Comment le service RH doit-il gérer les données sensibles (orientation sexuelle, genre) conformément au RGPD et au droit luxembourgeois ?

Réponse courte

Les données relatives à l'orientation sexuelle et au genre sont des données sensibles dont le traitement est en principe interdit. Le service RH ne peut les traiter que sur base d'un consentement explicite, d'une obligation légale ou pour la défense de droits en justice, avec des mesures de protection renforcées incluant chiffrement, accès restreint et durée de conservation limitée à 3 ans maximum après la fin du contrat.

Définition

Les données concernant l'orientation sexuelle et l'identité de genre constituent des catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD et de l'article 11 de la loi luxembourgeoise du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Conditions d’exercice

Le traitement n'est autorisé que dans les cas suivants :

Consentement explicite, libre, spécifique et éclairé de la personne concernée
Obligation légale découlant du droit du travail ou de la protection sociale
Exercice ou défense de droits en justice
Protection des intérêts vitaux de la personne concernée

L'employeur doit garantir l'égalité de traitement conformément aux articles L.241-1 à L.241-11 du Code du travail luxembourgeois.

Modalités pratiques

Le service RH doit mettre en place les mesures suivantes :

Désignation d'un responsable de traitement spécifique
Registre détaillé des activités de traitement (Art. 30 RGPD)
Chiffrement des données et accès restreint par authentification forte
Conservation limitée à 3 ans après la fin du contrat
Procédure documentée de recueil du consentement
Mécanisme de retrait du consentement à tout moment
Encadrement humain obligatoire pour toute décision

Pratiques et recommandations

Pour une gestion conforme, il est recommandé de :

Consulter systématiquement le DPO avant tout nouveau traitement
Réaliser une analyse d'impact (AIPD) préalable
Former régulièrement le personnel RH habilité
Privilégier l'anonymisation pour les statistiques
Mettre en place une procédure d'urgence en cas de violation
Documenter chaque décision de traitement

Cadre juridique

RGPD : Articles 9 (données sensibles), 22 (décision automatisée), 30 (registre)
Loi du 1er août 2018 : Articles 11, 14, 15, 16
Code du travail luxembourgeois :
- Articles L.241-1 à L.241-11 (égalité de traitement)
- Articles L.261-1 à L.261-4 (protection des données)
- Article L.251-1 (surveillance sur le lieu de travail)

Note

La CNPD peut infliger des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial en cas de non-conformité. Un contrôle régulier des mesures de protection est indispensable.