← Article précédent
Télécharger en PDF
Article suivant →

Faut-il faire une déclaration CNPD pour le canal de signalement ?

Réponse courte

Il n’est pas nécessaire de faire une déclaration préalable à la CNPD pour la mise en place d’un canal de signalement interne. Cette obligation a été supprimée depuis l’entrée en vigueur du RGPD et de la loi du 1er août 2018.

En revanche, l’employeur doit obligatoirement réaliser et documenter une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre du dispositif. Si cette analyse révèle des risques résiduels élevés non maîtrisés, une consultation préalable de la CNPD devient alors obligatoire.

Définition

Le canal de signalement est un dispositif interne permettant aux salariés et collaborateurs de signaler, de manière confidentielle, des faits susceptibles de constituer une violation du droit ou des obligations professionnelles. Ce dispositif implique la collecte, le traitement et la conservation de données à caractère personnel concernant l’auteur du signalement, les personnes visées et les éventuels témoins.

Le canal de signalement vise à garantir la protection des lanceurs d’alerte tout en assurant la conformité aux obligations légales en matière de protection des données à caractère personnel. Il s’inscrit dans le cadre des mesures de conformité imposées aux employeurs luxembourgeois.

Conditions d’exercice

La mise en place d’un canal de signalement est encadrée par la loi du 16 mai 2023 relative à la protection des lanceurs d’alerte, ainsi que par la loi modifiée du 1er août 2018 portant organisation de la CNPD et mise en œuvre du RGPD. L’employeur doit s’assurer que le traitement des données repose sur une base légale (article 6 du RGPD) et respecte les principes de licéité, loyauté, transparence, minimisation, exactitude, limitation de la conservation et intégrité/confidentialité (articles 5 et 6 du RGPD).

L’égalité de traitement, la traçabilité des opérations et l’encadrement humain du dispositif doivent être garantis. Les personnes concernées doivent être informées de leurs droits et des modalités d’exercice de ceux-ci.

Modalités pratiques

Depuis l’entrée en vigueur du RGPD et de la loi du 1er août 2018, la déclaration préalable des traitements de données à la CNPD n’est plus requise pour la majorité des traitements, y compris pour la mise en place d’un canal de signalement (article 30 de la loi du 1er août 2018). Toutefois, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre du dispositif, conformément à l’article 35 du RGPD, en raison de la nature sensible des données traitées et du risque élevé pour les droits et libertés des personnes concernées.

L’AIPD doit être documentée, régulièrement mise à jour et conservée à disposition de la CNPD en cas de contrôle. Si l’analyse d’impact révèle des risques résiduels élevés non maîtrisés, une consultation préalable de la CNPD est obligatoire avant la mise en œuvre du traitement (article 36 du RGPD). L’employeur doit également tenir à jour le registre des activités de traitement (article 30 du RGPD).

Pratiques et recommandations

Il est recommandé de documenter l’ensemble des mesures techniques et organisationnelles mises en place pour garantir la sécurité et la confidentialité des données traitées via le canal de signalement. L’information des salariés sur l’existence du dispositif, ses modalités de fonctionnement, les droits dont ils disposent et les mesures de protection des données est obligatoire (articles 13 et 14 du RGPD).

La désignation d’un délégué à la protection des données (DPO) est requise si l’entreprise traite à grande échelle des données sensibles ou si la loi l’impose (article 37 du RGPD). Il convient de prévoir des procédures internes pour la gestion des droits d’accès, de rectification, d’effacement et d’opposition (articles 15 à 18 et 21 du RGPD). L’égalité de traitement et la non-discrimination doivent être assurées tout au long du processus.

Cadre juridique

  • Loi du 16 mai 2023 relative à la protection des lanceurs d’alerte
  • Loi modifiée du 1er août 2018 portant organisation de la CNPD et mise en œuvre du RGPD
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment articles 5, 6, 13, 14, 15 à 18, 21, 30, 35 et 36
  • Articles L.261-1 à L.261-4 du Code du travail luxembourgeois (protection des lanceurs d’alerte)
  • Jurisprudence nationale de la CNPD et des juridictions luxembourgeoises en matière de protection des données et de dispositifs d’alerte professionnelle

Note

L’absence de déclaration préalable à la CNPD ne dispense pas l’employeur de ses obligations en matière de protection des données. Un défaut d’analyse d’impact ou de consultation préalable en cas de risque élevé expose l’entreprise à des sanctions administratives et pénales. Il est essentiel de garantir la traçabilité des opérations et l’encadrement humain du dispositif pour assurer la conformité et la protection des droits des personnes concernées.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...