Transfert des données d'un frontalier vers la France ou la Belgique : quelles règles ?
Réponse courte
Le transfert des données d'un salarié frontalier vers un prestataire situé en France ou en Belgique est libre au titre du RGPD. Ces deux pays étant membres de l'Union européenne, les flux de données ne constituent pas un transfert hors UE et ne sont soumis à aucune restriction au titre du chapitre V du RGPD. Aucune formalité particulière n'est exigée pour le transfert lui-même.
L'opération reste néanmoins un traitement soumis aux principes généraux : base légale, finalité, minimisation, sécurité. Si le destinataire est un sous-traitant (ex. logiciel de paie hébergé en France), un contrat conforme à l'article 28 du RGPD doit être conclu. La CNPD reste l'autorité compétente pour l'employeur luxembourgeois, quel que soit le pays du destinataire au sein de l'UE.
Définition
Le transfert intra-UE désigne la communication de données personnelles entre responsables de traitement ou sous-traitants situés dans deux États membres de l'Union européenne. Le RGPD garantit la libre circulation des données personnelles au sein de l'UE (art. 1.3 RGPD), ce qui exclut tout obstacle administratif au flux entre Luxembourg, France et Belgique.
Seuls les transferts vers des pays tiers (hors UE et EEE) requièrent des garanties spécifiques (décision d'adéquation, clauses contractuelles types, BCR).
Conditions d’exercice
L'article 1.3 du RGPD garantit la libre circulation intra-UE sans formalité de transfert, mais impose une base légale (art. 6), une finalité limitée, un contrat de sous-traitance conforme à l'article 28 pour les prestataires, des mesures de sécurité adaptées et l'information des destinataires dans la notice.
| Condition | Détail |
|---|---|
| Libre circulation | Pas de formalités spécifiques au transfert |
| Base légale | Nécessaire pour le traitement (art. 6 RGPD) |
| Finalité | Limitée à l'objet de la prestation |
| Contrat de sous-traitance | Obligatoire si destinataire sous-traitant (art. 28 RGPD) |
| Sécurité | Mesures techniques et organisationnelles adaptées |
| Information | Notice mentionnant les destinataires |
Modalités pratiques
Les flux vers la France et la Belgique sont cartographiés, encadrés par un contrat conforme à l'article 28 RGPD si le destinataire est sous-traitant, sécurisés par chiffrement, mentionnés dans la notice salariés et inscrits au registre des traitements (art. 30).
| Étape | Détail |
|---|---|
| Cartographie | Identification des flux vers chaque destinataire |
| Contrat | Article 28 RGPD si sous-traitant (paie, SIRH) |
| Sécurité | Chiffrement des transferts et stockages |
| Information | Mention des destinataires dans la notice salariés |
| Registre | Inscription du flux dans le registre des traitements |
| Audit | Vérification périodique du sous-traitant |
Pratiques et recommandations
Conclure un contrat conforme à l'article 28 du RGPD avec tout prestataire (paie, gestion RH, logiciel SIRH) traitant les données pour le compte de l'entreprise luxembourgeoise.
Vérifier les mesures de sécurité du sous-traitant : chiffrement, hébergement en UE, certification ISO 27001 le cas échéant.
Mentionner les destinataires dans la notice d'information remise aux salariés, conformément à l'article 13 du RGPD.
Cartographier les flux vers la France et la Belgique dans le registre des activités de traitement (art. 30 RGPD).
Auditer régulièrement les prestataires pour s'assurer du maintien des garanties contractuelles et techniques.
Cadre juridique
Le cadre juridique repose sur les textes européens et luxembourgeois.
| Référence | Objet |
|---|---|
| Art. 1.3 RGPD | Libre circulation des données personnelles dans l'UE |
| Art. 28 RGPD | Obligations contractuelles du sous-traitant |
| Art. 13 RGPD | Information de la personne concernée |
| Art. 30 RGPD | Registre des activités de traitement |
| Chapitre V RGPD | Transferts vers pays tiers (non applicable UE) |
| Loi du 1er août 2018 | Régime général au Luxembourg |
Note
Si le prestataire stocke ou traite les données depuis un pays tiers (par exemple un sous-traitant français hébergeant chez un fournisseur cloud américain), les règles du chapitre V du RGPD redeviennent applicables. Une vigilance particulière s'impose alors.