Les données de pointage hébergées dans un cloud public sont-elles soumises à des obligations spécifiques au Luxembourg ?
Réponse courte
Oui, l'hébergement des données de pointage dans un cloud public est soumis à des obligations spécifiques résultant du RGPD et de la loi du 1er août 2018. Le prestataire cloud agit en qualité de sous-traitant au sens de l'article 28 du RGPD, ce qui impose la signature d'un contrat de sous-traitance détaillant les obligations de chaque partie en matière de protection des données.
L'employeur reste le responsable du traitement conformément à la base légale du pointage et doit s'assurer que le prestataire cloud garantit un niveau de sécurité adéquat, que les données sont hébergées dans l'Union européenne (ou que les transferts hors UE sont conformes au chapitre V du RGPD), et que les droits des salariés (accès, rectification, effacement) peuvent être exercés effectivement. La CNPD peut contrôler la conformité de ces arrangements.
Définition
Le cloud public est un modèle d'hébergement informatique dans lequel les ressources (serveurs, stockage, applications) sont partagées entre plusieurs clients et gérées par un prestataire tiers. Dans le contexte du pointage, le cloud public héberge les données horaires de la obligation de pointage, les identifiants des salariés et les journaux de badgeage sur des infrastructures mutualisées.
La relation entre l'employeur et le prestataire cloud constitue une relation de responsable du traitement à sous-traitant, régie par l'article 28 du RGPD. L'employeur conserve la responsabilité juridique des données, tandis que le prestataire les traite selon ses instructions documentées.
Conditions d’exercice
L'hébergement des données de pointage en cloud public est soumis aux conditions suivantes.
| Condition | Détail |
|---|---|
| Contrat de sous-traitance | Contrat conforme à l'article 28 du RGPD entre l'employeur et le prestataire cloud |
| Localisation des données | Hébergement dans l'UE ou garanties conformes au chapitre V du RGPD pour les transferts hors UE |
| Sécurité | Mesures techniques et organisationnelles conformes à l'article 32 du RGPD (chiffrement, contrôle d'accès, redondance) |
| Sous-traitance ultérieure | Encadrement contractuel du recours par le prestataire à ses propres sous-traitants |
| Droit d'audit | Droit de l'employeur d'auditer les pratiques du prestataire ou de mandater un tiers |
| Notification de violation | Le prestataire notifie l'employeur sans délai en cas de violation de données |
| Réversibilité | Possibilité de récupérer les données dans un format exploitable en fin de contrat |
Modalités pratiques
La mise en conformité de l'hébergement cloud des données de pointage implique les démarches suivantes.
| Démarche | Description |
|---|---|
| Évaluation du prestataire | Vérifier les certifications (ISO 27001, SOC 2, HDS), la localisation des data centers et la politique de sécurité |
| Contrat de sous-traitance | Négocier et signer un contrat conforme à l'article 28 du RGPD, annexé au contrat commercial |
| Registre des traitements | Inscrire l'hébergement cloud dans le registre des activités de traitement |
| Information des salariés | Mentionner l'hébergement cloud dans l'information RGPD remise aux salariés |
| Plan de continuité | Vérifier les garanties de disponibilité et les procédures de sauvegarde du prestataire |
| Tests de réversibilité | Tester régulièrement la capacité de rapatrier les données depuis le cloud |
Pratiques et recommandations
Privilégier un prestataire cloud disposant de data centers dans l'Union européenne, idéalement au Luxembourg, pour simplifier la conformité et réduire les risques liés aux transferts internationaux.
Exiger des certifications de sécurité reconnues et les vérifier annuellement.
Chiffrer les données de pointage avant leur transfert vers le cloud et conserver les clés de chiffrement sous le contrôle exclusif de l'employeur. Cette mesure garantit que le prestataire ne peut pas accéder aux données en clair et protège contre les accès non autorisés, y compris les demandes d'autorités étrangères.
Négocier des clauses de notification rapide en cas de violation de données, de coopération avec la CNPD et de restitution intégrale des données en fin de contrat. Le contrat doit prévoir la suppression certifiée des données par le prestataire après restitution.
Cadre juridique
| Référence | Objet |
|---|---|
| Article 28 du RGPD | Obligations du sous-traitant, contenu du contrat de sous-traitance |
| Article 32 du RGPD | Mesures de sécurité du traitement |
| Articles 44 à 49 du RGPD | Transferts de données vers des pays tiers |
| Article 33 du RGPD | Notification des violations de données dans les 72 heures à la CNPD |
| Art. L.261-1 du Code du travail | Encadrement de la surveillance des salariés |
| Loi du 1er août 2018 | Protection des données à caractère personnel en droit luxembourgeois |
| CNPD | Autorité de contrôle compétente |
Note
Le recours au cloud public pour les données de pointage est une pratique courante et licite, à condition de respecter les obligations de sous-traitance du RGPD. L'employeur ne peut pas déléguer sa responsabilité de responsable du traitement au prestataire cloud : en cas de violation, c'est l'employeur qui est en première ligne devant la CNPD et les salariés.