Les données de pointage stockées dans le cloud sont-elles soumises à des règles spécifiques au Luxembourg ?
Réponse courte
Oui, le stockage des données de pointage dans le cloud est soumis aux règles du RGPD et de la loi du 1er août 2018, avec des exigences particulières liées au transfert de données et à la sécurité. L'employeur doit s'assurer que le prestataire cloud offre des garanties suffisantes de protection des données et que les serveurs sont localisés dans l'Espace économique européen ou dans un pays bénéficiant d'une décision d'adéquation.
Le recours au cloud pour les données de pointage impose la conclusion d'un contrat de sous-traitance conforme à l'article 28 du RGPD entre l'employeur et le fournisseur cloud. L'employeur reste le responsable du traitement et conserve l'obligation de garantir la disponibilité, l'intégrité et la confidentialité des données de pointage, y compris lors de leur présentation à l'ITM.
Définition
Le stockage cloud des données pointage désigne l'hébergement des enregistrements du temps de travail sur des serveurs distants gérés par un prestataire tiers, accessibles via Internet. Ce mode de stockage remplace ou complète le stockage local sur les serveurs de l'entreprise.
Le recours au cloud constitue un traitement de données impliquant un sous-traitant au sens du RGPD. L'employeur, en tant que responsable du traitement, doit encadrer contractuellement cette relation et vérifier que le prestataire respecte les exigences européennes et luxembourgeoises de protection des données.
Conditions d’exercice
Le stockage des données de pointage dans le cloud est encadré par des conditions strictes. Le tableau ci-dessous en résume les principales exigences.
| Condition | Détail |
|---|---|
| Localisation des serveurs | Hébergement dans l'EEE ou dans un pays bénéficiant d'une décision d'adéquation de la Commission européenne |
| Contrat de sous-traitance | Contrat conforme à l'article 28 du RGPD entre l'employeur et le prestataire cloud |
| Sécurité | Garanties techniques de chiffrement, sauvegarde et disponibilité des données |
| Accessibilité | Capacité de l'employeur à extraire et présenter les données à l'ITM à tout moment |
| Portabilité | Possibilité de récupérer l'intégralité des données en cas de changement de prestataire |
| Registre | Inscription du sous-traitant cloud dans le registre des activités de traitement |
Modalités pratiques
L'organisation du stockage cloud des données de pointage implique des mesures contractuelles et techniques. Le tableau suivant en présente les principaux aspects.
| Modalité | Contenu |
|---|---|
| Audit du prestataire | Vérification des certifications de sécurité du prestataire (ISO 27001, SOC 2) avant la contractualisation |
| Chiffrement | Chiffrement des données en transit et au repos, avec gestion des clés par l'employeur ou un tiers de confiance |
| Sauvegarde | Plan de sauvegarde régulière et procédure de restauration testée |
| Clause de réversibilité | Clause contractuelle garantissant la restitution complète des données en cas de résiliation |
| Notification d'incidents | Obligation du prestataire de notifier toute violation de données dans les délais contractuels |
Pratiques et recommandations
Vérifier la localisation géographique (information préalable) des serveurs du prestataire cloud et s'assurer qu'aucun transfert de données hors de l'EEE n'intervient sans garanties appropriées.
Exiger contractuellement un niveau de chiffrement conforme aux standards en vigueur, une procédure de notification d'incidents et un droit d'audit du prestataire par l'employeur ou un tiers mandaté.
Tester régulièrement la capacité d'extraction des données de pointage depuis le cloud, afin de garantir leur disponibilité immédiate en cas de contrôle de l'ITM ou de demande d'accès d'un salarié.
Prévoir un plan de continuité d'activité en cas d'indisponibilité du cloud, incluant un mode dégradé de pointage local sur les terminaux de l'entreprise.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD, art. 28 | Obligations du sous-traitant et contrat de sous-traitance |
| RGPD, art. 44 à 49 | Transferts de données vers des pays tiers |
| RGPD, art. 32 | Sécurité du traitement |
| Art. L.211-29 | Registre du temps de travail et mentions obligatoires |
| Art. L.261-1 | Information sur les moyens de surveillance |
| Loi du 1er août 2018 | Protection des données à caractère personnel |
| CNPD | Recommandations sur le cloud computing et la protection des données |
Note
L'employeur qui stocke les données de pointage dans le cloud ne peut pas se décharger de sa responsabilité de responsable du traitement en cas de violation de données ou d'indisponibilité du service. La CNPD peut sanctionner l'employeur si le prestataire cloud ne respecte pas les exigences du RGPD. L'ITM exige un accès immédiat aux données de pointage, ce qui impose une disponibilité permanente du service cloud.