Peut-on être pénalement poursuivi pour non-respect du RGPD dans la gestion RH ?
Réponse courte
Oui, un employeur ou un responsable RH peut être pénalement poursuivi au Luxembourg pour non-respect du RGPD dans la gestion des données personnelles des salariés, candidats ou anciens employés. La loi du 1er août 2018 prévoit des infractions pénales telles que le traitement illicite de données, l’absence de mesures de sécurité appropriées, la non-coopération avec la CNPD ou l’entrave à ses missions.
La responsabilité pénale peut concerner aussi bien la personne morale (l’employeur) que la personne physique (responsable du traitement, dirigeant, salarié impliqué), même en cas de simple négligence. Les sanctions peuvent aller jusqu’à 1 250 000 euros d’amende pour les personnes morales et jusqu’à 1 an d’emprisonnement pour les personnes physiques, en plus de sanctions administratives.
Définition
La responsabilité pénale en matière de protection des données personnelles désigne l’engagement de la responsabilité d’une personne physique ou morale devant les juridictions répressives pour des infractions prévues par la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et du régime général sur la protection des données (RGPD), dans le contexte luxembourgeois. En gestion RH, cela concerne la collecte, le traitement, la conservation et la communication de données à caractère personnel des salariés, candidats ou anciens employés.
Conditions d’exercice
La poursuite pénale pour non-respect du RGPD dans la gestion RH suppose la constatation d’une infraction prévue par la loi luxembourgeoise du 1er août 2018. Les infractions pénales incluent notamment : le traitement illicite de données à caractère personnel, l’absence de mesures de sécurité appropriées, la non-coopération avec la CNPD, ou l’entrave à l’exercice de ses missions. La responsabilité pénale peut être engagée à l’encontre de la personne morale (l’employeur) et/ou de la personne physique (responsable du traitement, dirigeant, salarié ayant commis l’infraction). La mauvaise foi ou l’intention frauduleuse n’est pas toujours requise ; la simple négligence peut suffire selon la nature de l’infraction.
Modalités pratiques
La CNPD est compétente pour constater les infractions et transmettre le dossier au Parquet si des éléments pénaux sont relevés. L’action publique peut être engagée par le ministère public, indépendamment d’une plainte de la victime. Les sanctions pénales prévues par la loi du 1er août 2018 incluent des amendes pouvant aller jusqu’à 1 250 000 euros pour les personnes morales et jusqu’à 1 an d’emprisonnement pour les personnes physiques, selon la gravité des faits. Les poursuites pénales peuvent être cumulées avec des sanctions administratives de la CNPD, telles que des amendes administratives, des mises en demeure ou des injonctions de cesser le traitement illicite.
Pratiques et recommandations
Il est impératif pour les responsables RH et les employeurs de mettre en œuvre des politiques internes strictes de conformité au RGPD, incluant la tenue d’un registre des traitements, la limitation de l’accès aux données, la formation régulière du personnel, et la désignation d’un délégué à la protection des données (DPO) lorsque cela est requis. Toute violation de données doit être notifiée à la CNPD dans les délais légaux. Il est recommandé de documenter l’ensemble des mesures de sécurité et des procédures internes afin de pouvoir démontrer la conformité en cas de contrôle ou de procédure pénale. La coopération avec la CNPD lors des contrôles est obligatoire et toute entrave expose à des poursuites pénales.
Cadre juridique
La base légale de la responsabilité pénale en matière de protection des données au Luxembourg réside dans la loi du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données, notamment ses articles 48 à 54. Le RGPD, tel qu’il est appliqué au Luxembourg, est complété par cette loi nationale qui précise les infractions et les sanctions pénales applicables. La jurisprudence luxembourgeoise confirme la possibilité de poursuites pénales en cas de manquement grave ou répété aux obligations de protection des données dans le cadre des relations de travail.
Note
La responsabilité pénale peut être engagée même en l’absence de préjudice pour la personne concernée ; il suffit que les faits constituent une infraction à la loi du 1er août 2018. Une vigilance constante et une documentation rigoureuse des pratiques RH sont essentielles pour limiter les risques.