← Article précédent
Télécharger en PDF
Article suivant →

Comment gérer les alertes RPS conformément au RGPD ?

Réponse courte

Le traitement des alertes RPS doit respecter les principes du RGPD : licéité, transparence, minimisation des données et sécurité renforcée. L'employeur doit mettre en place un dispositif garantissant la confidentialité, limiter l'accès aux personnes habilitées, informer les salariés de leurs droits, et conserver les données pour une durée maximale de 2 ans après la clôture de l'alerte, sauf procédure contentieuse en cours.

Définition

Les alertes RPS désignent les signalements de situations de risques psychosociaux (stress, harcèlement, violence, etc.) effectués par les salariés dans le cadre professionnel. Ces signalements constituent des traitements de données à caractère personnel, souvent sensibles, soumis au RGPD et à la loi luxembourgeoise du 1er août 2018 sur la protection des données.

Conditions d’exercice

Le traitement des alertes RPS doit reposer sur une base légale définie à l'article 6 du RGPD, principalement :

  • L'obligation légale de l'employeur (Art. L.312-1 du Code du travail)
  • L'intérêt légitime de l'entreprise
  • Le consentement explicite pour les données sensibles (Art. 9 RGPD)

L'employeur doit désigner formellement les personnes habilitées à traiter les alertes et garantir leur formation au RGPD.

Modalités pratiques

L'employeur doit mettre en place :

  • Un canal de signalement sécurisé et confidentiel
  • Un registre des traitements détaillant la finalité et les mesures de sécurité
  • Une procédure de traitement documentée
  • Des mesures techniques et organisationnelles appropriées (Art. 32 RGPD)
  • Une traçabilité des accès aux données
  • Une durée de conservation limitée et justifiée

Pratiques et recommandations

Il est recommandé de :

  • Réaliser une analyse d'impact (DPIA) avant la mise en place du dispositif
  • Consulter la délégation du personnel (Art. L.414-3 du Code du travail)
  • Désigner un DPO si traitement à grande échelle
  • Former régulièrement les personnes habilitées
  • Établir une procédure de notification des violations de données
  • Documenter toutes les décisions et mesures prises

Cadre juridique

  • RGPD : Articles 5, 6, 9, 13, 14, 32, 33, 34, 35, 37
  • Code du travail luxembourgeois : Articles L.312-1, L.414-3
  • Loi du 1er août 2018 sur la protection des données
  • Délibération CNPD n°45/2023 sur les dispositifs d'alerte
  • Convention collective de travail applicable au secteur

Note

La non-conformité au RGPD dans la gestion des alertes RPS expose l'employeur à des sanctions administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. La documentation exhaustive du dispositif est essentielle pour démontrer sa conformité.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...