Comment gérer les alertes RPS conformément au RGPD ?
Réponse courte
Une alerte RPS est un traitement de données personnelles — souvent des données de santé ou révélant des situations sensibles — soumis au RGPD et à la loi du 1er août 2018. Les principes cardinaux : licéité, minimisation des données, confidentialité, accès limité aux seules personnes habilitées et durée de conservation strictement justifiée.
Sur la base légale, éviter le piège du consentement : dans la relation de travail, il n'est presque jamais libre. Le traitement s'appuie sur l'obligation légale de l'employeur en matière de sécurité (art. L.312-1) et, pour les données sensibles, sur l'exception relative aux obligations en matière de droit du travail (art. 9, § 2, b) du RGPD) — pas sur le consentement du salarié concerné.
Concrètement : canal sécurisé, inscription au registre des traitements, information des personnes (auteur, mis en cause, témoins), traçabilité des accès, et analyse d'impact (AIPD) recommandée avant le déploiement, le dispositif combinant données sensibles et personnes vulnérables.
Définition
Les alertes RPS sont les signalements de situations de stress, harcèlement ou violence effectués dans le cadre professionnel. Chaque alerte génère des données sur l'auteur du signalement, la personne mise en cause et les témoins — trois catégories de personnes concernées ayant chacune des droits RGPD (information, accès, rectification), dont l'exercice doit être concilié avec la confidentialité de la procédure et la protection des parties.
Conditions d’exercice
La conformité repose sur des choix structurants opérés avant la première alerte.
| Exigence | Mise en œuvre |
|---|---|
| Base légale | Obligation de sécurité de l'employeur (art. L.312-1) ; pour les données sensibles, art. 9, § 2, b) du RGPD (droit du travail) — pas le consentement |
| Finalité | Traitement des signalements et protection de la santé ; toute réutilisation (évaluation, discipline hors procédure) est un détournement |
| Minimisation | Ne collecter que les faits nécessaires ; proscrire les appréciations sur la personnalité ou l'état psychique supposé |
| Habilitations | Liste nominative des personnes autorisées, formées à la confidentialité et au RGPD |
| Dialogue social | Consultation de la délégation du personnel sur le dispositif (art. L.414-3) ; information préalable en cas de traitement à des fins de surveillance (art. L.261-1) |
Modalités pratiques
Le dispositif se construit autour de garanties techniques et organisationnelles.
| Élément | Contenu |
|---|---|
| Canal de signalement | Plateforme sécurisée ou circuit dédié, chiffrement, cloisonnement vis-à-vis de la hiérarchie |
| Registre des traitements | Fiche dédiée : finalité, catégories de données et de personnes, destinataires, durées, mesures de sécurité (art. 30 RGPD) |
| Information des personnes | Auteur, mis en cause et témoins informés conformément aux art. 13 et 14 du RGPD, avec les aménagements nécessaires à la protection de l'enquête |
| Sécurité et traçabilité | Mesures techniques et organisationnelles appropriées, journalisation des accès (art. 32 RGPD) |
| Conservation | Durée limitée au strict nécessaire, définie et documentée par l'entreprise ; prolongation uniquement en cas de procédure en cours |
| Violations | Procédure de notification à la CNPD sous 72 heures et, le cas échéant, aux personnes concernées (art. 33 et 34 RGPD) |
Pratiques et recommandations
Réaliser l'analyse d'impact avant le lancement plutôt que de débattre de son caractère obligatoire : un dispositif d'alerte RPS cumule données sensibles, personnes en situation de vulnérabilité et risque élevé pour les droits — le faisceau de critères de l'AIPD est presque toujours réuni, et l'exercice révèle les failles de conception au meilleur moment.
Protéger le mis en cause autant que l'auteur : le RGPD s'applique aux deux. Une accusation conservée sans limite dans un fichier RH, alors que l'enquête a conclu à l'absence de faits, constitue un traitement illicite et un terrain de contentieux — prévoir explicitement le sort des données des alertes non fondées.
Articuler le dispositif RPS avec le canal de la loi du 16 mai 2023 sur les lanceurs d'alerte lorsque les deux coexistent : finalités, durées et habilitations différentes exigent soit deux traitements distincts au registre, soit un traitement commun rigoureusement documenté.
Tester la confidentialité réelle une fois par an : qui peut techniquement accéder aux dossiers ? Les exports, sauvegardes et boîtes fonctionnelles partagées trahissent souvent un cercle d'accès bien plus large que la liste officielle des personnes habilitées.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD, art. 5, 6 et 9 | Principes, bases légales, régime des données sensibles (art. 9, § 2, b pour le droit du travail) |
| RGPD, art. 13, 14, 30, 32 à 35 | Information des personnes, registre, sécurité, violations, analyse d'impact |
| Loi du 1er août 2018 | Protection des données au Luxembourg ; CNPD autorité de contrôle |
| Art. L.312-1 | Obligation de sécurité fondant le traitement des alertes |
| Art. L.414-3 et L.261-1 | Consultation de la délégation ; encadrement de la surveillance des salariés |
| Loi du 16 mai 2023 | Canaux de signalement des lanceurs d'alerte, à articuler avec le dispositif RPS |
Note
Les manquements exposent aux amendes administratives du RGPD — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — prononcées au Luxembourg par la CNPD. La documentation du dispositif (registre, AIPD, habilitations, durées) est la preuve de conformité exigée en cas de contrôle.