L’utilisation d’une plateforme d’évaluation des salariés est-elle soumise au RGPD au Luxembourg ?
Réponse courte
L’utilisation d’une plateforme d’évaluation des salariés au Luxembourg est soumise au RGPD dès lors que des données permettant d’identifier un salarié sont traitées. Cela inclut la collecte, le stockage, l’analyse ou le partage de toute information personnelle liée à la performance, aux compétences ou au comportement des salariés.
L’employeur doit respecter l’ensemble des obligations prévues par le RGPD et la législation luxembourgeoise, notamment informer les salariés, garantir la sécurité des données, limiter la collecte aux informations strictement nécessaires, consulter la délégation du personnel et, si besoin, réaliser une analyse d’impact. Toute non-conformité expose l’employeur à des sanctions administratives et à des actions en responsabilité.
Définition
Une plateforme d’évaluation désigne tout outil numérique permettant de collecter, traiter, stocker ou analyser des données relatives à la performance, aux compétences ou au comportement des salariés dans le cadre de leur activité professionnelle. Ces plateformes sont utilisées par les employeurs pour organiser des entretiens annuels, des évaluations de performance ou des feedbacks continus.
Les données traitées incluent fréquemment des informations personnelles identifiables, telles que l’identité, les résultats d’évaluation, les commentaires des supérieurs hiérarchiques ou des pairs, et parfois des éléments relatifs à la santé ou à la situation familiale. Toute donnée permettant d’identifier directement ou indirectement un salarié est considérée comme donnée à caractère personnel au sens du RGPD.
Conditions d’exercice
Au Luxembourg, le traitement de données à caractère personnel par une plateforme d’évaluation est soumis au Règlement (UE) 2016/679 (RGPD) et à la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données. La soumission au RGPD est effective dès lors que la plateforme traite des données permettant d’identifier un salarié.
L’employeur, en tant que responsable du traitement, doit justifier d’une base légale pour chaque traitement, notamment l’exécution du contrat de travail (article L.261-1 du Code du travail), le respect d’une obligation légale ou la poursuite d’un intérêt légitime, sous réserve de ne pas porter atteinte aux droits et libertés des salariés. L’égalité de traitement entre salariés (article L.241-1 du Code du travail) et la transparence des traitements sont des obligations implicites.
Modalités pratiques
Avant la mise en œuvre d’une plateforme d’évaluation, l’employeur doit informer individuellement chaque salarié des finalités du traitement, des catégories de données collectées, de la durée de conservation, des destinataires éventuels et des droits dont ils disposent (accès, rectification, effacement, limitation, opposition, portabilité). Cette information doit être délivrée de manière claire et accessible, conformément à l’article 13 du RGPD et à l’article 41 de la loi du 1er août 2018.
Si la plateforme implique un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact relative à la protection des données (AIPD) doit être réalisée préalablement à la mise en service (article 35 RGPD). L’employeur doit également veiller à la sécurité des données, notamment par des mesures techniques et organisationnelles appropriées (article 32 RGPD), et s’assurer que tout sous-traitant (éditeur de la plateforme) présente des garanties suffisantes en matière de conformité (article 28 RGPD).
La consultation préalable de la délégation du personnel est obligatoire en cas d’introduction ou de modification de moyens techniques de surveillance ou d’évaluation des salariés (article L.414-9 du Code du travail). L’encadrement humain des décisions automatisées doit être garanti (article 22 RGPD).
Pratiques et recommandations
Il est recommandé de limiter la collecte de données aux seules informations strictement nécessaires à l’évaluation professionnelle, conformément au principe de minimisation (article 5.1.c RGPD). Toute collecte de données sensibles (ex. : santé, origine raciale, opinions syndicales) est en principe interdite, sauf exception prévue par la loi ou consentement explicite du salarié (article 9 RGPD).
L’accès aux résultats d’évaluation doit être restreint aux personnes habilitées, telles que le supérieur hiérarchique direct, le service RH et, le cas échéant, les représentants du personnel dans le cadre de leurs missions légales. La conservation des données doit être limitée à la durée strictement nécessaire à la finalité poursuivie, généralement la durée de la relation de travail augmentée des délais de prescription applicables (article 5.1.e RGPD).
Toute violation de données doit être notifiée à la Commission nationale pour la protection des données (CNPD) dans les conditions prévues par l’article 33 du RGPD. Il est conseillé de documenter toutes les démarches de conformité (article 30 RGPD) et de tenir un registre des traitements.
Cadre juridique
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 5, 9, 13, 22, 28, 30, 32, 33, 35
- Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, articles 41 et suivants
- Code du travail luxembourgeois, articles L.261-1, L.241-1, L.414-9
- Avis et recommandations de la CNPD concernant les traitements de données dans le cadre de l’évaluation du personnel
Note
L’absence de conformité au RGPD lors de l’utilisation d’une plateforme d’évaluation expose l’employeur à des sanctions administratives prononcées par la CNPD, ainsi qu’à des actions en responsabilité civile de la part des salariés concernés. Il est impératif de documenter l’ensemble des démarches de conformité, de consulter la délégation du personnel et, le cas échéant, la CNPD avant toute mise en œuvre de nouveaux traitements.