← Article précédent
Télécharger en PDF
Article suivant →

L’usage de personas RH est-il compatible avec la réglementation CNPD ?

Réponse courte

L’usage de personas RH est compatible avec la réglementation CNPD, à condition de respecter les principes fondamentaux de protection des données, notamment la licéité, la transparence, la minimisation, la limitation des finalités et la sécurité. Les données utilisées doivent être anonymisées ou, à défaut, pseudonymisées pour empêcher toute identification directe ou indirecte des personnes concernées.

L’employeur doit informer les salariés, limiter l’accès aux données, documenter les processus et, si le traitement présente un risque élevé, réaliser une analyse d’impact. L’utilisation de données sensibles est strictement encadrée et nécessite des mesures de sécurité renforcées. Toute évolution du traitement doit être réévaluée pour garantir la conformité continue avec la CNPD.

Définition

Un persona RH est un profil fictif construit à partir de données agrégées et anonymisées, représentant un segment de salariés ou de candidats dans le cadre de la gestion des ressources humaines. Cette méthode vise à optimiser des processus tels que le recrutement, la formation ou la communication interne, en s’appuyant sur des caractéristiques types (âge, parcours professionnel, compétences, attentes).

L’élaboration de personas implique le traitement de données relatives à des personnes physiques, ce qui relève du champ d’application du Code du travail luxembourgeois et de la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

Conditions d’exercice

La création et l’utilisation de personas RH sont permises sous réserve du respect des principes fondamentaux du traitement des données à caractère personnel, tels que la licéité, la loyauté, la transparence, la minimisation, la limitation des finalités et la sécurité.

Les données utilisées doivent être anonymisées ou, à défaut, pseudonymisées de façon à empêcher toute identification directe ou indirecte des personnes concernées. L’employeur doit s’assurer que la finalité poursuivie est déterminée, explicite et légitime, conformément à l’article 5 de la loi du 1er août 2018 et à l’article L.261-1 du Code du travail.

L’utilisation de données sensibles (origine raciale, opinions, santé, etc.) est strictement encadrée par l’article 9 de la loi précitée et nécessite une justification spécifique, ainsi que la mise en œuvre de mesures de sécurité renforcées.

Modalités pratiques

Avant la mise en œuvre de personas RH, l’employeur doit évaluer si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Si tel est le cas, une analyse d’impact relative à la protection des données (AIPD) doit être réalisée, documentée et conservée à disposition de la CNPD (article 35 du RGPD, applicable via la loi du 1er août 2018).

Les données doivent provenir de sources internes légitimes (dossiers du personnel, enquêtes internes) et être traitées dans le respect du principe de minimisation (article 5, §1, c). L’accès aux personas et aux données sous-jacentes doit être strictement limité aux personnes habilitées, avec des mesures techniques et organisationnelles appropriées pour garantir la confidentialité et l’intégrité des informations.

L’information des salariés sur l’existence, la finalité et les modalités du traitement est obligatoire (articles 13 et 14 de la loi du 1er août 2018 et article L.261-1 du Code du travail).

Pratiques et recommandations

Il est recommandé de privilégier l’utilisation de données strictement anonymisées pour la constitution des personas, afin d’exclure tout risque de réidentification. L’employeur doit informer les salariés de l’existence de ce traitement, de ses finalités et de leurs droits, notamment d’accès, de rectification, d’opposition et d’effacement.

Toute évolution du périmètre ou de la finalité du traitement doit faire l’objet d’une réévaluation de la conformité et, le cas échéant, d’une nouvelle analyse d’impact. Il convient d’éviter l’utilisation de critères susceptibles de conduire à une discrimination directe ou indirecte, conformément à l’article L.241-1 du Code du travail.

La documentation des processus et des mesures de sécurité adoptées doit être rigoureuse afin de répondre à toute demande de la CNPD. L’encadrement humain du traitement et la traçabilité des accès sont également des obligations implicites à respecter.

Cadre juridique

  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (articles 5, 9, 13, 14, 32, 35)
  • Code du travail luxembourgeois (articles L.261-1, L.241-1)
  • Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg
  • Recommandations et décisions de la CNPD

Note

L’utilisation de personas RH ne doit jamais permettre, même indirectement, l’identification d’un salarié ou d’un candidat. Toute dérive vers la constitution de profils individuels ou la prise de décisions automatisées fondées sur des données non anonymisées expose l’employeur à des risques juridiques importants, notamment en matière de discrimination et de protection des données. Il est fortement conseillé de consulter le délégué à la protection des données (DPO) avant toute mise en œuvre.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 17.09.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...