Quelles précautions RGPD doivent être prises lors de l’utilisation de logiciels de KPI RH au Luxembourg ?
Réponse courte
L’employeur doit s’assurer que le traitement des données via les logiciels de KPI RH repose sur une base légale appropriée, informer individuellement les salariés sur la collecte et l’utilisation de leurs données, et limiter l’accès aux seules personnes habilitées. En cas de traitement de données sensibles ou de risque élevé, une analyse d’impact sur la protection des données est obligatoire, et les salariés doivent être informés de leurs droits.
Il est nécessaire de pseudonymiser ou anonymiser les données lorsque possible, de sécuriser techniquement et organisationnellement les accès, et de prévoir des clauses spécifiques dans les contrats avec les prestataires. Toute violation de données doit être notifiée à la CNPD dans les 72 heures, et un registre des traitements doit être tenu à jour.
L’employeur doit également impliquer le DPO, sensibiliser les salariés à la protection de leurs données, garantir la traçabilité des accès et modifications, et encadrer humainement toute décision automatisée. Toute évolution du traitement nécessite une nouvelle information des salariés et, si besoin, une nouvelle analyse d’impact.
Définition
Les logiciels de KPI RH (Key Performance Indicators Ressources Humaines) sont des outils numériques permettant de collecter, traiter, analyser et visualiser des données relatives à la gestion des ressources humaines. Ces données concernent notamment l’absentéisme, la performance, la formation ou la mobilité interne des salariés.
L’utilisation de ces logiciels implique le traitement de données à caractère personnel, parfois sensibles, concernant les salariés. Ce traitement engage la responsabilité de l’employeur au regard du Règlement Général sur la Protection des Données (RGPD) et de la législation luxembourgeoise en vigueur.
Conditions d’exercice
L’employeur ne peut recourir à un logiciel de KPI RH que si le traitement des données repose sur une base légale prévue à l’article L.261-1 du Code du travail et à l’article 6 du RGPD. Les bases légales peuvent inclure l’exécution du contrat de travail, le respect d’une obligation légale ou la poursuite d’un intérêt légitime, sous réserve de ne pas porter atteinte aux droits et libertés des salariés.
Lorsque des données sensibles (telles que la santé ou l’appartenance syndicale) sont traitées, une condition spécifique de l’article 9 du RGPD et de l’article L.261-2 du Code du travail doit être remplie, comme le consentement explicite ou la nécessité pour l’exécution des obligations en matière de droit du travail. Une analyse d’impact relative à la protection des données (AIPD) est obligatoire si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD et à l’article L.261-4 du Code du travail.
Modalités pratiques
Avant toute mise en œuvre, l’employeur doit informer individuellement les salariés, conformément à l’article 13 du RGPD et à l’article L.261-3 du Code du travail, sur la nature des données collectées, les finalités du traitement, la durée de conservation, les destinataires et les droits dont ils disposent.
Les accès aux logiciels doivent être strictement limités aux personnes habilitées, selon le principe du besoin d’en connaître. Les données doivent être pseudonymisées ou anonymisées lorsque cela est possible, afin de limiter les risques en cas de violation.
Les contrats avec les éditeurs de logiciels ou prestataires externes doivent comporter des clauses spécifiques relatives à la confidentialité, à la sécurité et à la sous-traitance des données, conformément à l’article 28 du RGPD et à l’article L.261-5 du Code du travail. Toute violation de données doit être notifiée à la Commission nationale pour la protection des données (CNPD) dans les 72 heures, conformément à l’article 33 du RGPD et à l’article L.261-6 du Code du travail.
Pratiques et recommandations
Il est recommandé de réaliser une cartographie précise des traitements de données opérés par le logiciel de KPI RH et de tenir un registre des activités de traitement, conformément à l’article 30 du RGPD et à l’article L.261-7 du Code du travail.
L’employeur doit veiller à la mise à jour régulière des mesures de sécurité techniques et organisationnelles, notamment le chiffrement, la gestion des accès et la traçabilité des opérations. Il convient d’impliquer le délégué à la protection des données (DPO) dans toutes les phases du projet, conformément à l’article 37 du RGPD.
Les salariés doivent être sensibilisés à la protection de leurs données et informés de leurs droits d’accès, de rectification, d’opposition et d’effacement. Toute évolution du périmètre ou des finalités du traitement doit faire l’objet d’une nouvelle information et, le cas échéant, d’une nouvelle analyse d’impact.
L’égalité de traitement entre salariés doit être respectée lors de l’utilisation des indicateurs, conformément à l’article L.241-1 du Code du travail. L’employeur doit garantir la traçabilité des accès et des modifications apportées aux données, et assurer un encadrement humain des décisions automatisées, conformément à l’article 22 du RGPD.
Cadre juridique
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), articles 6, 9, 13, 22, 28, 30, 33, 35, 37
- Code du travail luxembourgeois, articles L.241-1, L.261-1 à L.261-7
- Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
- Lignes directrices et recommandations de la CNPD
Note
L’absence de conformité aux exigences du RGPD et du Code du travail expose l’employeur à des sanctions administratives prononcées par la CNPD, ainsi qu’à des actions en responsabilité civile de la part des salariés concernés. Il est impératif de documenter l’ensemble des démarches de conformité et de conserver les preuves des actions entreprises.