← Article précédent
Télécharger en PDF
Article suivant →

Quelles sont les obligations RH lors de la refonte d’un SIRH stratégique ?

Réponse courte

Les obligations RH lors de la refonte d’un SIRH stratégique au Luxembourg en 2025 incluent le respect des règles de protection des données personnelles (loi du 1er août 2018 et RGPD), l’information et la consultation préalable de la délégation du personnel en cas de modifications substantielles, ainsi que la garantie de l’égalité de traitement entre les salariés. L’employeur doit réaliser une analyse d’impact sur la protection des données si le projet présente un risque élevé, informer individuellement chaque salarié sur le traitement de ses données, et documenter toutes les démarches.

Il est également obligatoire de mettre à jour le registre des activités de traitement, d’assurer la traçabilité des opérations, de formaliser la consultation de la délégation du personnel par un procès-verbal, et de conclure un contrat écrit conforme avec tout sous-traitant. En cas d’introduction de dispositifs de surveillance ou d’évaluation automatisée, une déclaration préalable à la CNPD peut être requise.

Le non-respect de ces obligations expose l’employeur à des sanctions administratives, à des actions en justice et à la nullité des traitements concernés. Il est donc impératif de documenter chaque étape, de garantir la traçabilité des décisions et de veiller à la conformité de tous les intervenants au droit luxembourgeois.

Définition

La refonte d’un Système d’Information des Ressources Humaines (SIRH) désigne l’ensemble des opérations visant à modifier de façon significative l’architecture, les fonctionnalités ou les processus d’un outil informatique centralisant la gestion des données RH. Cette démarche peut inclure la migration de données, l’intégration de nouveaux modules ou la transformation des processus de gestion du personnel.

Au Luxembourg, une telle refonte implique des obligations spécifiques en matière de protection des données à caractère personnel, d’information et de consultation des représentants du personnel, ainsi que de respect des droits individuels des salariés.

Conditions d’exercice

La refonte d’un SIRH doit être conduite dans le respect des principes de loyauté, de transparence et de proportionnalité dans le traitement des données à caractère personnel, conformément à la loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel et au Règlement (UE) 2016/679 (RGPD), transposé dans le droit luxembourgeois.

Toute modification substantielle du SIRH susceptible d’impacter les conditions de travail, la surveillance, l’évaluation ou la gestion des salariés doit faire l’objet d’une information et, le cas échéant, d’une consultation préalable de la délégation du personnel, conformément aux articles L.414-3 et L.414-4 du Code du travail luxembourgeois.

L’égalité de traitement entre les salariés doit être garantie lors de la refonte, notamment en ce qui concerne l’accès, l’utilisation et la gestion des données personnelles, conformément à l’article L.261-1 du Code du travail.

Modalités pratiques

Avant toute refonte, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD) si le nouveau SIRH est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette analyse doit être documentée, conservée et, le cas échéant, communiquée à la Commission nationale pour la protection des données (CNPD).

L’employeur doit informer individuellement chaque salarié de la nature des données collectées, des finalités du traitement, des destinataires, de la durée de conservation, ainsi que des droits d’accès, de rectification, d’opposition et d’effacement. Cette information doit être claire, accessible et actualisée, conformément à l’article 13 du RGPD et à la loi du 1er août 2018.

Si la refonte implique l’introduction de dispositifs de surveillance ou d’évaluation automatisée, une déclaration préalable à la CNPD peut être requise. La consultation de la délégation du personnel doit porter sur les conséquences sociales, organisationnelles et techniques du projet, et être formalisée par un procès-verbal, conformément à l’article L.414-3 du Code du travail.

La traçabilité des opérations, la documentation des traitements et la mise à jour du registre des activités de traitement sont obligatoires. Toute sous-traitance liée au SIRH doit faire l’objet d’un contrat écrit conforme à l’article 28 du RGPD et à l’article 28 de la loi du 1er août 2018, précisant les obligations du sous-traitant en matière de sécurité, de confidentialité et de respect des droits des personnes concernées.

Pratiques et recommandations

Il est recommandé d’associer la délégation du personnel dès la phase de conception du projet afin d’anticiper les éventuelles objections et de sécuriser la procédure. L’employeur doit veiller à la minimisation des données traitées et à la limitation des accès aux seules personnes habilitées, conformément au principe d’intégrité et de confidentialité.

La documentation des traitements, des mesures de sécurité et des consultations menées doit être rigoureuse afin de pouvoir justifier à tout moment du respect des obligations légales. Il est conseillé de former les utilisateurs internes au nouveau SIRH, de mettre à jour le registre des activités de traitement et de prévoir un encadrement humain pour toute prise de décision automatisée, conformément à l’article 22 du RGPD.

En cas de recours à un prestataire externe, il convient de vérifier la conformité de ce dernier au droit luxembourgeois et de s’assurer de la traçabilité des opérations réalisées sur les données RH. L’égalité de traitement et la non-discrimination doivent être garanties tout au long du processus.

Cadre juridique

  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
  • Règlement (UE) 2016/679 (RGPD), transposé dans le droit luxembourgeois
  • Code du travail luxembourgeois :
    • Article L.414-3 (information et consultation de la délégation du personnel)
    • Article L.414-4 (modalités de consultation)
    • Article L.261-1 (égalité de traitement)
  • Article 28 du RGPD (sous-traitance)
  • Article 28 de la loi du 1er août 2018 (sous-traitance)
  • Article 13 du RGPD (information des personnes concernées)
  • Article 22 du RGPD (décision automatisée)
  • Jurisprudence nationale sur la protection des données et la consultation des représentants du personnel

Note

Le non-respect des obligations d’information, de consultation ou de protection des données lors de la refonte d’un SIRH expose l’employeur à des sanctions administratives de la CNPD, à des actions en justice de la part des salariés ou de la délégation du personnel, ainsi qu’à la nullité des traitements litigieux. Il est impératif de documenter chaque étape du projet, de garantir la traçabilité des décisions et de solliciter, si nécessaire, un avis juridique spécialisé.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...