← Article précédent
Télécharger en PDF
Article suivant →

Faut-il réaliser une analyse d’impact (PIA) pour les entretiens vidéo en RH au Luxembourg ?

Réponse courte

La réalisation d’une analyse d’impact (PIA) pour les entretiens vidéo en RH au Luxembourg est obligatoire si le traitement présente un risque élevé pour les droits et libertés des personnes concernées. Cela concerne notamment les cas où les entretiens sont enregistrés et conservés de façon systématique ou prolongée, lorsqu’il y a évaluation ou prise de décision automatisée, un volume important de personnes concernées, ou le traitement de données sensibles.

Un entretien vidéo ponctuel, non enregistré, sans traitement automatisé ni conservation excessive, n’impose pas systématiquement la réalisation d’un PIA. Toutefois, une évaluation préliminaire du risque doit toujours être documentée, et le DPO consulté si nécessaire. En cas de doute, il est recommandé de solliciter l’avis de la CNPD.

Définition

L’analyse d’impact relative à la protection des données (PIA) est une démarche préventive visant à évaluer les conséquences d’un traitement de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Elle est imposée par l’article 35 du Règlement (UE) 2016/679 (RGPD) et s’applique à tout traitement de données à caractère personnel, y compris dans le cadre des ressources humaines.

Dans le contexte des entretiens vidéo, le traitement porte sur l’image, la voix, et d’autres données personnelles des candidats ou salariés. Ce traitement est soumis à la législation luxembourgeoise sur la protection des données, notamment lorsqu’il implique l’enregistrement, la conservation ou l’analyse automatisée des entretiens.

Conditions d’exercice

La réalisation d’un PIA est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD et à l’article 9 de la loi du 1er août 2018. Selon la CNPD, un PIA doit être réalisé notamment si :

  • Les entretiens vidéo sont enregistrés et conservés de manière systématique ou prolongée.
  • Le traitement inclut une évaluation automatisée, un profilage ou une prise de décision automatisée.
  • Le volume de personnes concernées est important (recrutement massif, gestion RH à grande échelle).
  • Les données traitées sont sensibles ou concernent des catégories particulières (ex. : opinions, santé).

Un entretien vidéo ponctuel, non enregistré, sans traitement automatisé ni conservation excessive, n’impose pas systématiquement la réalisation d’un PIA. L’évaluation du risque doit être documentée dans tous les cas.

Modalités pratiques

Avant la mise en place d’entretiens vidéo, l’employeur doit procéder à une évaluation préliminaire du risque, documentée et conservée. Si le traitement présente un risque élevé, un PIA doit être réalisé avant le début du traitement. Le PIA doit comporter :

  • Une description détaillée du traitement (finalités, catégories de données, durée de conservation, destinataires).
  • Une analyse de la nécessité et de la proportionnalité du traitement au regard de sa finalité.
  • Une évaluation des risques pour les droits et libertés des personnes concernées.
  • Les mesures envisagées pour atténuer ces risques (sécurité, limitation d’accès, information des personnes concernées, encadrement humain).

Le Délégué à la protection des données (DPO), s’il existe, doit être consulté à chaque étape. En cas de doute sur la nécessité d’un PIA, il est recommandé de solliciter l’avis de la CNPD. L’ensemble de la démarche doit être traçable et accessible en cas de contrôle.

Pratiques et recommandations

Il est recommandé de limiter l’enregistrement des entretiens vidéo au strict nécessaire et de fixer une durée de conservation courte, justifiée et proportionnée. L’information des candidats ou salariés sur la finalité, la base légale, la durée de conservation, les destinataires et leurs droits doit être délivrée avant tout entretien, conformément à l’article 13 du RGPD.

L’accès aux enregistrements doit être restreint aux seules personnes habilitées et dûment formées. Il convient d’éviter tout traitement automatisé de profilage sans nécessité avérée et sans encadrement humain. La documentation des analyses de risques, des mesures de sécurité et des consultations du DPO doit être conservée pour démontrer la conformité en cas de contrôle de la CNPD.

Cadre juridique

  • Article L.261-1 et suivants du Code du travail luxembourgeois (protection des données à caractère personnel dans les relations de travail)
  • Article 35 du Règlement (UE) 2016/679 (RGPD)
  • Article 9 et suivants de la loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
  • Recommandations et listes de la CNPD relatives aux traitements nécessitant un PIA
  • Principes d’égalité de traitement et de transparence (articles L.241-1 et L.414-3 du Code du travail)

Note

En cas d’incertitude sur la nécessité d’un PIA, il est essentiel de documenter l’analyse de risque, de consulter le DPO et, si besoin, de solliciter l’avis de la CNPD. L’absence de documentation ou de consultation peut exposer l’employeur à des sanctions administratives.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 29.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...