Une entreprise peut-elle contractualiser la mise en place d’un dashboard RH ?

Réponse courte

Une entreprise luxembourgeoise peut contractualiser la mise en place d’un dashboard RH, soit avec un prestataire externe via un contrat de prestation de services, soit en interne par des accords formalisés. Cette contractualisation doit préciser la nature des données traitées, les finalités, les modalités d’accès, de conservation, de suppression, ainsi que les mesures de sécurité et de conformité au RGPD et à la législation luxembourgeoise.

La contractualisation est possible à condition de respecter les obligations légales, notamment la protection des données personnelles, l’égalité de traitement, la consultation de la délégation du personnel et la traçabilité des traitements automatisés. L’employeur doit également informer et consulter la délégation du personnel si le dashboard impacte l’organisation ou la surveillance des salariés.

Définition

Un dashboard RH, ou tableau de bord des ressources humaines, est un outil numérique ou manuel permettant de collecter, visualiser et analyser des données relatives à la gestion du personnel, telles que les effectifs, l’absentéisme, la formation ou la performance. Il s’agit d’un instrument de pilotage interne destiné à faciliter la prise de décision et le suivi des indicateurs RH.

La contractualisation de la mise en place d’un dashboard RH consiste à formaliser, par écrit, un accord entre l’employeur et un prestataire externe, ou à encadrer les modalités d’utilisation en interne, notamment en ce qui concerne la conception, le déploiement, l’accès et l’utilisation du dashboard.

Conditions d’exercice

La mise en place d’un dashboard RH peut être contractualisée par une entreprise luxembourgeoise à condition de respecter l’ensemble des obligations légales applicables. Cela inclut la protection des données à caractère personnel, l’égalité de traitement entre les salariés, la consultation des instances représentatives du personnel et la traçabilité des traitements automatisés.

L’entreprise doit s’assurer que les données traitées sont strictement nécessaires à la gestion des ressources humaines et que leur traitement respecte les principes de finalité, de proportionnalité, de sécurité et de transparence. Si le dashboard implique un traitement automatisé de données personnelles, la désignation d’un délégué à la protection des données (DPO) est obligatoire si l’entreprise répond aux critères prévus par la loi modifiée du 1er août 2018 et le RGPD.

Modalités pratiques

La contractualisation prend généralement la forme d’un contrat de prestation de services ou d’un avenant à un contrat existant avec un fournisseur de solutions RH. Ce contrat doit préciser :

La nature des données collectées et les finalités du traitement
Les modalités d’accès, de conservation et de suppression des données
Les mesures de sécurité et de confidentialité à mettre en œuvre
Les obligations du prestataire en matière de conformité au RGPD et à la législation luxembourgeoise
Les droits d’audit de l’employeur et les modalités de contrôle

Si le dashboard a un impact sur l’organisation, la gestion ou la surveillance du personnel, l’employeur doit informer et consulter la délégation du personnel conformément aux articles L.414-3 et L.414-4 du Code du travail. En cas de sous-traitance, le contrat doit comporter les clauses obligatoires prévues à l’article 28 du Règlement (UE) 2016/679, tel que transposé dans la législation luxembourgeoise.

Pratiques et recommandations

Il est recommandé de réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre du dashboard, en particulier si celui-ci traite des données sensibles ou permet une surveillance individualisée des salariés.

L’entreprise doit limiter l’accès au dashboard aux seules personnes habilitées et documenter l’ensemble des traitements dans le registre prévu à l’article 30 du RGPD. Il est conseillé d’associer la délégation du personnel dès la phase de conception afin d’anticiper d’éventuelles contestations et de garantir la transparence.

Des procédures doivent être prévues pour la gestion des droits d’accès, de rectification et d’effacement des données pour les salariés concernés, conformément aux articles 15 à 22 du RGPD et à l’article L.261-1 du Code du travail. Un encadrement humain doit être assuré pour tout traitement automatisé ayant un impact significatif sur les salariés.

Cadre juridique

Code du travail luxembourgeois :
- Article L.414-3 : Consultation obligatoire de la délégation du personnel en cas de modification de l’organisation, de l’introduction de nouveaux outils ou de surveillance.
- Article L.414-4 : Modalités de consultation et d’information de la délégation du personnel.
- Article L.261-1 : Protection des données à caractère personnel et information des salariés sur les traitements les concernant.
- Articles L.241-1 et suivants : Principe d’égalité de traitement entre les salariés.
Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
Règlement (UE) 2016/679 (RGPD) :
- Article 28 : Clauses obligatoires en cas de sous-traitance.
- Article 30 : Registre des activités de traitement.
- Articles 15 à 22 : Droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité).
Obligations complémentaires :
- Obligation de traçabilité des traitements automatisés.
- Encadrement humain pour tout traitement automatisé ayant un impact significatif sur les salariés.

Note

La contractualisation d’un dashboard RH n’exonère pas l’employeur de ses obligations légales en matière de protection des données, d’égalité de traitement et de consultation des instances représentatives du personnel. Toute violation de ces obligations expose l’entreprise à des sanctions administratives et pénales prononcées par la Commission nationale pour la protection des données ou l’Inspection du travail et des mines.