← Article précédent
Télécharger en PDF
Article suivant →

Un prestataire externe chargé des alertes est-il considéré comme sous-traitant au sens du Code du travail luxembourgeois et du RGPD ?

Réponse courte

Un prestataire externe chargé de la gestion des alertes professionnelles impliquant des données à caractère personnel est considéré comme sous-traitant au sens du Code du travail luxembourgeois et du RGPD. Cette qualification s’applique dès lors que le prestataire traite des données pour le compte du responsable du traitement, sur instruction de ce dernier, sans déterminer les finalités ni les moyens essentiels du traitement.

Le prestataire doit agir exclusivement sur instruction documentée du responsable du traitement, dans le cadre d’un contrat écrit précisant ses obligations, notamment en matière de sécurité, de confidentialité et de traçabilité. Toute sous-traitance ultérieure nécessite l’accord préalable du responsable du traitement.

Définition

Un sous-traitant, au sens du Règlement (UE) 2016/679 (RGPD) et du Code du travail luxembourgeois, est toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, sans en déterminer les finalités ni les moyens essentiels. Dans le cadre d’un dispositif d’alerte professionnelle, le prestataire externe qui réceptionne, traite ou analyse les alertes contenant des données personnelles agit sur instruction du responsable du traitement.

Cette absence d’autonomie dans la détermination des finalités et des moyens essentiels du traitement qualifie le prestataire comme sous-traitant. Cette qualification est confirmée par la doctrine de la Commission nationale pour la protection des données (CNPD) et la jurisprudence administrative luxembourgeoise.

Conditions d’exercice

Pour être qualifié de sous-traitant, le prestataire externe doit :

  • Traiter des données à caractère personnel exclusivement pour le compte du responsable du traitement, dans le cadre d’un contrat ou d’un acte juridique équivalent.
  • Agir uniquement sur instruction documentée du responsable du traitement, sans utiliser les données à d’autres fins.
  • Présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et le respect des droits des personnes concernées.
  • Obtenir l’autorisation écrite préalable du responsable du traitement pour toute sous-traitance ultérieure.

Le responsable du traitement doit vérifier la capacité du prestataire à respecter ces exigences avant et pendant la relation contractuelle.

Modalités pratiques

Le recours à un prestataire externe pour la gestion des alertes impose la conclusion d’un contrat écrit ou d’un acte juridique équivalent, conformément à l’article 28 du RGPD et à l’article L.261-1 du Code du travail luxembourgeois. Ce contrat doit préciser :

  • L’objet, la durée, la nature et la finalité du traitement.
  • Les catégories de données et les obligations du sous-traitant, notamment en matière de sécurité, de confidentialité, d’assistance au responsable du traitement et de notification des violations de données.
  • Les modalités de traçabilité des accès, de conservation et de suppression des données.

Le responsable du traitement doit documenter les instructions données au prestataire, contrôler régulièrement le respect des obligations contractuelles et prévoir des audits. Toute sous-traitance ultérieure par le prestataire doit être strictement encadrée et soumise à l’accord préalable du responsable du traitement.

Pratiques et recommandations

Il est recommandé de sélectionner un prestataire disposant d’une expertise avérée en matière de protection des données et de dispositifs d’alerte professionnelle. Avant toute externalisation, le responsable du traitement doit réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La CNPD recommande de privilégier des prestataires établis au Luxembourg ou dans un État membre de l’Union européenne afin de limiter les transferts de données hors de l’Espace économique européen. Il convient de vérifier que le prestataire applique des mesures techniques et organisationnelles appropriées, de prévoir des audits réguliers et de garantir la traçabilité des opérations. L’égalité de traitement, la traçabilité des instructions et l’encadrement humain du dispositif doivent être assurés à chaque étape.

Cadre juridique

  • Article 4, point 8, et article 28 du Règlement (UE) 2016/679 (RGPD)
  • Article L.261-1 et suivants du Code du travail luxembourgeois
  • Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données
  • Lignes directrices de la CNPD sur la gestion des dispositifs d’alerte professionnelle et la sous-traitance des traitements de données à caractère personnel
  • Jurisprudence administrative luxembourgeoise relative à la responsabilité du responsable du traitement et à la qualification des sous-traitants

Note

Le recours à un prestataire externe pour la gestion des alertes impose une vigilance accrue sur la rédaction du contrat de sous-traitance, la documentation des instructions et le contrôle effectif du respect des obligations légales. Le non-respect de ces exigences peut engager la responsabilité du responsable du traitement devant la CNPD et les juridictions compétentes.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...