Thèmes transversaux

Impact du RGPD sur la gestion RH au Luxembourg

Le règlement (UE) 2016/679 (RGPD) s'applique pleinement aux données des salariés et impose à l'employeur luxembourgeois un encadrement strict : les systèmes de surveillance ne peuvent être mis en place sans information préalable de la représentation du personnel, les obligations déclaratives envers la sécurité sociale et les autorités subsistent dans un cadre sécurisé, et la conservation des dossiers RH doit respecter les principes de minimisation et de limitation dans le temps.

Bases légales : RGPD Art. 6 ; Art. L.261-1 ; Art. L.621-3 ; Art. CSS-VI-426 ; Art. CSS-VI-442 Mis à jour : juin 2026

1. Encadrement de la surveillance des salariés

Conditions de licéité

L'employeur ne peut mettre en œuvre un système de surveillance des salariés que s'il repose sur l'une des bases légales prévues à l'article 6, paragraphe 1, lettres a) à f) du RGPD — consentement, exécution du contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public ou intérêts légitimes (Art. L.261-1, para 1). Le recours à l'intérêt légitime suppose une mise en balance avec les droits et libertés des salariés concernés.

Information préalable obligatoire

Avant toute mise en œuvre, l'employeur doit informer le comité mixte, la délégation du personnel ou, à défaut, l'Inspection du travail et des mines (ITM). Cette information doit préciser (Art. L.261-1, para 2) :

›la finalité du traitement et les modalités de mise en œuvre du système ;

›la durée de conservation des données collectées ;

›un engagement exprès de non-utilisation des données à des fins autres que celles déclarées.

Droit de recours des salariés

Dans les 15 jours suivant l'information, les salariés ou leur délégation peuvent demander un avis de conformité à la Commission nationale pour la protection des données (CNPD). Cette demande a un effet suspensif : le système ne peut pas être déployé tant que la CNPD ne s'est pas prononcée (Art. L.261-1, para 4).

Le fait d'introduire une réclamation auprès de la CNPD ne peut constituer ni un motif grave ni un motif légitime de licenciement (Art. L.261-1, para 5).

Fin de l'autorisation préalable CNPD : depuis l'entrée en application du RGPD en 2018, l'autorisation préalable de la CNPD n'est plus requise pour la mise en place d'un traitement de données. En revanche, l'obligation d'information individuelle et collective reste entière, et l'employeur doit tenir un registre des activités de traitement à jour et documenté.

2. Obligations déclaratives et accès administratifs

Le RGPD ne dispense pas l'employeur de ses obligations légales de transmission de données aux organismes publics. Ces flux sont strictement délimités et s'effectuent dans un cadre sécurisé.

Déclarations à la sécurité sociale (Art. CSS-VI-426)

L'employeur a l'obligation de déclarer chaque mois au Centre commun de la sécurité sociale (CCSS) :

›les assiettes cotisables de chaque salarié ;

›les heures supplémentaires effectuées ;

›les périodes d'incapacité de travail.

Accès direct des autorités (Art. L.621-3)

Le Ministre ayant l'emploi dans ses attributions et l'ADEM peuvent disposer d'un accès direct et sécurisé — avec authentification forte — aux fichiers du CCSS (affiliations, salaires déclarés) ainsi qu'à d'autres bases de données administratives (registre des étrangers, bénéficiaires du revenu minimum garanti, etc.). Cet accès est limité aux finalités de vérification de l'éligibilité aux indemnités et de suivi des demandeurs d'emploi.

Pouvoirs de contrôle (Art. CSS-VI-442)

Les mandataires des organismes de sécurité sociale et les autres autorités de contrôle sont habilités à demander tout document relatif à l'identité, l'activité et la rémunération des salariés. Ce droit de communication est distinct du droit de surveillance interne de l'employeur et échappe au mécanisme d'information préalable prévu par l'Art. L.261-1.

3. Conservation et gestion des données RH

Principes de minimisation et de limitation

Le RGPD impose que les données ne soient collectées qu'en quantité strictement nécessaire (minimisation) et conservées uniquement pour la durée nécessaire aux finalités ayant justifié leur collecte (limitation de la conservation). L'employeur doit définir et documenter des durées de conservation pour chaque catégorie de données personnelles traitées.

Durées pratiques pour les dossiers RH

Il n'existe pas de délai légal général applicable aux dossiers personnels des salariés, à l'exception des documents comptables soumis à la prescription de 10 ans en vertu du Code de commerce. À titre de bonne pratique, il est conseillé de conserver les dossiers au moins jusqu'à l'expiration des délais de contestation de la rupture du contrat, ce qui couvre les recours en matière de licenciement.

Des durées spécifiques s'appliquent par nature de document :

›bulletins de salaire et documents de paie : 10 ans (prescription comptable) ;

›dossier disciplinaire : durée à limiter à la pertinence de la sanction ;

›données de candidature non retenue : à supprimer dans un délai raisonnable après la fin du processus de recrutement (en général 6 mois), sauf consentement explicite du candidat à une conservation plus longue ;

›données de vidéosurveillance : durée très courte (typiquement 30 jours maximum), sauf incident nécessitant leur conservation aux fins de preuve.

L'absence de registre des durées de conservation constitue un manquement documentaire susceptible d'être relevé par la CNPD lors d'un contrôle. Ce registre est distinct — mais complémentaire — du registre des activités de traitement au sens de l'Art. 30 RGPD.

4. Délégué à la Protection des Données (DPO) et analyse d'impact

Désignation du DPO

La désignation d'un Délégué à la Protection des Données (DPO) est obligatoire dans trois hypothèses (Art. 37 RGPD) :

›l'entreprise est une autorité ou un organisme public ;

›ses activités de base impliquent un suivi régulier et à grande échelle de personnes (ex. : surveillance des comportements en ligne, géolocalisation de flotte) ;

›ses activités de base impliquent un traitement à grande échelle de données sensibles (état de santé, données biométriques, données syndicales, etc.).

En dehors de ces hypothèses légalement imposées, la désignation volontaire d'un DPO est encouragée, notamment pour les entreprises de taille intermédiaire qui traitent des volumes significatifs de données de salariés.

Analyse d'impact relative à la protection des données (AIPD)

Une AIPD (ou DPIA — Data Protection Impact Assessment) est obligatoire lorsque le traitement envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (Art. 35 RGPD). En contexte RH, les traitements concernés incluent notamment :

›les systèmes de surveillance continue (vidéo, keyloggers, suivi d'activité informatique) ;

›le traitement de données biométriques (contrôle d'accès par empreinte digitale ou reconnaissance faciale) ;

›les décisions automatisées ayant un impact significatif sur les salariés (notation, sélection algorithmique) ;

›la géolocalisation systématique des salariés en dehors de la conduite professionnelle.

Lorsqu'une AIPD révèle un risque résiduel élevé que l'employeur ne peut pas atténuer par ses propres moyens, il doit consulter la CNPD préalablement à la mise en œuvre du traitement (Art. 36 RGPD).

Une question sur le RGPD ou la gestion des données RH dans votre entreprise ?

Poser ma question à Kymora →

Les informations contenues dans cette fiche sont fournies à titre indicatif et ne constituent pas un conseil juridique. Elles peuvent comporter des inexactitudes ou ne pas refléter les dernières évolutions législatives ou jurisprudentielles. Pour toute situation spécifique, consultez un professionnel du droit.