Partage des données RH entre sociétés d'un même groupe : quelles règles RGPD ?
Réponse courte
Pas automatiquement. Le RGPD ne reconnaît pas la notion de groupe comme une entité unique : chaque société est un responsable de traitement autonome et chaque transfert de données entre filiales constitue une communication soumise aux principes généraux du règlement.
Le partage est possible mais doit reposer sur une base légale distincte (contrat, intérêt légitime, obligation légale) et respecter le principe de minimisation. La société émettrice doit avoir informé ses salariés des destinataires intra-groupe. Pour des transferts récurrents, des règles d'entreprise contraignantes (BCR) ou un cadre contractuel précis sont recommandés.
Définition
Un groupe d'entreprises est un ensemble de sociétés liées par des participations capitalistiques ou un contrôle commun. Du point de vue du RGPD, chacune conserve sa personnalité juridique propre et reste responsable de traitement pour les données qu'elle collecte, indépendamment de son appartenance au groupe.
Les règles d'entreprise contraignantes (BCR) prévues à l'article 47 du RGPD constituent un outil spécifique permettant d'encadrer les transferts intra-groupe internationaux, mais elles ne dispensent pas du respect des autres obligations.
Conditions d’exercice
Chaque société restant un responsable autonome, le partage intra-groupe exige une base légale propre (contrat, intérêt légitime, obligation légale au sens de l'art. 6 RGPD), une finalité précise, la minimisation des données, l'information des salariés et un contrat écrit entre sociétés émettrice et réceptrice.
| Condition | Détail |
|---|---|
| Base légale | Contrat, intérêt légitime ou obligation légale |
| Finalité | Précise et limitée pour chaque flux |
| Minimisation | Données strictement nécessaires uniquement |
| Information | Notice salariés mentionnant les destinataires intra-groupe |
| Contrat | Encadrement écrit entre sociétés émettrice et réceptrice |
| Sécurité | Mesures techniques et organisationnelles partagées |
Modalités pratiques
Chaque flux intra-groupe est cartographié, encadré par un contrat de partage précisant les rôles (art. 26 ou 28 RGPD), complété par des BCR (art. 47) pour les transferts internationaux, et inscrit au registre des traitements de chaque société.
| Étape | Détail |
|---|---|
| Cartographie | Recensement des flux entre sociétés |
| Contrat de partage | Accord intra-groupe précisant les rôles |
| BCR | Pour les transferts internationaux récurrents (art. 47) |
| Notice salariés | Information préalable sur les destinataires |
| Registre | Inscription des flux dans le registre de chaque société |
| DPO commun | Possibilité de désigner un DPO unique pour le groupe |
Pratiques et recommandations
Formaliser chaque flux intra-groupe par un contrat précisant la finalité, les données concernées, les responsabilités et la durée.
Limiter les transferts à ce qui est strictement nécessaire à la coordination ou à la gestion centralisée (paie, mobilité, formation).
Informer les salariés dès l'embauche, via la notice RGPD, des destinataires intra-groupe et de la finalité du partage.
Envisager des règles d'entreprise contraignantes (BCR) approuvées par la CNPD pour les groupes internationaux échangeant régulièrement des données hors UE.
Désigner un délégué à la protection des données (DPO) commun au groupe pour assurer la cohérence de la politique de conformité.
Cadre juridique
Le partage intra-groupe est encadré par plusieurs articles du RGPD.
| Référence | Objet |
|---|---|
| Art. 4 RGPD | Définitions du responsable de traitement |
| Art. 6 RGPD | Bases légales du traitement |
| Art. 26 RGPD | Responsables conjoints du traitement |
| Art. 28 RGPD | Sous-traitance |
| Art. 47 RGPD | Règles d'entreprise contraignantes (BCR) |
| Loi du 1er août 2018 | Régime général au Luxembourg |
Note
Le partage de données entre sociétés d'un groupe n'est pas implicite : il doit toujours être justifié par une finalité précise et encadré contractuellement. Un partage non encadré peut être sanctionné par la CNPD au titre de la violation du principe de loyauté.