Comment appliquer le RGPD dans la gestion des dossiers RH selon la convention SAS ?
Réponse courte
L'application du RGPD dans la gestion des dossiers RH SAS nécessite le respect des principes fondamentaux : licéité, transparence, minimisation des données, exactitude, limitation de conservation. Les données d'évaluation, de formation, de temps de travail (RPM/PPM) et de classification doivent être traitées avec des finalités précises, des durées de conservation définies et des mesures de sécurité appropriées.
La CCT SAS 2025-2027 (applicable en 2025, 2026 et 2027) renforce ces exigences avec de nouveaux traitements — pécule de vacances de 42 points indiciaires (982,83€ pour un temps plein, valeur du point : 23,40072€) et prime unique de 3.670€ versée en juin 2025 — qui nécessitent une mise à jour des registres de traitement et des informations actualisées aux salariés. La CNPD luxembourgeoise est l'autorité de contrôle compétente.
Définition
Le RGPD (Règlement Général sur la Protection des Données) encadre le traitement des données personnelles des salariés dans le contexte RH. Dans le secteur SAS, ces données incluent les informations conventionnelles spécifiques : classifications, évaluations, formations, gestion du temps modulé, primes et avantages.
La CCT SAS 2025-2027 introduit de nouveaux traitements (calcul du pécule de vacances, gestion de la prime unique, suivi des revalorisations) qui doivent être conformes aux exigences RGPD.
Questions fréquentes
Conditions d’exercice
Les principes RGPD s'appliquent à l'ensemble des traitements de données RH, avec des obligations renforcées pour les données conventionnelles SAS introduites en 2025.
| Principe / Donnée | Exigence |
|---|---|
| Licéité | Base légale : convention collective, contrat de travail, obligations légales |
| Transparence | Information claire aux salariés sur les traitements |
| Minimisation | Collecte limitée aux données nécessaires |
| Exactitude | Maintien de données à jour et correctes |
| Limitation de conservation | Durées définies selon les finalités |
| Sécurité | Mesures techniques et organisationnelles appropriées |
| Classifications | Données professionnelles et évolutions de carrière |
| Évaluations | Données annuelles et critères de performance |
| Temps de travail | RPM, PPM, modulation des horaires |
| Formation | Participation, résultats, certifications |
| Primes | Pécule de vacances (42 points), prime unique (3.670€) |
Modalités pratiques
La mise en conformité RGPD-SAS repose sur trois axes : mise à jour du registre des traitements, information des salariés et sécurisation des données.
| Action | Détail |
|---|---|
| Registre des traitements | Documenter chaque traitement SAS : finalité, base légale, durée de conservation, destinataires |
| Conservation classifications | 5 ans après fin du contrat |
| Conservation évaluations | 3 ans après remplacement |
| Conservation formations | Durée de validité + 3 ans |
| Conservation RPM/PPM | 1 an après régularisation |
| Conservation primes | 5 ans (contrôles fiscaux et sociaux) |
| Notice d'information | Information aux salariés sur les traitements RH spécifiques SAS |
| Droits des personnes | Procédures d'accès, rectification, opposition |
| Accès restreint | Dossiers accessibles selon les fonctions |
| Chiffrement | Données sensibles (évaluations, sanctions) |
| Traçabilité | Accès et modifications consignés |
Pratiques et recommandations
Actualiser le registre des traitements avec les nouveautés SAS 2025 et former les équipes RH aux exigences RGPD sectorielles. Documenter les procédures de traitement des données et mettre en place des contrôles d'accès granulaires. Coordonner avec le DPO pour les nouveaux traitements liés au pécule de vacances et à la prime unique.
Cadre juridique
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Loi du 1er août 2018 | Protection des données au Luxembourg |
| CCT SAS 2025-2027 | Nouveaux traitements de données (pécule, prime unique) |
| Art. L.261-1 Code du travail | Traitement des données à caractère personnel dans les relations de travail |
| Recommandations CNPD | Lignes directrices sur les traitements employeur au Luxembourg |
Note
La non-conformité RGPD dans la gestion des dossiers RH peut entraîner des sanctions administratives importantes (jusqu'à 4% du chiffre d'affaires annuel mondial). Les nouveautés 2025 de la convention SAS doivent être intégrées dans la politique de protection des données et faire l'objet d'une information appropriée aux salariés. La transparence et la sécurité constituent les piliers d'une gestion RH respectueuse des droits des personnes.