Quelles sont les exigences légales autour de la confidentialité des KPI RH ?

Réponse courte

Les exigences légales autour de la confidentialité des KPI RH au Luxembourg imposent que toute donnée permettant d’identifier un salarié, directement ou indirectement, soit traitée comme une donnée à caractère personnel. L’employeur doit respecter les principes de licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité. L’accès aux KPI RH doit être strictement limité aux personnes habilitées, et toute transmission à des tiers doit reposer sur une base légale ou contractuelle explicite.

L’employeur doit mettre en place des mesures techniques et organisationnelles appropriées (gestion des accès, chiffrement, traçabilité, procédures formalisées) et informer les salariés sur la collecte et le traitement de leurs données. En cas de sous-traitance, un contrat écrit conforme à la loi doit encadrer la confidentialité. Les traitements doivent être documentés, un registre tenu, et toute violation de la confidentialité notifiée à la CNPD si nécessaire.

Le cadre juridique applicable comprend le Code du travail luxembourgeois, la loi modifiée du 1er août 2018 sur la protection des données, le RGPD, ainsi que les recommandations de la CNPD. La non-conformité expose l’employeur à des sanctions administratives, pénales et civiles.

Définition

Les Key Performance Indicators (KPI) RH sont des indicateurs utilisés par les services des ressources humaines pour mesurer la performance, la gestion du personnel, l’absentéisme, la formation, la diversité ou la rotation du personnel. Lorsque ces indicateurs permettent d’identifier, directement ou indirectement, une personne physique, ils constituent des données à caractère personnel au sens du Code du travail luxembourgeois et de la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Les KPI RH peuvent inclure des informations sensibles, telles que des données relatives à la santé, à l’origine ethnique ou à l’appartenance syndicale, qui bénéficient d’une protection renforcée. La confidentialité de ces données est une obligation légale pour l’employeur et toute personne ayant accès à ces informations.

Conditions d’exercice

La collecte, le traitement, la conservation et la communication des KPI RH contenant des données personnelles doivent respecter les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité. L’accès aux KPI RH doit être strictement limité aux personnes habilitées, en fonction de leurs missions et du principe du besoin d’en connaître.

Toute transmission ou mise à disposition de KPI RH à des tiers, internes ou externes à l’entreprise, doit reposer sur une base légale ou contractuelle explicite, et respecter le principe de proportionnalité. Les salariés doivent être informés de la collecte et du traitement de leurs données, conformément à l’article L.261-1 du Code du travail. Les KPI anonymisés, ne permettant plus d’identifier des salariés, échappent à ces restrictions, sous réserve que l’anonymisation soit effective et irréversible.

Modalités pratiques

L’employeur doit mettre en place des mesures techniques et organisationnelles appropriées pour garantir la confidentialité des KPI RH, telles que :

Gestion des droits d’accès et authentification renforcée
Traçabilité des consultations et des modifications
Chiffrement des fichiers et des transmissions
Stockage sur des supports sécurisés, avec accès restreints et contrôlés
Procédures formalisées pour l’extraction, l’exportation ou la communication des indicateurs
Information préalable des personnes concernées lorsque la nature des données le requiert

En cas de sous-traitance, un contrat écrit conforme à l’article 28 de la loi du 1er août 2018 doit encadrer la confidentialité et la sécurité des données. Les responsables RH doivent veiller à la documentation des traitements et à la tenue d’un registre des activités de traitement.

Pratiques et recommandations

Il est recommandé de :

Réaliser une cartographie des KPI RH traités et d’identifier leur caractère personnel ou non
Documenter les mesures de confidentialité appliquées et les procédures internes
Auditer et réévaluer régulièrement les accès aux KPI RH
Sensibiliser et former les utilisateurs à la confidentialité et à la sécurité des données
Privilégier l’anonymisation ou la pseudonymisation des KPI lorsque l’identification individuelle n’est pas nécessaire
Documenter toute violation de la confidentialité et, le cas échéant, notifier la CNPD dans les délais légaux
Assurer la traçabilité des accès et des traitements pour garantir la responsabilité et la transparence

Cadre juridique

Les exigences en matière de confidentialité des KPI RH reposent principalement sur :

Code du travail luxembourgeois :
- Article L.261-1 et suivants (protection de la vie privée des salariés, traitement des données à caractère personnel)
- Article L.121-6 (égalité de traitement et non-discrimination)
- Article L.414-3 (consultation du personnel sur les questions touchant à la vie privée)
Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (articles 5, 6, 28, 32)
Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg
Recommandations et décisions de la Commission nationale pour la protection des données (CNPD)

Note

La divulgation non autorisée de KPI RH contenant des données personnelles expose l’employeur à des sanctions administratives et pénales, ainsi qu’à des actions en responsabilité civile. Il est impératif de vérifier régulièrement la conformité des pratiques internes, de mettre à jour les politiques de confidentialité et de garantir l’encadrement humain des traitements automatisés, conformément au droit luxembourgeois.