← Article précédent
Télécharger en PDF
Article suivant →

Peut-on archiver les preuves RH sur un cloud étranger au Luxembourg ?

Réponse courte

Oui, il est possible d’archiver des documents et preuves RH sur un cloud étranger, mais uniquement si le prestataire respecte les exigences du RGPD, du règlement eIDAS et de la législation luxembourgeoise en matière de conservation des documents sociaux.
Un archivage sur un cloud situé en dehors de l’Union européenne est beaucoup plus risqué, car il nécessite des clauses contractuelles types (CCT), des garanties supplémentaires de sécurité et parfois une autorisation spécifique de la CNPD.

Définition

Un cloud étranger désigne tout service d’hébergement de données RH dont les serveurs sont situés hors du Luxembourg, que ce soit :

  • dans un autre État membre de l’UE,
  • ou dans un pays tiers (États-Unis, Asie, etc.).

L’archivage RH inclut les contrats de travail, bulletins de paie, registres du personnel, sanctions disciplinaires, relevés horaires et tout document pouvant servir de preuve en cas de litige.

Conditions d’exercice

  • Le prestataire de cloud doit offrir des garanties de sécurité, traçabilité et intégrité conformes à eIDAS.
  • Si le cloud est basé dans l’UE, le RGPD s’applique pleinement et les transferts de données sont autorisés sous conditions.
  • Si le cloud est situé hors UE :
    • il faut vérifier que le pays bénéficie d’une décision d’adéquation de la Commission européenne,
    • à défaut, utiliser des clauses contractuelles types (CCT) ou d’autres mécanismes de transfert prévus par le RGPD,
    • et documenter les mesures techniques mises en place (chiffrement, cloisonnement).

Modalités pratiques

  • Les employeurs doivent informer les salariés de l’archivage de leurs données RH à l’étranger.
  • En cas de litige, un document archivé sur un cloud étranger peut être recevable, mais il doit être démontré qu’il a été conservé de manière intègre et sécurisée.
  • L’ITM et la CNPD peuvent contrôler la conformité du prestataire choisi.

Exemple concret :
Une entreprise luxembourgeoise stocke ses bulletins de paie sur un cloud basé en Irlande (UE). Cela est licite si le prestataire est certifié et respecte eIDAS. En revanche, si les données sont transférées aux États-Unis sans garanties suffisantes, la CNPD peut sanctionner l’employeur.

Pratiques et recommandations

  • Privilégier un hébergement dans l’UE pour éviter les contraintes supplémentaires.
  • Vérifier les certifications du prestataire (ISO 27001, eIDAS, RGPD compliance).
  • Conserver une copie locale des documents les plus sensibles (contrats, sanctions).
  • Formaliser dans les contrats de service les obligations de sécurité, d’intégrité et de disponibilité des données.

Cadre juridique

  • RGPD (Règlement UE 2016/679) : transfert de données personnelles en dehors de l’UE.
  • Code du travail luxembourgeois : obligations de conservation des documents RH (contrats, paie, registres).
  • Règlement (UE) 910/2014 – eIDAS : exigences pour l’intégrité et l’authenticité des documents électroniques.
  • CNPD – lignes directrices (2023-2025) : archivage numérique et transferts internationaux de données.

Note

L’archivage RH sur un cloud étranger est autorisé mais risqué.
La conformité RGPD et eIDAS est indispensable, surtout en cas de stockage hors UE.
En pratique, le choix d’un hébergeur européen reste la solution la plus sûre pour les employeurs luxembourgeois.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 30.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...