← Article précédent
Télécharger en PDF
Article suivant →

Combien de temps une entreprise peut-elle conserver les données liées à un signalement ?

Réponse courte

Une entreprise peut conserver les données liées à un signalement uniquement pendant la durée strictement nécessaire à la vérification des faits, à la conduite d’investigations internes et à la mise en œuvre d’éventuelles mesures correctives ou disciplinaires.

Si le signalement est manifestement infondé ou n’a donné lieu à aucune suite, les données doivent être supprimées sans délai, au plus tard deux mois après la clôture de la procédure. Si le signalement donne lieu à une procédure disciplinaire, judiciaire ou administrative, les données peuvent être conservées jusqu’à l’issue définitive de la procédure, sous réserve des délais de prescription applicables. Les données nécessaires à la traçabilité du dispositif peuvent être conservées jusqu’à cinq ans après la clôture du dossier, sauf si une procédure contentieuse est en cours.

Définition

Les données liées à un signalement correspondent à l’ensemble des informations collectées et traitées dans le cadre d’un dispositif d’alerte professionnelle. Ce dispositif permet à un salarié ou à un tiers de signaler des faits susceptibles de constituer une violation grave d’une loi, d’un règlement ou d’un code de conduite interne.

Ces données incluent notamment l’identité de l’auteur du signalement, des personnes visées, les faits rapportés, ainsi que tous les éléments recueillis lors de l’instruction du signalement. Elles relèvent de la catégorie des données à caractère personnel au sens du droit luxembourgeois.

Conditions d’exercice

La conservation des données issues d’un signalement est strictement encadrée par la loi du 16 mai 2023 relative à la protection des lanceurs d’alerte et par la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

L’entreprise doit limiter la durée de conservation à ce qui est strictement nécessaire pour atteindre les finalités du traitement, à savoir la vérification des faits signalés, la conduite d’investigations internes et la mise en œuvre d’éventuelles mesures correctives ou disciplinaires. Toute conservation excédant ce cadre est interdite.

L’égalité de traitement, la confidentialité, la traçabilité des accès et l’encadrement humain du dispositif doivent être garantis à chaque étape du traitement des données.

Modalités pratiques

À la clôture de la procédure de traitement du signalement, l’entreprise doit procéder à l’archivage ou à la suppression des données selon les situations suivantes :

  • Si le signalement est manifestement infondé ou n’a donné lieu à aucune suite, les données doivent être supprimées sans délai, au plus tard deux mois après la clôture de la procédure.
  • Si le signalement donne lieu à une procédure disciplinaire, judiciaire ou administrative, les données peuvent être conservées jusqu’à l’issue définitive de la procédure, sous réserve des délais de prescription applicables.
  • Les données strictement nécessaires à la traçabilité du dispositif (preuve de la bonne gestion du signalement) peuvent être conservées pour une durée maximale de cinq ans à compter de la clôture du dossier, sauf si une procédure contentieuse est en cours.

L’accès aux données doit être limité aux seules personnes habilitées à traiter le signalement. Toute consultation, modification ou transmission non justifiée est interdite et doit être traçable.

Pratiques et recommandations

Il est recommandé de formaliser une politique interne précisant les durées de conservation applicables à chaque catégorie de données issues d’un signalement. L’entreprise doit informer les personnes concernées, dès la collecte, de la durée de conservation et des modalités d’effacement.

Un registre des traitements doit être tenu à jour, mentionnant les dates de création, de clôture et de suppression des dossiers de signalement. La suppression effective des données doit être documentée et vérifiable.

En cas de doute sur la durée de conservation, il convient de privilégier la suppression rapide, sauf obligation légale contraire. Un audit régulier des pratiques de conservation est conseillé afin d’assurer la conformité continue.

Cadre juridique

La durée de conservation des données liées à un signalement est régie par :

  • Loi du 16 mai 2023 relative à la protection des lanceurs d’alerte :
    • Article 13 : Limitation de la conservation à ce qui est strictement nécessaire.
    • Article 15 : Confidentialité et protection des données.
  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel :
    • Article 4 : Principe de limitation de la conservation.
    • Article 5 : Droits des personnes concernées.
  • Code du travail luxembourgeois :
    • Article L.261-1 et suivants : Protection des données à caractère personnel dans le cadre des relations de travail.
  • Recommandations de la Commission nationale pour la protection des données (CNPD) : Modalités de suppression et d’archivage des données issues des dispositifs d’alerte professionnelle.

Note

Documentez systématiquement la suppression ou l’archivage des données liées à un signalement afin de pouvoir justifier, en cas de contrôle de la CNPD, du respect des délais légaux de conservation. Veillez à garantir la traçabilité des accès et à limiter l’accès aux seules personnes habilitées.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...