Peut-on externaliser l’archivage des documents RH ?
Réponse courte
L’archivage des documents RH peut être externalisé par l’employeur, à condition de respecter les obligations légales en matière de confidentialité, de protection des données personnelles et de disponibilité des documents pour les autorités compétentes. L’employeur reste pleinement responsable de la conservation, de l’intégrité, de la sécurité et de l’accessibilité des documents, même en cas d’externalisation.
Un contrat écrit avec le prestataire est obligatoire, précisant les modalités de conservation, de sécurité, d’accès et de restitution, ainsi que les obligations de confidentialité. Si des données personnelles sont concernées, un accord de sous-traitance conforme à la législation doit être établi, et les salariés doivent être informés de l’externalisation. Les documents doivent rester accessibles sans délai, notamment en cas de contrôle.
Il est recommandé de choisir un prestataire expérimenté et certifié, de réaliser une analyse d’impact sur la protection des données si nécessaire, et de prévoir des audits réguliers. L’employeur doit également garantir la réversibilité du service et s’assurer que les documents restent localisables dans un pays offrant un niveau de protection des données équivalent à celui du Luxembourg.
Définition
L’externalisation de l’archivage des documents RH consiste, pour un employeur, à confier à un prestataire externe la conservation, la gestion et la sécurisation des documents relatifs à la gestion du personnel. Ces documents incluent notamment les contrats de travail, avenants, bulletins de salaire, dossiers disciplinaires, attestations, certificats médicaux, documents relatifs à la sécurité sociale et à la fiscalité, ainsi que tout document exigé par la législation du travail luxembourgeoise.
Conditions d’exercice
L’employeur peut externaliser l’archivage des documents RH sous réserve du respect des obligations légales en matière de confidentialité, de protection des données à caractère personnel et de disponibilité des documents en cas de contrôle par les autorités compétentes. L’externalisation ne dégage pas l’employeur de sa responsabilité légale quant à la conservation, l’intégrité, la sécurité et l’accessibilité des documents. Le prestataire doit offrir des garanties suffisantes en matière de sécurité, de confidentialité et de conformité aux exigences du Code du travail et de la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
Modalités pratiques
Avant toute externalisation, l’employeur doit conclure un contrat écrit avec le prestataire, précisant les modalités de conservation, les mesures de sécurité, les délais de conservation légaux, les modalités d’accès et de restitution des documents, ainsi que les obligations du prestataire en matière de confidentialité et de protection des données. Si l’archivage concerne des données à caractère personnel, un accord de sous-traitance conforme à l’article 28 de la loi précitée doit être établi. L’employeur doit également informer les salariés de l’existence de cette externalisation, notamment dans le cadre de l’information sur le traitement de leurs données personnelles. Les documents doivent rester accessibles sans délai indu, y compris en cas de contrôle de l’Inspection du travail et des mines (ITM), de l’Administration des contributions directes ou de la Caisse nationale de santé.
Pratiques et recommandations
Il est recommandé de sélectionner un prestataire disposant d’une expérience avérée dans la gestion documentaire et d’une certification reconnue en matière de sécurité de l’information (par exemple, ISO 27001). L’employeur doit procéder à une analyse d’impact relative à la protection des données (DPIA) si l’archivage externalisé présente des risques élevés pour les droits et libertés des personnes concernées. Il convient de prévoir des audits réguliers du prestataire et de s’assurer que les documents archivés restent localisables sur le territoire luxembourgeois ou, à défaut, dans un pays offrant un niveau de protection des données équivalent à celui du Luxembourg. L’employeur doit également veiller à la réversibilité du service afin de garantir la restitution intégrale des documents en cas de changement de prestataire ou de cessation de la relation contractuelle.
Cadre juridique
L’externalisation de l’archivage des documents RH est encadrée par le Code du travail, notamment les articles L.121-6 et suivants relatifs à la tenue et à la conservation des documents sociaux, ainsi que par la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel. L’article 28 de cette loi impose des obligations spécifiques en matière de sous-traitance du traitement des données. L’obligation de conservation des documents sociaux varie selon leur nature (par exemple, 5 ans pour les bulletins de salaire, 10 ans pour les documents comptables). L’Inspection du travail et des mines, l’Administration des contributions directes et la Caisse nationale de santé peuvent exiger la présentation immédiate de ces documents, quel que soit leur mode d’archivage.
Note
L’externalisation ne doit jamais compromettre la confidentialité, l’intégrité et la disponibilité des documents RH. L’employeur demeure seul responsable devant les autorités en cas de manquement, de perte ou de divulgation non autorisée des documents, même si ceux-ci sont confiés à un prestataire externe. Il est donc essentiel de formaliser contractuellement toutes les garanties nécessaires et de contrôler régulièrement le respect des obligations par le prestataire.