← Article précédent
Télécharger en PDF
Article suivant →

Quelles sont les obligations RGPD pour l’archivage des données RH au Luxembourg ?

Réponse courte

L’archivage des données RH au Luxembourg doit reposer sur un fondement légal précis, respecter la limitation stricte de la durée de conservation (généralement 10 ans selon le Code du travail et le Code civil), et garantir que la conservation ne dépasse pas ce qui est nécessaire à la finalité poursuivie. Toute conservation au-delà des délais légaux constitue une violation du RGPD et du droit luxembourgeois.

L’employeur doit mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et l’intégrité des données archivées, limiter l’accès aux seules personnes habilitées, tenir un registre des activités de traitement, et sécuriser les supports d’archivage. À l’expiration des délais légaux, les données doivent être supprimées de façon définitive et irréversible.

Il est également obligatoire d’informer les salariés sur l’archivage de leurs données, de formaliser une politique interne d’archivage, d’organiser des contrôles périodiques de conformité, et, en cas de sous-traitance, de conclure un contrat conforme au RGPD avec le prestataire. Le non-respect de ces obligations expose l’employeur à des sanctions administratives et à des actions en responsabilité.

Définition

Les données RH archivées correspondent à l’ensemble des informations à caractère personnel relatives aux salariés, anciens salariés ou candidats, conservées au-delà de leur utilisation courante. L’archivage vise à répondre à des obligations légales, à la gestion de contentieux ou à la sauvegarde des droits de l’employeur. Ce traitement implique une conservation distincte, des accès restreints et le respect des finalités initiales, conformément à la législation luxembourgeoise sur la protection des données à caractère personnel.

Conditions d’exercice

L’archivage des données RH doit reposer sur un fondement légal précis, tel que l’exécution d’une obligation légale (article 6, paragraphe 1, point c du RGPD), la gestion des contentieux ou la sauvegarde des droits de l’employeur. La durée de conservation est strictement limitée à ce qui est nécessaire pour atteindre la finalité poursuivie. Au Luxembourg, les délais de prescription applicables, notamment ceux prévus à l’article L.222-4 du Code du travail (10 ans pour les documents relatifs à la relation de travail) et à l’article 2262 du Code civil, déterminent la durée maximale d’archivage. Toute conservation excédant ces délais constitue une violation du RGPD et du droit luxembourgeois.

Modalités pratiques

L’employeur doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l’intégrité des données RH archivées, conformément à l’article 32 du RGPD et à l’article 41 de la loi du 1er août 2018. L’accès aux archives doit être limité aux personnes habilitées, identifiées et formées à la protection des données. Un registre des activités de traitement, tel que prévu à l’article 30 du RGPD, doit recenser spécifiquement les opérations d’archivage, en précisant les catégories de données, la durée de conservation, les finalités et les modalités d’accès. Les supports d’archivage, qu’ils soient papier ou électroniques, doivent être sécurisés contre toute perte, altération ou accès non autorisé. À l’expiration des délais légaux, les données archivées doivent être supprimées de manière définitive et irréversible, conformément à l’article 17 du RGPD (droit à l’effacement).

Pratiques et recommandations

Il est recommandé de formaliser une politique interne d’archivage des données RH, précisant les catégories de données concernées, les durées de conservation applicables, les modalités d’accès et de destruction. L’information des salariés sur l’archivage de leurs données doit être assurée, notamment via la note d’information RGPD ou le règlement intérieur, conformément à l’article 13 du RGPD et à l’article L.261-1 du Code du travail. Un contrôle périodique de la conformité des archives doit être organisé, incluant la vérification des délais de conservation et la traçabilité des accès. En cas de sous-traitance de l’archivage, un contrat conforme à l’article 28 du RGPD doit être conclu avec le prestataire, incluant des clauses sur la sécurité, la confidentialité et la destruction des données.

Cadre juridique

  • Règlement (UE) 2016/679 (RGPD) : articles 5, 6, 13, 17, 28, 30, 32
  • Loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données : articles 41 et suivants
  • Code du travail luxembourgeois : article L.222-4 (conservation des documents sociaux), article L.261-1 (information des salariés)
  • Code civil luxembourgeois : article 2262 (délai de prescription de 10 ans)
  • Jurisprudence luxembourgeoise sur la proportionnalité de la conservation des données

Note

Le non-respect des obligations d’archivage des données RH expose l’employeur à des sanctions administratives prononcées par la CNPD, ainsi qu’à des actions en responsabilité civile de la part des personnes concernées. Il est impératif de procéder à une revue régulière des archives RH, de documenter toute opération de suppression ou de destruction, et de garantir l’égalité de traitement et la traçabilité des accès conformément aux exigences du Code du travail.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 16.03.2026.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...