Je dois mettre mon organisation luxembourgeoise en conformité au considérant 155 du RGPD (UE 2016/679). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 155 RGPD — Considérant 155

Cadre européenRGPDNIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 155

Règlement général sur la protection des données · UE 2016/679

(155)

Le droit des États membres ou des conventions collectives, y compris des «accords d'entreprise» peuvent prévoir des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail, notamment les conditions dans lesquelles les données à caractère personnel dans le cadre des relations de travail peuvent être traitées sur la base du consentement de l'employé, aux fins du recrutement, de l'exécution du contrat de travail, y compris le respect des obligations fixées par la loi ou par des conventions collectives, de la gestion, de la planification et de l'organisation du travail, de l'égalité et de la diversité sur le lieu de travail, de la santé et de la sécurité au travail, et aux fins de l'exercice et de la jouissance des droits et des avantages liés à l'emploi, individuellement ou collectivement, ainsi qu'aux fins de la résiliation de la relation de travail.

Spécificité Luxembourg

article L.261-1 du Code du travail luxembourgeois ; loi du 1er août 2018 portant organisation de la CNPD

Au Luxembourg, la surveillance des salariés est strictement encadrée par l'article L.261-1 du Code du travail (issu de la loi du 1er août 2018 portant organisation de la CNPD). Tout traitement à des fins de surveillance impose une information préalable de la délégation du personnel (ou du comité mixte) ainsi que des salariés concernés, et peut justifier une saisine de la CNPD pour avis préalable. La CNPD a publié plusieurs lignes directrices sectorielles (vidéosurveillance, géolocalisation des véhicules de service, contrôle des emails).

Pratique Luxgap : avant tout déploiement d'un outil de monitoring (DLP, vidéosurveillance, GPS, badgeuse biométrique), constituez le dossier L.261-1 complet (finalité, proportionnalité, durée, information délégation) AVANT la mise en service. La CNPD sanctionné le déploiement sans consultation préalable.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 155 ouvre la porté à des règles nationales spécifiques en matière de données RH, mais ne dispense JAMAIS l'employeur du socle RGPD. Le piège classique sanctionné par la CNPD et la CNIL : invoquer le consentement du salarié pour légitimer la vidéosurveillance, le tracking GPS, la biométrie ou le monitoring des emails. Le consentement en contexte salarial est presque toujours invalide (lien de subordination, déséquilibre), et l'EDPB l'a rappelé dans ses lignes directrices 05/2020. La base légale correcte est généralement l'exécution du contrat, l'obligation légale ou l'intérêt légitime documenté par une AIPD.

Les bases légales RH a maîtriser au Luxembourg

Exécution du contrat (art. 6.1.b) : paie, gestion administrative, évaluation, congés. Périmètre étroit, pas d'extension abusive.
Obligation légale (art. 6.1.c) : déclarations CCSS, ACD, retenues à la source, registre du personnel ITM.
Intérêt légitime (art. 6.1.f) : sécurité IT, lutte contre la fraude, mais sous réserve d'un test de proportionnalité documenté.
Consentement (art. 6.1.a) : à réserver aux cas réellement optionnels (photo trombinoscope, activités sociales).
Surveillance des salariés : au Luxembourg, encadrée par l'article L.261-1 du Code du travail, avec information préalable de la délégation du personnel et possibilité d'avis CNPD.
Conventions collectives : peuvent ajouter des garanties supplémentaires (durée de conservation, accès délégués).

Comment Luxgap automatise ce risque

Notre Luxgap HR Légal Basis Mapper rend impossible la confusion entre consentement et obligation légale dans vos traitements RH, en cartographiant automatiquement chaque flux de données salariés et en attribuant la base légale juridiquement défendable. L'outil se connecte nativement à Sage BOB 50, SD Worx, Sopra Steria HR Suite, Workday LU et Microsoft 365, lit vos workflows RH réels (recrutement, onboarding, évaluation, offboarding) et confronte chaque traitement aux exigences du Code du travail luxembourgeois et au considérant 155.

Détecte automatiquement chaque traitement RH actif en scannant vos systèmes paie, SIRH et collaboratifs, sans questionnaire à remplir par la DRH.
Classifie chaque traitement selon la base légale appropriée (contrat, obligation légale, intérêt légitime, mission d'intérêt public) en s'appuyant sur la grille EDPB 05/2020 et la jurisprudence CNPD.
Alerte instantanément lorsqu'un consentement salarié est utilisé comme base légale unique sur un traitement à risque (biométrie, géolocalisation, monitoring), et propose la base alternative défendable.
Génère les mentions d'information article 13 spécifiques au contexte RH, déclinées par typologie de salarié (CDI, CDD, intérimaire, stagiaire, frontalier).
Produit un dossier complet de consultation de la délégation du personnel conforme à l'article L.261-1 du Code du travail luxembourgeois, prêt à transmettre.
Édite un rapport PDF horodaté et opposable à la CNPD ou à l'ITM en cas de contrôle, démontrant l'accountability article 5(2) sur le périmètre RH.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos workflows RH réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 155

Ils nous font confiance

Avant de discuter