← Article précédent
Télécharger en PDF
Article suivant →

Comment le RGPD s’applique-t-il lors des contrôles de travail illégal au Luxembourg ?

Réponse courte

Le RGPD s’applique lors des contrôles de travail illégal au Luxembourg en encadrant strictement la collecte, le traitement et la transmission des données personnelles des salariés ou des tiers. Les traitements doivent reposer sur une base légale, être strictement nécessaires et proportionnés à la finalité de lutte contre le travail illégal, et respecter les principes de minimisation, de sécurité et de traçabilité des données.

L’employeur doit limiter la communication aux seules données expressément demandées par les agents habilités, documenter chaque transmission dans le registre des activités de traitement, et informer les personnes concernées dans la mesure du possible. Toute opération doit être tracée, encadrée humainement, et faire l’objet d’une analyse d’impact en cas de risque élevé pour les droits et libertés des personnes.

Définition

Le Règlement général sur la protection des données (RGPD) s’applique à tout traitement de données à caractère personnel effectué dans le cadre des relations de travail au Luxembourg. Lors des contrôles visant à détecter le travail illégal, les employeurs et les autorités compétentes, telles que l’Inspection du travail et des mines (ITM) ou l’Administration des contributions directes, peuvent être amenés à collecter, traiter et transmettre des données personnelles relatives aux salariés, aux candidats à l’embauche ou à des tiers présents sur le lieu de travail.

Le RGPD encadre strictement ces opérations afin de garantir la protection des droits et libertés des personnes concernées. La notion de travail illégal recouvre notamment l’emploi de personnes sans autorisation de travail, le non-respect des obligations déclaratives ou l’absence de contrat écrit.

Conditions d’exercice

Le traitement de données à caractère personnel dans le cadre des contrôles de travail illégal doit reposer sur une base légale prévue par le RGPD, en particulier l’article 6, paragraphe 1, point c) (respect d’une obligation légale), et la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

L’obligation légale de coopérer avec les autorités de contrôle découle notamment de l’article L.572-1 du Code du travail, qui impose à l’employeur de fournir toutes informations et documents nécessaires à la vérification du respect de la législation sociale. Les traitements doivent être strictement nécessaires et proportionnés à la finalité de lutte contre le travail illégal, conformément au principe de minimisation des données (article 5 du RGPD).

L’égalité de traitement, la traçabilité des opérations et l’encadrement humain des traitements automatisés doivent être garantis à chaque étape.

Modalités pratiques

Lors d’un contrôle, l’employeur peut être amené à fournir aux agents de contrôle des informations telles que l’identité, la nationalité, le statut contractuel, les horaires de travail, les autorisations de séjour ou de travail, ainsi que les bulletins de salaire des personnes concernées.

Ces données doivent être transmises de manière sécurisée et uniquement aux agents habilités, conformément à l’article L.572-2 du Code du travail. L’accès à ces données doit être limité au strict nécessaire, et chaque opération de transmission doit être documentée dans le registre des activités de traitement, conformément à l’article 30 du RGPD.

Les personnes concernées doivent être informées, dans la mesure où cela ne compromet pas l’objectif du contrôle, de la nature des données traitées, de la finalité du traitement, des destinataires et de la durée de conservation, conformément aux articles 13 et 14 du RGPD.

Pratiques et recommandations

Il est recommandé de mettre à jour la documentation interne relative à la protection des données, notamment le registre des traitements, pour y intégrer explicitement les traitements liés aux contrôles de travail illégal.

Les procédures internes doivent prévoir la désignation d’un interlocuteur chargé de la coopération avec les autorités et la gestion des demandes d’accès, de rectification ou d’effacement des personnes concernées. Toute transmission de données doit être tracée et, en cas de risque élevé pour les droits et libertés des personnes, faire l’objet d’une analyse d’impact relative à la protection des données (article 35 du RGPD).

L’employeur doit s’assurer que les agents de contrôle justifient de leur habilitation et limiter la communication aux seules données expressément demandées. En cas de doute sur la légitimité d’une demande, il convient de solliciter un avis du délégué à la protection des données (DPO) ou de la Commission nationale pour la protection des données (CNPD).

Cadre juridique

  • RGPD (Règlement (UE) 2016/679), notamment articles 5, 6, 13, 14, 30, 32, 35
  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
  • Code du travail luxembourgeois :
    • Article L.572-1 (obligation de coopération avec les autorités de contrôle)
    • Article L.572-2 (pouvoirs des agents de contrôle)
    • Articles L.211-1 et suivants (égalité de traitement)
  • Lignes directrices et décisions de la CNPD
  • Jurisprudence luxembourgeoise sur la proportionnalité et la minimisation des données

Note

L’employeur doit veiller à ne jamais transmettre plus de données que ce qui est strictement requis par la demande des autorités, sous peine d’engager sa responsabilité administrative et pénale en cas de violation du RGPD. La traçabilité et l’encadrement humain des traitements sont essentiels pour garantir la conformité.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...