Santé & sécurité

Protection des données personnelles des salariés (RGPD) au Luxembourg

Tout au long de la relation de travail — du recrutement au départ — l'employeur collecte et traite des données personnelles sur ses salariés. Ce traitement est soumis au RGPD et à l'article L.261-1 du Code du travail : l'employeur doit disposer d'une base légale valide, respecter des principes stricts de minimisation et de conservation, et garantir aux salariés l'exercice effectif de leurs droits. Cette fiche porte sur les données RH en général ; la surveillance des salariés (vidéo, géolocalisation, contrôle informatique) fait l'objet d'une fiche dédiée.

Base légale : art. L.261-1 Code du travail ; règlement (UE) 2016/679 (RGPD), art. 5-6-13 à 22 Mis à jour : juin 2026

1. Les bases légales applicables en contexte RH

L'article L.261-1, §1 du Code du travail impose que tout traitement de données personnelles dans le cadre de la relation de travail repose sur l'une des bases de licéité de l'article 6 du RGPD. En pratique, trois fondements couvrent la quasi-totalité des traitements RH :

  • Exécution du contrat de travail (art. 6-1-b RGPD) : traitement des données nécessaires à l'administration du contrat — rémunération, gestion des congés, évaluations, suivi des absences.
  • Respect d'une obligation légale (art. 6-1-c RGPD) : déclarations sociales à la CCSS, transmission à l'ADEM, tenue des registres imposés par la loi, visites médicales obligatoires.
  • Intérêt légitime de l'employeur (art. 6-1-f RGPD) : prévention des fraudes internes, sécurité du réseau informatique, gestion des accès — sous réserve que cet intérêt ne soit pas supplanté par les droits et libertés fondamentaux du salarié.
Le consentement du salarié n'est pas une base habituelle : En raison du lien de subordination, le salarié n'est pas en mesure de donner un consentement véritablement libre. La CNPD et le Comité européen de la protection des données (CEPD) écartent généralement ce fondement pour les traitements liés à l'exécution du contrat de travail. L'employeur qui s'appuie sur le consentement s'expose à ce que la base légale soit remise en question — notamment en cas de contentieux.

2. Les principes fondamentaux du RGPD appliqués aux RH

L'article 5 du RGPD pose six principes que l'employeur doit respecter pour chaque traitement de données RH :

Licéité, loyauté et transparence

Le salarié doit être informé des traitements qui le concernent, de leur finalité et de ses droits — au plus tard au moment de la collecte (art. 13 RGPD). Cette information est généralement intégrée au contrat de travail, au règlement intérieur ou dans une notice RGPD remise lors de l'embauche.

Limitation des finalités

Les données collectées pour une finalité précise ne peuvent pas être réutilisées à d'autres fins incompatibles. Des données de badgeage collectées pour le calcul du temps de travail ne peuvent pas, sans nouvelle base légale, être utilisées pour surveiller les déplacements du salarié.

Minimisation des données

Seules les données strictement nécessaires à la finalité déclarée peuvent être collectées. L'employeur ne peut pas constituer un dossier RH exhaustif par précaution : chaque donnée doit être justifiée par un besoin concret et actuel.

Exactitude

Les données doivent être tenues à jour. Un salarié qui change de situation familiale, d'adresse ou de RIB doit pouvoir faire corriger ses données sans difficulté.

Limitation de la conservation

Les données ne peuvent pas être conservées indéfiniment. Le RGPD n'impose pas de durée fixe : c'est à l'employeur de définir, pour chaque catégorie de données, une durée adaptée à la finalité (voir section 5).

Intégrité et confidentialité

L'employeur doit protéger les données contre les accès non autorisés, les pertes et les destructions. Les données sensibles (état de santé, situation de handicap) appellent des mesures de sécurité renforcées.

3. Le cycle de vie des données RH : ce qui est collecté et pourquoi

Au recrutement

L'employeur peut collecter les données nécessaires à l'évaluation des candidatures : CV, lettre de motivation, diplômes, références professionnelles. Il ne peut pas demander des informations sans lien avec le poste (situation familiale, état de santé, convictions religieuses ou politiques, etc.) — ces données constituent des catégories sensibles au sens de l'article 9 RGPD ou sont protégées par le principe de non-discrimination.

Candidats non retenus : Les données des candidats non recrutés doivent être supprimées à l'issue du processus de recrutement, dans un délai raisonnable. Elles peuvent être conservées plus longtemps uniquement si le candidat y consent expressément (ex. : intégration dans un vivier de talents).

Pendant l'exécution du contrat

Les données collectées tout au long de la relation de travail incluent notamment :

  • Données d'identification et de contact (nom, adresse, numéro de sécurité sociale, RIB).
  • Données de rémunération (salaire, primes, avantages en nature, historique des bulletins).
  • Données de gestion du temps (congés, absences, heures supplémentaires, badgeage).
  • Données de santé en lien avec les obligations légales (visites médicales obligatoires, arrêts de travail transmis à la CCSS) — traitées avec une protection renforcée.
  • Données d'évaluation (entretiens annuels, objectifs, progression de carrière).
  • Données de formation (diplômes, certifications, participations à des formations).

À la rupture du contrat

Lors du départ du salarié, l'employeur doit supprimer ou anonymiser les données qui ne sont plus nécessaires. Certaines données doivent toutefois être conservées pour satisfaire aux obligations légales (notamment sociales et fiscales) ou pour se prémunir contre d'éventuels contentieux prud'homaux dans les délais de prescription applicables.

4. Les droits des salariés sur leurs données personnelles

Chaque salarié dispose à tout moment des droits suivants à l'égard de son employeur, indépendamment de tout contentieux :

Droit d'accès (art. 15 RGPD)

Le salarié peut demander à obtenir la confirmation que des données le concernant sont traitées, et en recevoir une copie. Cela inclut le dossier RH, les évaluations, les données de badgeage, les historiques de formation, les bulletins de salaire.

Droit de rectification (art. 16 RGPD)

Le salarié peut faire corriger des données inexactes ou incomplètes : adresse erronée, situation familiale inexacte, données administratives incorrectes. L'employeur doit donner suite dans un délai d'un mois.

Droit à l'effacement (art. 17 RGPD)

Ce droit n'est pas absolu dans un contexte RH. Il ne s'applique pas lorsque la conservation des données est imposée par la loi (obligations comptables, sociales, fiscales) ou nécessaire à la constatation, à l'exercice ou à la défense de droits en justice. En dehors de ces hypothèses, le salarié peut demander la suppression de données devenues inutiles.

Droit à la limitation du traitement (art. 18 RGPD)

Le salarié peut demander la suspension temporaire d'un traitement lorsqu'il conteste l'exactitude des données, s'oppose au traitement ou que le traitement est illicite mais qu'il préfère la limitation à la suppression.

Droit d'opposition (art. 21 RGPD)

Le salarié peut s'opposer à un traitement fondé sur l'intérêt légitime de l'employeur, pour des raisons tenant à sa situation particulière. L'employeur peut toutefois maintenir le traitement s'il justifie de motifs légitimes impérieux qui prévalent sur les intérêts du salarié.

Droit de réclamation auprès de la CNPD

Tout salarié peut saisir la Commission nationale pour la protection des données (CNPD) s'il estime que le traitement de ses données viole le RGPD. L'article L.261-1, §5 du Code du travail précise expressément qu'une telle réclamation ne peut constituer ni un motif grave ni un motif légitime de licenciement.

Délai de réponse de l'employeur : L'employeur dispose en principe d'un mois pour répondre à toute demande d'exercice des droits RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes, à condition d'en informer le salarié dans le premier mois.

5. La conservation des données : pas de durée légale générale

Le RGPD ne fixe pas de durée de conservation universelle pour les données RH. L'employeur doit définir, pour chaque catégorie de données, une durée justifiée par la finalité du traitement et les obligations légales applicables.

Catégorie de données Facteurs déterminants Références
Documents de paie et bulletins Obligations comptables et sociales ; délais de prescription prud'homaux Art. CSS-VI-426 ; délai de prescription applicable
Dossier du salarié actif Durée de la relation de travail + délai de prescription après départ Principe de minimisation (art. 5 RGPD)
Candidatures non retenues Délai raisonnable après le processus de recrutement Principe de limitation (art. 5-1-e RGPD)
Données de santé (arrêts, visites médicales) Strictement limitée à la finalité ; protection renforcée (art. 9 RGPD) Art. 9 RGPD + obligations CCSS
Données d'évaluation Durée de la relation de travail + période de contestation potentielle Finalité RH légitime
Documents comptables : La durée de conservation de 10 ans s'applique aux documents comptables au sens strict. Elle ne justifie pas de conserver l'ensemble des données RH pendant cette durée — seules les données nécessaires à la justification des écritures comptables sont concernées.

6. Les obligations légales de transmission à des tiers

La CCSS : une obligation mensuelle

L'employeur est tenu de transmettre mensuellement au Centre commun de la sécurité sociale (CCSS) les informations relatives aux assiettes cotisables, aux heures supplémentaires et aux périodes d'incapacité de travail (art. CSS-VI-426). Ces transmissions reposent sur une obligation légale au sens de l'art. 6-1-c RGPD : elles ne nécessitent pas le consentement du salarié et ne peuvent pas lui être refusées.

L'ADEM et le Ministre de l'Emploi

Certaines autorités publiques disposent, dans les limites strictement prévues par la loi, d'un accès aux données nécessaires à l'exercice de leurs missions légales — notamment pour vérifier l'éligibilité aux indemnités de chômage ou assurer le suivi des demandeurs d'emploi (art. L.621-3). Cet accès est encadré, authentifié et limité aux données strictement utiles.

Les organismes de sécurité sociale et de santé

Les données transmises au médecin du travail dans le cadre du suivi médical obligatoire sont soumises au secret médical et ne peuvent pas être communiquées à l'employeur sous forme nominative sans le consentement du salarié. L'employeur ne reçoit que les conclusions d'aptitude ou d'inaptitude, non les données médicales elles-mêmes.

7. Le délégué à la protection des données (DPO)

La désignation d'un Délégué à la Protection des Données (DPO) est obligatoire pour les employeurs qui :

  • Effectuent un suivi régulier et systématique à grande échelle des personnes concernées (ex. : suivi des comportements en ligne des salariés).
  • Traitent à grande échelle des catégories particulières de données (données de santé, données biométriques, données relatives aux condamnations pénales).
  • Sont une autorité ou un organisme public, quelle que soit la nature des traitements.

En dehors de ces cas, la désignation d'un DPO reste facultative (art. 37 RGPD). L'employeur peut néanmoins désigner volontairement un DPO interne ou externe s'il souhaite structurer sa gouvernance des données.

Rôle du DPO : Le DPO informe et conseille l'employeur sur ses obligations RGPD, contrôle le respect du règlement, coopère avec la CNPD et constitue le point de contact des salariés pour toute question relative à leurs données. Il bénéficie d'une protection contre les représailles dans l'exercice de ses missions.

8. Ce que l'employeur peut et ne peut pas faire

Pratiques courantes et leur encadrement
Copie de la carte d'identité : autorisée si elle est nécessaire à une obligation légale ou administrative (immatriculation CCSS, vérification du droit au travail). Elle ne peut pas être conservée au-delà de cette nécessité.
Casier judiciaire : tout candidat peut en obtenir un extrait via MyGuichet.lu et le joindre à sa candidature. L'employeur qui l'exige doit pouvoir le justifier par la nature du poste (principe de proportionnalité RGPD) — il ne peut pas l'imposer systématiquement à tous les recrutements sans lien avec les fonctions exercées.
Photo du salarié : autorisée sous conditions. Elle ne peut pas être utilisée à des fins non prévues (trombinoscope interne vs. communication externe) sans information préalable et base légale adaptée.
Accès aux e-mails professionnels : possible sous conditions strictes, dans le respect du RGPD, d'une politique d'utilisation des outils numériques préalablement diffusée, et des principes de proportionnalité et de finalité. L'encadrement précis relève de la fiche Surveillance sur le lieu de travail.
Données de santé : l'employeur peut connaître la durée d'un arrêt de travail et ses effets sur le contrat. Il ne peut pas chercher à obtenir le diagnostic ou la nature de la maladie — ces données relèvent du secret médical.
Surveillance électronique et vidéo : caméras, géolocalisation, contrôle des connexions informatiques et badgeuses biométriques sont encadrés par des règles spécifiques (art. L.261-1, §2 à §5 et art. L.414-9) et font l'objet d'une fiche dédiée.

Une question sur la conformité RGPD de vos pratiques RH ou sur les droits de vos salariés ?

Poser ma question à Kymora →

Fiches liées

Les informations contenues dans cette fiche sont fournies à titre indicatif et ne constituent pas un conseil juridique. Elles peuvent comporter des inexactitudes ou ne pas refléter les dernières évolutions législatives ou jurisprudentielles. Pour toute situation spécifique, consultez un professionnel du droit.