Une holding peut-elle accéder aux données RH de ses filiales ?
Réponse courte
Pas librement. Le RGPD ne reconnaît pas la holding et la filiale comme une entité unique. Chaque société est un responsable de traitement autonome, et l'accès aux données RH d'une filiale par sa holding constitue une communication soumise aux principes du règlement.
L'accès n'est possible que si la holding peut invoquer une base légale valable (intérêt légitime, obligation légale, contrat). Le principe de minimisation impose de limiter l'accès aux données réellement nécessaires (ex. consolidation comptable, reporting global) et d'anonymiser ou pseudonymiser ce qui peut l'être. Les salariés des filiales doivent être informés du transfert.
Définition
Une holding est une société dont l'objet est principalement la détention de participations dans d'autres sociétés. Elle n'a pas en principe de salariés dans les filiales et ne dispose pas d'un titre juridique automatique pour accéder à leurs données RH.
Au regard du RGPD, l'accès de la holding aux données des filiales constitue un traitement à part entière, qui doit reposer sur l'une des bases légales de l'article 6 et respecter les principes de finalité, minimisation et transparence.
Conditions d’exercice
La holding doit justifier d'une base légale au sens de l'article 6 RGPD (intérêt légitime, obligation légale), d'une finalité limitée (reporting, audit), de la minimisation par agrégation, d'une notice salariés et d'un contrat intra-groupe écrit.
| Condition | Détail |
|---|---|
| Base légale | Intérêt légitime ou obligation légale (consolidation) |
| Finalité | Précise et limitée (reporting, audit, gouvernance) |
| Minimisation | Données agrégées ou pseudonymisées dès que possible |
| Information | Notice salariés mentionnant la holding comme destinataire |
| Contrat intra-groupe | Encadrement écrit entre holding et filiale |
| Sécurité | Accès restreint et journalisé |
Modalités pratiques
Une politique de groupe fixe les flux, les données sont agrégées pour le reporting financier, un contrat intra-groupe précise les finalités, la notice salariés mentionne la holding comme destinataire et chaque flux est inscrit au registre des traitements.
| Étape | Détail |
|---|---|
| Politique de groupe | Document encadrant les flux entre holding et filiales |
| Anonymisation | Données agrégées pour le reporting financier |
| Contrat | Accord intra-groupe précisant les finalités |
| Notice salariés | Mention de la holding parmi les destinataires |
| Registre | Inscription du flux dans chaque société |
| DPO commun | Coordination par un DPO de groupe le cas échéant |
Pratiques et recommandations
Privilégier les données agrégées ou anonymisées pour le reporting de la holding : la plupart des besoins de gouvernance ne nécessitent pas de données individuelles.
Formaliser par contrat intra-groupe les modalités d'accès : finalités, données concernées, durée, sécurité.
Limiter l'accès aux seules personnes habilitées au sein de la holding et journaliser les consultations.
Informer les salariés des filiales, via la notice RGPD, de la communication possible de leurs données à la société mère.
Consulter la délégation du personnel de chaque filiale lorsque le partage modifie les conditions de surveillance ou d'accès aux données, conformément à l'article L.261-1 du Code du travail.
Cadre juridique
L'accès intra-groupe est encadré par plusieurs textes.
| Référence | Objet |
|---|---|
| Art. 4 RGPD | Définition du responsable de traitement |
| Art. 6 RGPD | Bases légales (intérêt légitime, obligation légale) |
| Art. 26 RGPD | Responsables conjoints du traitement |
| Art. 13 RGPD | Information de la personne concernée |
| Art. L.261-1 Code du travail | Surveillance des salariés et protection des données |
| Loi du 1er août 2018 | Régime général au Luxembourg |
Note
L'appartenance à un groupe ne crée aucun droit automatique d'accès aux données des filiales. Chaque flux doit être justifié par une base légale précise et documenté pour répondre à un éventuel contrôle de la CNPD.