Un employeur peut-il externaliser la gestion des RPS à un prestataire spécialisé ?
Réponse courte
Oui, mais la responsabilité reste à l'employeur. Un employeur peut externaliser certaines missions de gestion des RPS — audit, formation, accompagnement, médiation — à un prestataire spécialisé. Cette externalisation ne transfère pas sa responsabilité légale : il demeure seul garant de la sécurité et de la santé au travail.
L'employeur doit s'assurer que le recours au prestataire respecte ses obligations — évaluation des risques, mesures de prévention, consultation de la délégation du personnel, protection des données. Le prestataire doit être choisi sur des critères de compétence, de confidentialité et d'indépendance, et son intervention encadrée par un contrat écrit précisant l'étendue de la mission et le sort des données recueillies, conformément au RGPD.
Définition
Les risques psychosociaux (RPS) regroupent les risques susceptibles d'affecter la santé mentale, physique et sociale des salariés : stress, harcèlement moral, surcharge, violence au travail. Leur gestion recouvre l'identification, l'évaluation, la prévention et le traitement des situations à risque.
Au Luxembourg, cette gestion relève de l'obligation générale de sécurité de l'employeur (art. L.312-1 et suivants), qui peut s'appuyer sur des tiers sans pour autant se décharger de sa responsabilité.
Conditions d’exercice
Le recours à un prestataire est possible, mais strictement encadré et non libératoire.
| Élément | Détail |
|---|---|
| Missions externalisables | Audit, plans d'action, formation, médiation |
| Responsabilité | Non transférable : l'employeur reste garant de la sécurité et de la santé |
| Obligations maintenues | Évaluation des risques, mesures de prévention, consultation de la délégation |
| Choix du prestataire | Compétence, confidentialité, indépendance |
Modalités pratiques
L'intervention externe suppose un contrat précis et une consultation préalable de la délégation.
| Aspect | Détail |
|---|---|
| Formes | Audit des risques, accompagnement, formation des salariés et managers, médiation |
| Contrat écrit | Étendue de la mission, modalités, traitement des données sensibles, restitution |
| Consultation | Information et consultation préalables de la délégation (art. L.414-3) |
| Données de santé | Traitement conforme à la loi du 1er août 2018 |
Pratiques et recommandations
La ligne à tenir est simple : on externalise des compétences, jamais la responsabilité. Un audit, une médiation, une formation peuvent être confiés à un tiers ; l'évaluation des risques, la décision des mesures et le dialogue avec la délégation restent la main de l'employeur. Un prestataire qui « prendrait tout en charge » n'existe pas au sens juridique : en cas de carence, c'est l'entreprise qui répond.
Deux points concrets sécurisent l'opération. D'abord, ne pas laisser le prestataire se substituer au service de santé au travail ni au délégué à la sécurité, mais le placer en complément — sous peine de doublons et de zones de responsabilité floues. Ensuite, verrouiller contractuellement le sort des données recueillies (accès, conservation, restitution en fin de mission) : une cellule d'écoute externalisée sans clause claire sur la confidentialité expose l'entreprise autant qu'un défaut de prévention.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.312-1 | Obligation générale de sécurité, non transférable à un tiers |
| Art. L.312-5 | Obligation d'évaluer les risques, RPS compris |
| Art. L.414-3 | Consultation de la délégation du personnel |
| Loi du 1er août 2018 (RGPD) | Traitement des données de santé dans le cadre de l'intervention |
Note
L'externalisation de la gestion des RPS ne dispense jamais l'employeur de son obligation de sécurité. Toute carence dans la prévention ou le traitement des RPS engage sa responsabilité, même en cas de recours à un prestataire externe.