← Article précédent
Télécharger en PDF
Article suivant →

L’employeur luxembourgeois doit-il tenir un registre des traitements RH au sens du RGPD ?

Réponse courte

Oui, tout employeur luxembourgeois doit tenir un registre des traitements RH au sens du RGPD, quelle que soit la taille de l’entreprise. L’exemption pour les structures de moins de 250 salariés ne s’applique pas dans le domaine RH, car la gestion du personnel implique systématiquement le traitement de données sensibles ou non occasionnelles.

Ce registre doit être régulièrement mis à jour, comporter toutes les informations requises par le RGPD et la loi luxembourgeoise, et être mis à disposition de la CNPD sur simple demande. L’absence de registre constitue une violation du RGPD et expose l’employeur à des sanctions.

Définition

Le registre des activités de traitement est un document obligatoire qui recense de façon détaillée l’ensemble des traitements de données à caractère personnel effectués par un responsable de traitement ou son sous-traitant. Dans le domaine des ressources humaines, ce registre vise à documenter toutes les opérations portant sur les données des salariés, telles que la collecte, la conservation, la consultation, la transmission ou la suppression de ces données dans le cadre de la gestion du personnel.

Ce registre permet d’assurer la traçabilité des traitements et de démontrer la conformité de l’employeur aux exigences du RGPD et du droit luxembourgeois en matière de protection des données à caractère personnel.

Conditions d’exercice

Au Luxembourg, tout employeur agissant en qualité de responsable de traitement est soumis à l’obligation de tenir un registre des traitements RH, conformément à l’article 30 du RGPD et à la loi du 1er août 2018. L’exemption prévue pour les entreprises de moins de 250 salariés ne s’applique pas lorsque les traitements réalisés ne sont pas occasionnels, portent sur des catégories particulières de données (article 9 du RGPD) ou présentent un risque pour les droits et libertés des personnes concernées.

En pratique, la gestion RH implique systématiquement le traitement de données sensibles (santé, affiliations syndicales, données relatives à la vie professionnelle), ce qui rend l’exemption inapplicable dans la quasi-totalité des cas. Ainsi, tout employeur luxembourgeois traitant des données RH doit établir et maintenir ce registre, quelle que soit la taille de l’entreprise.

Modalités pratiques

Le registre doit être tenu par écrit, sous format papier ou électronique, et mis à disposition de la Commission nationale pour la protection des données (CNPD) sur simple demande. Il doit comporter, pour chaque traitement RH, les informations suivantes :

  • Nom et coordonnées du responsable de traitement et, le cas échéant, du délégué à la protection des données.
  • Finalités du traitement.
  • Description des catégories de personnes concernées et des catégories de données traitées.
  • Catégories de destinataires auxquels les données ont été ou seront communiquées.
  • Transferts éventuels de données vers des pays tiers ou organisations internationales.
  • Délais prévus pour l’effacement des différentes catégories de données.
  • Description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.

La mise à jour du registre doit être régulière, notamment lors de la création, modification ou suppression d’un traitement RH. Il est essentiel de garantir la traçabilité des modifications et de conserver l’historique des versions du registre.

Pratiques et recommandations

Il est recommandé de centraliser la gestion du registre auprès du service RH, en collaboration avec le délégué à la protection des données (DPO) lorsqu’il existe. L’identification précise de chaque traitement RH (recrutement, gestion des contrats, paie, formation, évaluation, etc.) facilite la conformité et la réactivité en cas de contrôle de la CNPD.

La documentation des mesures de sécurité et des procédures internes doit être suffisamment détaillée pour démontrer la conformité aux exigences du RGPD. Une revue annuelle du registre est conseillée afin de garantir son actualisation et sa pertinence. Il est également recommandé de sensibiliser les personnes ayant accès au registre à la confidentialité et à la protection des données.

Cadre juridique

  • Article 30 du Règlement (UE) 2016/679 (RGPD)
  • Article 9 du Règlement (UE) 2016/679 (données sensibles)
  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
  • Code du travail luxembourgeois, notamment articles L.261-1 et suivants (protection des données dans la relation de travail)
  • Contrôle et sanctions : Commission nationale pour la protection des données (CNPD)

Note

L’absence de registre des traitements RH constitue une violation caractérisée du RGPD et expose l’employeur à des sanctions administratives de la CNPD, indépendamment de la taille de l’entreprise. Il est impératif de documenter l’ensemble des traitements RH, même pour les structures de moins de 250 salariés, dès lors que des données sensibles sont traitées. L’égalité de traitement, la traçabilité des opérations et l’encadrement humain des traitements automatisés doivent être garantis à chaque étape.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 29.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...