L'entreprise peut-elle nommer un référent RGPD dédié aux télétravailleurs frontaliers ?
Réponse courte
Il est possible de désigner un référent RGPD pour les télétravailleurs frontaliers dans une entreprise luxembourgeoise. Cette désignation peut concerner un salarié frontalier, un salarié résidant au Luxembourg ou une personne externe, à condition que le référent dispose de l’expertise, de l’indépendance et des moyens nécessaires pour exercer ses missions, comme précisé dans la fiche sur règles de protection des données en télétravail frontalier.
La désignation doit être formalisée par écrit, notifiée à la CNPD, et le référent doit être facilement joignable, y compris en cas de télétravail transfrontalier. Il est recommandé de désigner un référent unique pour l’ensemble des salariés, mais un référent dédié aux problématiques du télétravail transfrontalier peut également être nommé en complément, sous réserve de coordination avec le DPO principal.
Définition
Le référent RGPD, également appelé délégué à la protection des données (DPO), est la personne désignée par un responsable de traitement ou un sous-traitant pour veiller au respect des obligations relatives à la protection des données à caractère personnel au sein de l’entreprise. Au Luxembourg, la désignation d’un DPO est obligatoire dans certains cas prévus par la loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD) et du règlement (UE) 2016/679, mais la fonction peut également être instaurée à titre volontaire. La désignation d’un référent RGPD pour les télétravailleurs frontaliers vise à garantir la conformité des traitements de données réalisés dans le cadre du télétravail transfrontalier, comme précisé dans la fiche sur information de la CNPD en cas de télétravail transfrontalier.
Conditions d’exercice
La désignation d’un référent RGPD pour les télétravailleurs frontaliers est possible dès lors que l’entreprise luxembourgeoise demeure responsable du traitement des données à caractère personnel, indépendamment du lieu d’exécution du travail. Le référent RGPD doit disposer de l’expertise juridique et technique requise, d’une indépendance fonctionnelle et de moyens suffisants pour exercer ses missions. Il n’existe aucune restriction légale quant à la nationalité ou au lieu de résidence du référent RGPD, pourvu que celui-ci soit en mesure d’exercer effectivement ses fonctions pour l’entité luxembourgeoise. La désignation peut porter sur un salarié frontalier, un salarié résidant au Luxembourg, ou une personne externe, sous réserve du respect des exigences de compétence et d’indépendance.
Modalités pratiques
La désignation d’un référent RGPD pour les télétravailleurs frontaliers doit être formalisée par un acte écrit précisant les missions, les moyens alloués et la position hiérarchique du référent.
| Élément | Détail |
|---|---|
| L’entreprise doit notifier | L’entreprise doit notifier la désignation à la CNPD via le formulaire prévu à cet effet. |
| Référent doit être | Le référent doit être facilement joignable par les personnes concernées et par la CNPD, y compris en cas de télétravail transfrontalier. |
| L’entreprise doit s’assurer | L’entreprise doit s’assurer que le référent dispose d’un accès sécurisé aux systèmes d’information et aux données traitées par les télétravailleurs frontaliers. |
| Confidentialité et l’intégrité | La confidentialité et l’intégrité des données doivent être garanties, notamment par des procédures internes adaptées au télétravail. |
Pratiques et recommandations
Il est recommandé de désigner un référent RGPD unique pour l’ensemble des salariés, y compris les télétravailleurs frontaliers, afin d’assurer une cohérence dans la gestion des obligations de protection des données. Toutefois, un référent dédié aux problématiques du télétravail transfrontalier peut être désigné en complément, sous réserve de la coordination avec le DPO principal. L’entreprise doit veiller à la formation continue du référent RGPD sur les spécificités du télétravail et des flux transfrontaliers de données. Il est conseillé de documenter les procédures applicables aux télétravailleurs frontaliers et de sensibiliser ces derniers aux bonnes pratiques en matière de protection des données.
Cadre juridique
La désignation et les missions du référent RGPD sont encadrées par la loi modifiée du 1er août 2018 portant organisation de la CNPD et du régime général sur la protection des données, ainsi que par le règlement (UE) 2016/679, tel qu’appliqué au Luxembourg. Les obligations de l’employeur en matière de protection des données dans le contexte du télétravail sont précisées par la loi du 17 mars 2021 sur le télétravail, qui impose notamment la préservation de la sécurité et de la confidentialité des données traitées à distance. La CNPD a publié des lignes directrices spécifiques sur la désignation et le rôle du DPO, applicables à toutes les entreprises établies au Luxembourg.
Note
La désignation d’un référent RGPD pour les télétravailleurs frontaliers ne dispense pas l’employeur luxembourgeois de sa responsabilité pleine et entière en matière de protection des données. Il est impératif de s’assurer que les outils, procédures et formations couvrent les risques spécifiques liés au télétravail transfrontalier, notamment en matière d’accès distant, de sécurité des réseaux et de gestion des incidents.