du salarié | Notice RGPD mentionnant les destinataires |
Modalités pratiques
Avant tout envoi, l'employeur qualifie le tiers (sous-traitant ou responsable indépendant), formalise un contrat article 28 ou une lettre de mission, identifie les données strictement nécessaires et utilise un canal chiffré.
| Étape | Détail |
|---|---|
| Qualification du tiers | Sous-traitant ou responsable indépendant |
| Contrat | Article 28 RGPD ou lettre de mission |
| Identification des données | Liste précise des informations transmises |
| Canal sécurisé | E-mail chiffré, plateforme, courrier recommandé |
| Journalisation | Traçabilité des envois |
| Retours | Réception des documents traités |
| Archivage | Preuves de transmission conservées |
Pratiques et recommandations
Distinguer clairement le régime juridique applicable selon le destinataire : contrat de sous-traitance pour l'expert-comptable ou la fiduciaire, lettre de mission pour l'avocat couvert par le secret professionnel.
Limiter le volume de données transmises à ce qui est strictement nécessaire à la mission du prestataire, conformément au principe de minimisation du RGPD.
Sécuriser chaque transmission via un canal chiffré (messagerie professionnelle avec chiffrement, plateforme dédiée) et éviter les pièces jointes non protégées.
Informer les salariés dans la notice RGPD de l'existence de ces transmissions et de leurs destinataires, pour satisfaire l'obligation de transparence de l'article 13 du RGPD.
Conserver la trace des transmissions (registre d'envois, accusés de réception) afin de démontrer la maîtrise du traitement en cas de contrôle de la CNPD.
Cadre juridique
Plusieurs textes encadrent la transmission à des tiers professionnels.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 5 RGPD | Principes de minimisation |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 13 RGPD | Information de la personne concernée |
| Art. 28 RGPD | Sous-traitance |
| Art. 32 RGPD | Sécurité du traitement |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
| Loi du 10 août 1991 sur la profession d'avocat | Secret professionnel de l'avocat |
| Loi du 10 juin 1999 | Profession d'expert-comptable |
Note
Un avocat qualifié à tort de sous-traitant expose l'employeur à une confusion contractuelle et à un risque de contestation. Les prestataires situés hors UE doivent bénéficier de garanties spécifiques au titre des articles 44 et suivants du RGPD. La traçabilité des envois est essentielle en cas de litige ultérieur.