{"id":10660,"date":"2023-01-02T14:58:00","date_gmt":"2023-01-02T13:58:00","guid":{"rendered":"https:\/\/fedil.lu\/publications\/faq-dans-le-cadre-du-rgpd\/"},"modified":"2025-04-09T16:53:36","modified_gmt":"2025-04-09T14:53:36","slug":"faq-dans-le-cadre-du-rgpd","status":"publish","type":"publication","link":"https:\/\/fedil.lu\/en\/publications\/faq-dans-le-cadre-du-rgpd\/","title":{"rendered":"FAQ dans le cadre du RGPD"},"content":{"rendered":"<h2 id='s-1-quest-ce-que-le-principe-d-accountability'>1) Qu\u2019est-ce que le principe d\u2019\u00ab <em>accountability<\/em>\u00bb\u00a0?<\/h2>\n<p>Il s\u2019agit d\u2019une des grandes nouveaut\u00e9s du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) par rapport \u00e0 la Directive 95\/46\/CE du Parlement europ\u00e9en et du Conseil, du 24 octobre 1995, relative \u00e0 la protection des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es, transpos\u00e9e en droit luxembourgeois par la loi modifi\u00e9e du 2 ao\u00fbt 2002.<\/p>\n<p>L\u2019<em>accountability<\/em> d\u00e9signe l\u2019obligation pour les organisations de mettre en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es pour s\u2019assurer que les traitements des donn\u00e9es \u00e0 caract\u00e8re personnel sont effectu\u00e9s conform\u00e9ment au RGPD, et d\u2019\u00eatre en mesure de le d\u00e9montrer si n\u00e9cessaire (en cas de contr\u00f4le par exemple). Le syst\u00e8me des formalit\u00e9s pr\u00e9alables (notifications et autorisations) aupr\u00e8s de la Commission nationale pour la protection des donn\u00e9es (CNPD) pr\u00e9vu par la loi pr\u00e9cit\u00e9e n\u2019existe plus. Tous les acteurs \u00e9tablis sur le territoire luxembourgeois doivent \u00eatre en mesure de d\u00e9montrer eux-m\u00eames leur conformit\u00e9.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-2-quest-ce-quun-sous-traitant-au-sens-du-rgpd-et-comment-cette-qualite-est-elle-determinee'>2) Qu\u2019est-ce qu\u2019un \u00ab sous-traitant \u00bb au sens du RGPD et comment cette qualit\u00e9 est-elle d\u00e9termin\u00e9e ?<\/h2>\n<p>Un sous-traitant est d\u00e9fini comme une personne physique ou morale, l\u2019autorit\u00e9 publique, le service ou un autre organisme qui traite des donn\u00e9es \u00e0 caract\u00e8re personnel pour le compte et sur instruction d\u2019un responsable du traitement. Or, pour d\u00e9terminer la qualit\u00e9 de sous-traitant au sens du RGPD, il convient d\u2019analyser si les 4 crit\u00e8res d\u00e9termin\u00e9s par le groupe de travail \u00ab\u00a0article 29\u00a0\u00bb dans son avis 1\/2010 du 16 f\u00e9vrier 2010 sont r\u00e9unis pour l\u2019acteur en question. L\u2019avis peut toujours servir de r\u00e9f\u00e9rence m\u00eame s\u2019il a \u00e9t\u00e9 r\u00e9dig\u00e9 sous l\u2019\u00e9gide de l\u2019ancienne directive europ\u00e9enne du 24 octobre 1995, car les notions de \u00ab\u00a0responsable de traitement\u00a0\u00bb et de \u00ab\u00a0sous-traitant\u00a0\u00bb n\u2019ont pas chang\u00e9 avec l\u2019application du RGPD.<\/p>\n<p>Les 4 crit\u00e8res sont les suivants\u00a0:<\/p>\n<ul>\n<li>le niveau d\u2019instruction donn\u00e9 par le client au prestataire\u00a0;<\/li>\n<li>le degr\u00e9 de contr\u00f4le de l\u2019ex\u00e9cution de la prestation\u00a0;<\/li>\n<li>la valeur ajout\u00e9e fournie par le prestataire\u00a0;<\/li>\n<li>le degr\u00e9 de transparence sur le recours \u00e0 un prestataire.<\/li>\n<\/ul>\n<p>\u00c0 noter que les 4 crit\u00e8res doivent \u00eatre cumulativement remplis pour avoir la qualit\u00e9 de sous-traitant, \u00e0 d\u00e9faut, l\u2019organisation est \u00e0 consid\u00e9rer comme responsable du traitement pour le traitement en question. Il est possible qu\u2019une entreprise d\u2019un groupe soit sous-traitant d\u2019une entreprise appartenant au m\u00eame groupe.<\/p>\n<p>Ont souvent la qualit\u00e9 de sous-traitant les prestataires de <em>payroll<\/em>, les fournisseurs de logiciel ERP, les fournisseurs de prestations <em>de cloud computing<\/em>, les soci\u00e9t\u00e9s de s\u00e9curit\u00e9 informatique ou encore les agences de marketing ou de communication.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=33\">Article 4 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Avis-sur-les-notions-de-responsables-du-traitement-et-de-sous-traitant-de-lancien-groupe-de-travail-article-29.pdf\">Avis 1\/2010 du 16 f\u00e9vrier 2010 du groupe de travail \u00ab\u00a0article 29\u00a0\u00bb<\/a><\/strong><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Note-relative-aux-notions-de-responsable-de-traitement-et-de-sous-traitant-de-lautorit\u00e9-de-contr\u00f4le-belge-Autorit\u00e9-de-protection-des-donn\u00e9es-APD.pdf\"><strong>Note relative aux notions de responsable de traitement et de sous-traitant de l\u2019autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD)<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-3-faut-il-conclure-un-contrat-avec-tous-les-sous-traitants-et-si-oui-quel-est-son-contenu-minimal'>3) Faut-il conclure un contrat avec tous les sous-traitants, et si oui, quel est son contenu minimal ?<\/h2>\n<p>Oui, le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel par un sous-traitant doit \u00eatre r\u00e9gi par un contrat ou un autre acte juridique au titre de l\u2019Union europ\u00e9enne ou du droit d\u2019un \u00c9tat membre, liant le sous-traitant au responsable du traitement, d\u00e9finissant l\u2019objet et la dur\u00e9e du traitement, la nature et les finalit\u00e9s du traitement, le type de donn\u00e9es \u00e0 caract\u00e8re personnel et les cat\u00e9gories de personnes concern\u00e9es, en tenant compte des t\u00e2ches et responsabilit\u00e9s sp\u00e9cifiques du sous-traitant dans le cadre du traitement \u00e0 effecteur et du risque pour les droits et libert\u00e9s de la personne concern\u00e9e.<\/p>\n<p>Tous les \u00e9l\u00e9ments devant figurer dans le contrat sont d\u00e9crits \u00e0 l\u2019article 28 du RGPD. Il est encore important \u00e0 relever que cela n\u00e9cessite, selon le cas, une mise \u00e0 jour active et continuelle des contrats.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=49\">Article 28 du RGPD<\/a><\/strong><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\"><strong>Consid\u00e9rant 81 du RGPD<\/strong><\/a><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Guide-pratique-sur-la-relation-responsable-du-traitement-sous-traitant-CNIL.pdf\">Guide pratique de l\u2019autorit\u00e9 de contr\u00f4le fran\u00e7aise (Commission Nationale de l\u2019Informatique et des Libert\u00e9s, CNIL) sur la relation responsable du traitement \u2013 sous-traitant<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-4-quest-ce-quun-registre-des-activites-de-traitement'>4) Qu\u2019est-ce qu\u2019un \u00ab registre des activit\u00e9s de traitement \u00bb ?<\/h2>\n<p>Le registre des activit\u00e9s de traitement est cens\u00e9 regrouper tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel que l\u2019entreprise est amen\u00e9e \u00e0 faire. Ce registre fait partie de l\u2019<em>accountability<\/em> de chaque organisation et sert donc \u00e0 prouver la conformit\u00e9 au RGPD. En effet, cette cartographie en mode continu de ses activit\u00e9s doit permettre \u00e0 toute organisation de bien veiller \u00e0 toujours respecter les r\u00e8gles du RGPD. La tenue de ce registre est n\u00e9cessaire pour les responsables du traitement pour avoir une connaissance suffisamment document\u00e9e de leurs activit\u00e9s de traitement des donn\u00e9es \u00e0 caract\u00e8re personnel. Il doit constamment \u00eatre tenu \u00e0 jour en fonction du d\u00e9veloppement et de l\u2019\u00e9volution des activit\u00e9s de l\u2019entreprise.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=50\">Article 30 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\">Consid\u00e9rant 82 du RGPD<\/a><\/strong><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-n\u00b0-6-2017-du-14-juin-2017-relative-au-registre-des-activit\u00e9s-de-traitement-APD.pdf\"><strong>Recommandation relative au registre des activit\u00e9s de traitement du 14 juin 2017 de l\u2019autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD)<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-5-est-ce-que-mon-entreprise-doit-tenir-un-tel-registre'>5) Est-ce que mon entreprise doit tenir un tel registre ?<\/h2>\n<p>En tant que responsable du traitement, vous devez tenir un registre des activit\u00e9s de traitement effectu\u00e9es sous votre responsabilit\u00e9. De m\u00eame, chacun de vos sous-traitants doit tenir un registre de toutes les cat\u00e9gories d\u2019activit\u00e9s de traitement effectu\u00e9es pour votre compte.<\/p>\n<p>N\u00e9anmoins, cette obligation ne s\u2019applique pas si les conditions cumulatives suivantes sont remplies\u00a0:<\/p>\n<ul>\n<li>l\u2019entreprise ou l\u2019organisation concern\u00e9e compte moins de 250 employ\u00e9s\u00a0;<\/li>\n<li>le traitement qu&#8217;elle effectue n\u2019est pas susceptible de comporter un risque pour les droits et les libert\u00e9s des personnes concern\u00e9es\u00a0;<\/li>\n<li>le traitement qu&#8217;elle effectue est occasionnel\u00a0;<\/li>\n<li>le traitement qu&#8217;elle effectue ne porte pas sur des donn\u00e9es dites \u00ab\u00a0sensibles\u00a0\u00bb vis\u00e9es \u00e0 l&#8217;article 9, paragraphe 1, du RGPD ou sur des donn\u00e9es \u00e0 caract\u00e8re personnel relatives \u00e0 des condamnations p\u00e9nales et \u00e0 des infractions vis\u00e9es \u00e0 l&#8217;article 10 du RGPD.<\/li>\n<\/ul>\n<p>Or, vu que le registre des activit\u00e9s de traitement permet de mesurer concr\u00e8tement l\u2019impact du RGPD sur l\u2019activit\u00e9 de l\u2019entreprise, la tenue de ce dernier se r\u00e9v\u00e8le ainsi souvent n\u00e9cessaire pour les responsables du traitement afin d\u2019avoir une connaissance suffisamment document\u00e9e de leurs activit\u00e9s de traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et donc pour en assurer une protection efficace. C\u2019est la raison pour laquelle le registre des activit\u00e9s de traitement est en tout \u00e9tat de cause recommand\u00e9 par la Commission nationale pour la protection des donn\u00e9es (CNPD) et le comit\u00e9 europ\u00e9en de la protection des donn\u00e9es dans les d\u00e9marches de mise en conformit\u00e9 au RGPD.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=50\">Article 30 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\">Consid\u00e9rant 82 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-n\u00b0-6-2017-du-14-juin-2017-relative-au-registre-des-activit\u00e9s-de-traitement-APD.pdf\">Recommandation relative au registre des activit\u00e9s de traitement du 14 juin 2017 de l\u2019autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD)<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-6-est-ce-que-ce-registre-doit-etre-publie-ou-envoye-a-lautorite-de-controle'>6) Est-ce que ce registre doit \u00eatre publi\u00e9 ou envoy\u00e9 \u00e0 l\u2019autorit\u00e9 de contr\u00f4le ?<\/h2>\n<p>Non, le registre n\u2019est pas destin\u00e9 au public, mais l\u2019entreprise a l\u2019obligation de mettre le registre des activit\u00e9s de traitement \u00e0 la disposition de la Commission nationale pour la protection des donn\u00e9es (CNPD) si celle-ci en fait la demande.<\/p>\n<h2 id='s-7-sous-quelle-forme-doit-se-presenter-le-registre-des-activites-de-traitement'>7) Sous quelle forme doit se pr\u00e9senter le registre des activit\u00e9s de traitement ?<\/h2>\n<p>Le RGPD pr\u00e9cise que ce registre peut se pr\u00e9senter sous une forme \u00e9crite y compris la forme \u00e9lectronique. En principe, il ne devra pas \u00eatre sp\u00e9cialement r\u00e9alis\u00e9 dans une des trois langues officielles du Luxembourg. Toutefois, lors de la mise \u00e0 disposition \u00e0 une autorit\u00e9 de contr\u00f4le, celle-ci pourrait exiger sa traduction dans une des langues nationales. Selon l\u2019Autorit\u00e9 de protection des donn\u00e9es (APD), l\u2019autorit\u00e9 de contr\u00f4le belge, cette traduction se fait aux frais de l\u2019entreprise. L\u2019autorit\u00e9 de contr\u00f4le fran\u00e7aise, la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL), a mis \u00e0 disposition aux acteurs un mod\u00e8le-type d\u2019un tel registre qui est aussi reconnu par l\u2019autorit\u00e9 de contr\u00f4le luxembourgeoise, la Commission nationale pour la protection des donn\u00e9es (CNPD). Il convient de mentionner que pas toutes les cases sont \u00e0 remplir, mais uniquement celles qui sont concern\u00e9es par le traitement en question.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=50\">Article 30 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\">Consid\u00e9rant 82 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-n\u00b0-6-2017-du-14-juin-2017-relative-au-registre-des-activit\u00e9s-de-traitement-APD.pdf\">Recommandation relative au registre des activit\u00e9s de traitement du 14 juin 2017 de l\u2019autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD)<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/mod\u00e8le-dun-registre-des-activit\u00e9s-de-traitement-CNIL.xlsx\">Mod\u00e8le d\u2019un registre des activit\u00e9s de traitement, CNIL<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-8-quels-sont-les-traitements-habituels-de-donnees-a-caractere-personnel'>8) Quels sont les traitements habituels de donn\u00e9es \u00e0 caract\u00e8re personnel ?<\/h2>\n<p>Des traitements souvent rencontr\u00e9s en pratique sont notamment la gestion du personnel et des r\u00e9mun\u00e9rations, l\u2019annuaire d\u2019entreprise, la gestion des fournisseurs, la gestion de la comptabilit\u00e9, la gestion des clients, la lutte contre la fraude (interne\/externe) ou encore la surveillance (vid\u00e9osurveillance, dispositifs de g\u00e9olocalisation, syst\u00e8mes biom\u00e9triques, contr\u00f4le des acc\u00e8s, \u2026).<\/p>\n<h2 id='s-9-dois-je-documenter-les-violations-des-donnees-a-caractere-personnel'>9) Dois-je documenter les violations des donn\u00e9es \u00e0 caract\u00e8re personnel ?<\/h2>\n<p>Oui, chaque responsable du traitement est tenu de documenter dans un registre d\u00e9di\u00e9 \u00e0 cette fin toute violation de donn\u00e9es \u00e0 caract\u00e8re personnel (quel que soit le degr\u00e9 de gravit\u00e9 de la violation), en indiquant les faits concernant la violation des donn\u00e9es \u00e0 caract\u00e8re personnel, ses effets et les mesures prises pour y rem\u00e9dier. La documentation ainsi constitu\u00e9e permettra \u00e0 l\u2019autorit\u00e9 de contr\u00f4le de v\u00e9rifier le respect des obligations du responsable du traitement. Des exemples concrets sont la perte d\u2019un laptop, d\u2019un CD-Rom ou d\u2019une cl\u00e9 USB contenant des donn\u00e9es \u00e0 caract\u00e8re personnel d\u2019un collaborateur, une faille informatique, un stockage non-s\u00e9curis\u00e9 des donn\u00e9es ou encore un acc\u00e8s non-autoris\u00e9 \u00e0 un certain type de donn\u00e9es. Selon la gravit\u00e9 de la violation des donn\u00e9es \u00e0 caract\u00e8re personnel, le responsable du traitement doit la notifier \u00e0 l\u2019autorit\u00e9 de contr\u00f4le comp\u00e9tente dans un d\u00e9lai de 72 heures au plus tard apr\u00e8s en avoir pris connaissance. Pour des raisons de simplification et d\u2019harmonisation, il est recommand\u00e9 d\u2019utiliser le mod\u00e8le de registre \u00e9labor\u00e9 par la Commission nationale pour la protection des donn\u00e9es (CNPD).<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=52\">Articles 33 et 34 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\">Consid\u00e9rants 85-88 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Registre-des-violations-de-donn\u00e9es-\u00e0-caract\u00e8re-personnel-CNPD.xlsx\">Registre des violations de donn\u00e9es \u00e0 caract\u00e8re personnel, CNPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Formulaire-de-notification-dune-violation-de-donnees-a-caractere-personnel.docx\" target=\"_blank\" rel=\"noopener noreferrer\">Formulaire de notification de violation de donn\u00e9es, CNPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-10-qui-peut-etre-data-protection-officer-dpo'>10) Qui peut \u00eatre Data Protection Officer (DPO) ?<\/h2>\n<p>Le DPO est d\u00e9sign\u00e9 sur la base de ses qualit\u00e9s professionnelles et, en particulier, de ses connaissances sp\u00e9cialis\u00e9es du droit et des pratiques en mati\u00e8re de protection des donn\u00e9es, et de sa capacit\u00e9 \u00e0 accomplir les missions qui lui sont assign\u00e9es par le RGPD. Il peut \u00eatre un membre du personnel (DPO interne) ou exercer ses missions sur la base d\u2019un contrat de service (DPO externe). Sa t\u00e2che, qui peut \u00eatre \u00e0 temps plein ou \u00e0 temps partiel, est essentiellement p\u00e9dagogique au sein de l\u2019entreprise afin que chacun connaisse les enjeux de la nouvelle r\u00e8glementation et l\u2019applique au quotidien en particulier pour l\u2019ensemble des traitements des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 venir. Son r\u00f4le sera donc avant tout la sensibilisation des collaborateurs.<\/p>\n<p>Il est \u00e0 noter que le r\u00f4le de DPO ne peut en aucun cas \u00eatre assum\u00e9 par le chef d\u2019entreprise ou par toute autre personne occupant un poste permettant de d\u00e9terminer le moyens et les finalit\u00e9s du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (par exemple le chef des finances, le chef de l\u2019exploitation, le responsable du d\u00e9partement marketing, le responsable des ressources humaines, le responsable du d\u00e9partement informatique, etc.). Les d\u00e9l\u00e9gu\u00e9s peuvent exercer d\u2019autres missions pour autant que celles-ci ne conduisent pas \u00e0 un conflit d\u2019int\u00e9r\u00eat. Un groupe d\u2019entreprises peut d\u00e9signer un seul DPO.<\/p>\n<p>M\u00eame si la d\u00e9signation d\u2019un DPO n\u2019est dans la majorit\u00e9 des cas pas obligatoire pour les PME, elle est cependant fortement recommand\u00e9e par la Commission nationale pour la protection des donn\u00e9es (CNPD) et par le comit\u00e9 europ\u00e9en de la protection des donn\u00e9es.<\/p>\n<p>Des organisations o\u00f9 la d\u00e9signation d\u2019un DPO est obligatoire sont notamment les autorit\u00e9s publiques (quelle que soit la nature des donn\u00e9es trait\u00e9es), mais aussi les compagnies d\u2019assurance, les banques, les services de sant\u00e9, les h\u00f4pitaux ou encore les professionnels du recrutement.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2022\/06\/Le-guide-du-delegue-a-la-protection-des-donnees.pdf\"><strong>Le guide du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es<\/strong><\/a><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=55\">Articles 37-39 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=18\">Consid\u00e9rant 97 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-n\u00b0-4-2017-du-24-mai-201-relative-\u00e0-la-d\u00e9signation-dun-DPO-APD.pdf\">Recommandation relative au DPO du 24 mai 2017 de l\u2019autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD)<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Lignes-directrices-sur-le-DPO-de-lancien-groupe-de-travail-article-29.pdf\">Ligne directrice de l\u2019ancien groupe de travail \u00ab\u00a0article 29\u00a0\u00bb relative au DPO du 5 avril 2017<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-11-est-ce-que-le-dpo-doit-etre-agree-par-la-commission-nationale-pour-la-protection-des-donnees-cnpd'>11) Est-ce que le DPO doit \u00eatre agr\u00e9\u00e9 par la Commission nationale pour la protection des donn\u00e9es (CNPD) ?<\/h2>\n<p>Non, la CNPD ne d\u00e9livre pas d\u2019agr\u00e9ment aux DPO (contrairement aux charg\u00e9s de la protection des donn\u00e9es dans le cadre de l\u2019ancienne directive). Le responsable du traitement ou le sous-traitant doivent simplement communiquer les coordonn\u00e9es du DPO \u00e0 la CNPD et sont invit\u00e9s d\u2019utiliser le formulaire pr\u00e9vu \u00e0 cette fin qui est mis \u00e0 disposition par la CNPD. Le responsable du traitement (ou le sous-traitant) est en plus oblig\u00e9 de publier les coordonn\u00e9es de son DPO (par exemple sur son site Internet).<\/p>\n<p>La CNPD peut contr\u00f4ler si les articles 37 \u00e0 39 du RGPD r\u00e8glementant la d\u00e9signation, la fonction et les missions du DPO sont respect\u00e9s.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=55\">Articles 37-39 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=18\">Consid\u00e9rant 97 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Formulaire-de-notification-de-DPO-etabli-par-la-CNPD.docx\">Formulaire de d\u00e9claration de DPO \u00e9tabli par la CNPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-12-quest-ce-quune-analyse-dimpact-relative-a-la-protection-des-donnees-et-qui-doit-la-mener'>12) Qu\u2019est-ce qu\u2019une \u00ab analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es \u00bb et qui doit la mener ?<\/h2>\n<p>Les analyses d\u2019impact relatives \u00e0 la protection des donn\u00e9es (AIPD) sont un outil aidant \u00e0 identifier et \u00e0 minimiser les risques de protection des donn\u00e9es de nouveaux projets. Elles font partie des obligations du responsable du traitement et contribuent fortement \u00e0 l\u2019approche de protection des donn\u00e9es d\u00e8s la conception et protection des donn\u00e9es par d\u00e9faut. De plus, elles aident \u00e0 identifier et \u00e0 traiter les probl\u00e8mes \u00e0 un stade pr\u00e9coce, \u00e0 d\u00e9montrer la conformit\u00e9 avec les obligations de protection des donn\u00e9es, r\u00e9pondre aux attentes des individus en mati\u00e8re de vie priv\u00e9e et aide \u00e0 \u00e9viter les atteintes \u00e0 la r\u00e9putation qui pourraient se produire. L\u2019obligation de proc\u00e9der \u00e0 une telle analyse incombe au responsable du traitement et pas au DPO en tant que tel. C\u2019est le responsable du traitement qui sera responsable en vertu de l\u2019article 35 du RGPD si elle n\u2019a pas \u00e9t\u00e9 r\u00e9alis\u00e9e alors qu\u2019elle aurait d\u00fb l\u2019\u00eatre, si elle n\u2019a pas \u00e9t\u00e9 correctement r\u00e9alis\u00e9e ou si le responsable du traitement n\u2019a pas consult\u00e9 la CNPD lorsque c\u2019\u00e9tait n\u00e9cessaire. Elle doit obligatoirement \u00eatre effectu\u00e9e avant la mise en \u0153uvre du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel concern\u00e9.<\/p>\n<ul>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=53\"><strong>Articles 35-36 du RGPD<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Lignes-directrices-de-lancien-groupe-de-travail-article-29-du-4-octobre-2017-concernant-lAIPD.pdf\"><strong>Lignes directrices de l\u2019ancien groupe de travail \u00ab\u00a0article 29\u00a0\u00bb concernant l\u2019AIPD du 4 octobre 2017<\/strong><\/a><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Recommandation-concernant-lAIPD-du-28-f\u00e9vrier-2018-de-lautorit\u00e9-de-contr\u00f4le-belge-Autorit\u00e9-de-protection-des-donn\u00e9es-APD.pdf\">Recommandation concernant l&#8217;AIPD du 28 f\u00e9vrier 2018 de l&#8217;autorit\u00e9 de contr\u00f4le belge<\/a> <\/strong>(Autorit\u00e9 de protection des donn\u00e9es, APD)<\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Formulaire-de-la-CNPD-pour-une-consultation-pr\u00e9alable-dans-le-cadre-dune-AIPD.docx\"><strong>Formulaire de la CNPD pour une consultation pr\u00e9alable dans le cadre d\u2019une AIPD<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-13-a-partir-de-quel-moment-cette-analyse-est-elle-obligatoire-et-quels-sont-les-criteres-a-prendre-en-compte'>13) \u00c0 partir de quel moment cette analyse est-elle obligatoire et quels sont les crit\u00e8res \u00e0 prendre en compte ?<\/h2>\n<p>Le RGPD pr\u00e9cise que lorsque des traitements de donn\u00e9es \u00e0 caract\u00e8re personnel consid\u00e9r\u00e9s comme particuli\u00e8rement risqu\u00e9s sont envisag\u00e9s par un responsable du traitement, celui-ci devra r\u00e9aliser, pr\u00e9alablement \u00e0 ces traitements, une AIPD. L\u2019article 35 du RGPD renvoie \u00e0 une cat\u00e9gorie particuli\u00e8re de risques \u00e0 savoir les risques, non pas vis-\u00e0-vis de l\u2019entreprise, mais vis-\u00e0-vis des droits et libert\u00e9s des personnes physiques. Selon les lignes directrices de l\u2019ancien groupe de travail \u00ab\u00a0article 29\u00a0\u00bb concernant l\u2019AIPD, les termes \u00ab\u00a0pour les droits et libert\u00e9s des personnes physiques\u00a0\u00bb de l\u2019article 35 du RGPD concernent notamment le droit au respect de la vie priv\u00e9e mais ils peuvent \u00e9galement se rapporter \u00e0 d\u2019autres droits et libert\u00e9s fondamentaux comme la libert\u00e9 d\u2019expression, la libert\u00e9 de pens\u00e9e, de conscience et de religion, l\u2019interdiction de discrimination et le droit \u00e0 la libert\u00e9 de mouvement.<\/p>\n<p>Les lignes directrices de l\u2019ancien groupe de travail \u00ab\u00a0article 29\u00a0\u00bb concernant l\u2019AIPD pr\u00e9cisent les 9 crit\u00e8res qui doivent \u00eatre pris en consid\u00e9ration lorsqu\u2019un responsable du traitement doit se d\u00e9cider sur la r\u00e9alisation ou non d\u2019une AIPD. Si au moins 2 crit\u00e8res sont remplis, l\u2019AIPD est obligatoire. Si le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel envisag\u00e9 n\u00e9cessite une AIPD, mais que le responsable du traitement d\u00e9cide de ne pas en r\u00e9aliser une, il devra documenter cette d\u00e9cision ainsi que l\u2019opinion de son DPO (lorsqu\u2019un DPO a \u00e9t\u00e9 d\u00e9sign\u00e9).<\/p>\n<p>De plus, la CNPD a \u00e9labor\u00e9, conform\u00e9ment \u00e0 l\u2019article 35 (4) du RGPD, une liste de traitements pour lesquels une AIPD est requis. Le projet de liste avait \u00e9t\u00e9 soumis pour avis au Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (CEPD), successeur du groupe de travail \u00ab\u00a0article 29\u00a0\u00bb, dans le cadre de la mise en \u0153uvre d\u2019une coh\u00e9rence et d\u2019une homog\u00e9n\u00e9it\u00e9 de l\u2019application du RGPD au niveau europ\u00e9en. La liste publi\u00e9e prend en compte les remarques de l\u2019avis du CEPD. Il convient cependant de souligner que la liste actuelle n&#8217;est pas une liste exhaustive de tous les types d\u2019op\u00e9ration de traitement n\u00e9cessitant la r\u00e9alisation d&#8217;une AIPD. Ainsi, l&#8217;absence d\u2019un type d\u2019op\u00e9ration de traitement sur cette liste ne signifie pas n\u00e9cessairement qu&#8217;une AIPD n&#8217;est pas requise.<\/p>\n<ul>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=53\"><strong>Articles 35-36 du RGPD<\/strong><\/a><\/li>\n<li>Consid\u00e9rants<strong> <a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=14\">72<\/a>, <a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=16\">84<\/a>, <a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=17\">89-95 <\/a><\/strong>du RGPD<\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Lignes-directrices-de-lancien-groupe-de-travail-article-29-du-4-octobre-2017-concernant-lAIPD.pdf\"><strong>Lignes directrices de l\u2019ancien groupe de travail \u00ab\u00a0article 29\u00a0\u00bb concernant l\u2019AIPD du 4 octobre 2017<\/strong><\/a><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Recommandation-concernant-lAIPD-du-28-f\u00e9vrier-2018-de-lautorit\u00e9-de-contr\u00f4le-belge-Autorit\u00e9-de-protection-des-donn\u00e9es-APD.pdf\">Recommandation concernant l\u2019AIPD du 28 f\u00e9vrier 2018 de l&#8217;autorit\u00e9 de contr\u00f4le belge <\/a><\/strong>(Autorit\u00e9 de protection des donn\u00e9es, APD)<\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Deliberation-n\u00b0-2018-326-du-11-octobre-2018-de-la-CNIL-portant-adoption-de-lignes-directrices-sur-les-AIPD.pdf\"><strong>D\u00e9lib\u00e9ration n\u00b0 34\/2019 du 6 mars 2019 de la CNPD portant adoption de la liste des types d&#8217;op\u00e9rations de traitement pour lesquelles une AIPD est requise<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Liste-de-la-CNIL-des-types-doperations-de-traitement-pour-lesquelles-une-AIPD-est-requise.pdf\"><strong>Liste de la CNIL des types d\u2019op\u00e9rations de traitement pour lesquelles une AIPD est requise<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/03\/Formulaire-de-la-CNPD-pour-une-consultation-pr\u00e9alable-dans-le-cadre-dune-AIPD.docx\"><strong>Formulaire de la CNPD pour une consultation pr\u00e9alable dans le cadre d\u2019une AIPD<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-14-quel-role-le-responsable-du-traitement-joue-t-il-dans-la-definition-des-mots-de-passe'>14) Quel r\u00f4le le responsable du traitement joue-t-il dans la d\u00e9finition des mots de passe ?<\/h2>\n<p>Suivant l\u2019article 32 du RGPD, il appartient au responsable du traitement de mettre en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es afin de garantir un niveau de s\u00e9curit\u00e9 adapt\u00e9 au risque. Ainsi, ces mesures doivent assurer un niveau de s\u00e9curit\u00e9 appropri\u00e9, y compris en mati\u00e8re de confidentialit\u00e9, compte tenu de l\u2019\u00e9tat des connaissances techniques et des co\u00fbts de mise en \u0153uvre par rapport aux risques et \u00e0 la nature des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 prot\u00e9ger. Dans ce contexte, l\u2019utilisation du mot de passe associ\u00e9 \u00e0 un identifiant afin de proc\u00e9der au contr\u00f4le des acc\u00e8s \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel est l\u2019une des mesures susceptibles d\u2019\u00eatre d\u00e9finie par le responsable du traitement.<\/p>\n<p>Selon la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL), l\u2019autorit\u00e9 de contr\u00f4le fran\u00e7aise, le responsable du traitement doit notamment fixer la taille et la complexit\u00e9 du mot de passe \u00e0 d\u00e9finir par les personnes concern\u00e9es. Ces derni\u00e8res doivent \u00eatre inform\u00e9es des r\u00e8gles applicables \u00e0 la d\u00e9finition du mot de passe (taille et complexit\u00e9, p. ex. au moyen d\u2019une jauge). En outre, aucun mot de passe ne peut \u00eatre communiqu\u00e9 en clair aux personnes concern\u00e9es, notamment par courrier \u00e9lectronique. Le renouvellement du mot de passe de la personne concern\u00e9e doit \u00eatre impos\u00e9 par le responsable du traitement selon une p\u00e9riodicit\u00e9 qu\u2019il d\u00e9finit. Enfin, la personne doit avoir la possibilit\u00e9 de pouvoir modifier son mot de passe en conformit\u00e9 avec les r\u00e8gles de cr\u00e9ation de mot de passe.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=51\">Article 32 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=16\">Consid\u00e9rant 83 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-relative-aux-mots-de-passe-CNIL.pdf\">D\u00e9lib\u00e9ration n\u00b0 2017-012 de la CNIL du 19 janvier 2017 portant adoption d&#8217;une recommandation relative aux mots de passe<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-15-dois-je-avoir-le-consentement-de-la-personne-concernee-pour-pouvoir-utiliser-son-adresse-e-mail-a-des-fins-publicitaires'>15) Dois-je avoir le consentement de la personne concern\u00e9e pour pouvoir utiliser son adresse e-mail \u00e0 des fins publicitaires ?<\/h2>\n<p>La r\u00e9ponse varie si une relation contractuelle est d\u00e9j\u00e0 existante ou non. En effet, de fa\u00e7on g\u00e9n\u00e9rale, le RGPD conf\u00e8re aux personnes concern\u00e9es un droit de s\u2019opposer (\u00ab\u00a0opt-out\u00a0\u00bb) au traitement des donn\u00e9es \u00e0 caract\u00e8re personnel la concernant \u00e0 des fins de prospection (p.ex. aux courriers de prospection envoy\u00e9s par la poste). La loi luxembourgeoise modifi\u00e9e du 30 mai 2005, qui continue \u00e0 s\u2019appliquer aux communications \u00e9lectroniques, dispose que le responsable du traitement (i.e. l\u2019entreprise) est autoris\u00e9, dans le cas d&#8217;une base contractuelle d\u00e9j\u00e0 existante (vente ou services), \u00e0 utiliser l&#8217;adresse e-mail de son client ou abonn\u00e9 \u00e0 des fins publicitaires sans consentement pr\u00e9alable. En contrepartie, le client ou abonn\u00e9 doit avoir le droit de s\u2019y opposer \u00e0 tout moment (et \u00eatre inform\u00e9 de ce droit lorsque les donn\u00e9es sont recueillies et lors de chaque message de prospection).<\/p>\n<p>Dans le cas o\u00f9 il n\u2019existe aucun lien entre un responsable du traitement et un utilisateur, le consentement pr\u00e9alable doit \u00eatre demand\u00e9 avant l\u2019envoi de courriers \u00e9lectroniques (\u00ab\u00a0opt-in\u00a0\u00bb).<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><a href=\"https:\/\/cnpd.public.lu\/fr\/actualites\/national\/2018\/05\/info-consentement.html\"><strong>Communication de la Commission nationale pour la protection des donn\u00e9es (CNPD) du 25 mai 2018<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Recommandation-de-lautorite-de-controle-belge-Autorite-de-protection-des-donnees-APD-du-17-janvier-2020-relative-aux-traitements-de-donnees-a-caracter.pdf\"><strong>Recommandation de l&#8217;autorit\u00e9 de contr\u00f4le belge (Autorit\u00e9 de protection des donn\u00e9es, APD) du 17 janvier 2020 relative aux traitements de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins de marketing direct<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-16-pendant-combien-de-temps-un-employeur-doit-il-conserver-les-documents-comptables'>16) Pendant combien de temps un employeur doit-il conserver les documents comptables ?<\/h2>\n<p>Aux termes de l&#8217;article 16 du Code de commerce, les documents ou informations relatifs \u00e0 la comptabilit\u00e9 d&#8217;un commer\u00e7ant doivent \u00eatre conserv\u00e9s pendant 10 ans \u00e0 partir de la cl\u00f4ture de l&#8217;exercice auquel ils se rapportent.<\/p>\n<p>Il appara\u00eet indispensable de citer l&#8217;article 5 (1) (e) du RGPD pr\u00e9cisant que les donn\u00e9es ne peuvent \u00eatre conserv\u00e9es que pour une dur\u00e9e n&#8217;exc\u00e9dant pas celle n\u00e9cessaire \u00e0 la r\u00e9alisation des finalit\u00e9s pour lesquelles elles sont collect\u00e9es et trait\u00e9es.<\/p>\n<p>Par cons\u00e9quent, les documents comptables doivent \u00eatre conserv\u00e9s pendant une p\u00e9riode minimale de 10 ans. \u00c0 noter qu\u2019une p\u00e9riode de r\u00e9tention plus longue pour ces documents est possible, sous condition que cela soit raisonnable et justifi\u00e9 (et sp\u00e9cifi\u00e9, le cas \u00e9ch\u00e9ant, dans le registre des activit\u00e9s de traitement).<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Code-de-commerce.pdf#page=3\">Article 16 du Code de commerce<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-17-pendant-combien-de-temps-lemployeur-doit-il-conserver-les-dossiers-personnels-des-salaries'>17) Pendant combien de temps l\u2019employeur doit-il conserver les dossiers personnels des salari\u00e9s ?<\/h2>\n<p>En dehors de la question de la conservation des documents comptables, il n&#8217;y a pas de r\u00e9ponse pr\u00e9cise \u00e0 la question g\u00e9n\u00e9rale de la dur\u00e9e de conservation des dossiers personnels des salari\u00e9s. Effectivement, la dur\u00e9e de conservation d&#8217;un document d\u00e9pendra du type de document dont il est question et de la finalit\u00e9 de la conservation de ce document.<\/p>\n<p>Ici, il convient \u00e0 nouveau de citer l&#8217;article 5 (1) (e) du RGPD pr\u00e9cisant que les donn\u00e9es ne peuvent \u00eatre conserv\u00e9es que pour une dur\u00e9e n&#8217;exc\u00e9dant pas celle n\u00e9cessaire \u00e0 la r\u00e9alisation des finalit\u00e9s pour lesquelles elles sont collect\u00e9es et trait\u00e9es. L\u2019employeur est ainsi conseill\u00e9 \u00e0 op\u00e9rer une distinction entre les diff\u00e9rents documents composant les dossiers personnels de ses salari\u00e9s et de proc\u00e9der au cas par cas. Pour les documents rentrant dans la comptabilit\u00e9 de l&#8217;employeur, le d\u00e9lai l\u00e9gal de 10 ans pr\u00e9vu \u00e0 l&#8217;article 16 du Code de commerce s&#8217;impose.<\/p>\n<p>Pour tous les documents relatifs \u00e0 la relation de travail avec le salari\u00e9 (contrat de travail, avenants, avertissements, \u00e9valuations), il est recommand\u00e9 aux employeurs de les garder au moins jusqu&#8217;\u00e0 l&#8217;expiration du d\u00e9lai l\u00e9gal end\u00e9ans lequel le salari\u00e9 pourrait contester la r\u00e9siliation de son contrat de travail, et pendant toute la dur\u00e9e de la proc\u00e9dure judiciaire, en cas de litige port\u00e9 devant les juridictions.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Code-de-commerce.pdf#page=3\">Article 16 du Code de commerce<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-18-comment-lemployeur-peut-il-informer-les-candidats-dans-le-cadre-dun-recrutement-de-lutilisation-de-leurs-donnees-a-caractere-personnel'>18) Comment l\u2019employeur peut-il informer les candidats dans le cadre d\u2019un recrutement de l\u2019utilisation de leurs donn\u00e9es \u00e0 caract\u00e8re personnel ?<\/h2>\n<p>En pratique, cette information pr\u00e9alable obligatoire peut notamment se faire \u00e0 l\u2019aide d\u2019un wording sur la plateforme de recrutement (souvent le cas pour les grandes entreprises) ou gr\u00e2ce \u00e0 un e-mail de r\u00e9ponse automatique contenant l\u2019information n\u00e9cessaire. Pour la r\u00e9ception des candidatures par la poste, l\u2019employeur est libre soit de r\u00e9pondre via e-mail soit par courrier. Le plus important est qu\u2019il prenne des mesures appropri\u00e9es afin que la communication se fasse d\u2019une fa\u00e7on concise, transparente, compr\u00e9hensible et ais\u00e9ment accessible. Elle doit se faire en des termes clairs et simples. Dans chaque situation, tous les points de l\u2019article 13 du RGPD sont \u00e0 respecter.<\/p>\n<p>Il para\u00eet \u00e9galement indispensable de clarifier que l\u2019employeur est d\u00e9j\u00e0 \u00e0 ce stade oblig\u00e9 de respecter le principe de la minimisation des donn\u00e9es r\u00e9sultant de l\u2019article 5 (1) (c) du RGPD. Ainsi, il doit veiller \u00e0 ce que les donn\u00e9es \u00e0 caract\u00e8re personnel soient ad\u00e9quates, pertinentes et limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es. La demande du num\u00e9ro de matricule d\u2019un candidat pendant la phase du recrutement est par exemple \u00e0 \u00e9viter.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=39\">Article 12 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=40\">Article 13 du RGPD<\/a><\/strong><\/li>\n<li><strong>Consid\u00e9rants<\/strong> <strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=7\">39<\/a><\/strong><span style=\"text-decoration: underline;\"><strong>, <a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=11\">58-63<\/a><\/strong><\/span><strong> du RGPD<\/strong><\/li>\n<\/ul>\n<h2 id='s-19-comment-lemployeur-peut-il-informer-les-salaries-des-traitements-de-donnees-a-caractere-personnel-les-concernant-existe-il-une-clause-type-a-inserer-dans-les-contrats-de-travail'>19) Comment l\u2019employeur peut-il informer les salari\u00e9s des traitements de donn\u00e9es \u00e0 caract\u00e8re personnel les concernant ? Existe-il une clause type \u00e0 ins\u00e9rer dans les contrats de travail ?<\/h2>\n<p>L\u2019employeur peut satisfaire \u00e0 son obligation d\u2019information vis-\u00e0-vis de ses salari\u00e9s par diff\u00e9rents moyens. Ainsi, il peut par exemple envoyer un courrier \u00e0 tous les salari\u00e9s les informant des traitements de donn\u00e9es \u00e0 caract\u00e8re personnel qui les concernent ou envoyer une note interne via courriel \u00e0 son personnel.<\/p>\n<p>Un autre moyen est une clause y relative au contrat de travail. La FEDIL peut vous proposer le mod\u00e8le de clause suivant :<\/p>\n<p>\u00ab En vue de l\u2019ex\u00e9cution du pr\u00e9sent contrat de travail et des diverses obligations l\u00e9gales qui incombent \u00e0 l\u2019employeur en vertu du pr\u00e9sent contrat de travail, l\u2019employeur, responsable du traitement, proc\u00e8de au traitement de diverses donn\u00e9es \u00e0 caract\u00e8re personnel du salari\u00e9 (p. ex. nom, pr\u00e9nom, adresse postale, adresse e-mail, matricule, date de naissance, sans que cette liste ne soit limitative) conform\u00e9ment au r\u00e8glement (UE) n\u00b0 2016\/679 du 27 avril 2016 relatif \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel, ci-apr\u00e8s d\u00e9sign\u00e9 \u00ab RGPD \u00bb.<\/p>\n<p>Les personnes travaillant dans le d\u00e9partement des ressources humaines et (veuillez pr\u00e9ciser un autre service si tel est le cas) sont destinataires des donn\u00e9es \u00e0 caract\u00e8re personnel des salari\u00e9s.<\/p>\n<p>La base juridique au sens du RGPD des traitements de donn\u00e9es \u00e0 caract\u00e8re personnel est l\u2019ex\u00e9cution du contrat de travail, sans le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel, le contrat de travail ne peut pas \u00eatre ex\u00e9cut\u00e9. Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel r\u00e9pond, selon le cas, \u00e9galement \u00e0 une obligation l\u00e9gale \u00e0 laquelle l\u2019employeur est soumis (p. ex. communication \u00e0 l\u2019administration des contributions directes pour la fixation d\u2019imp\u00f4ts, d\u00e9claration d\u2019entr\u00e9e\/de sortie aupr\u00e8s du Centre commun de la s\u00e9curit\u00e9 sociale, etc.)<\/p>\n<p>Certaines donn\u00e9es \u00e0 caract\u00e8re personnel (veuillez pr\u00e9ciser lesquelles) sont transf\u00e9r\u00e9es \u00e0 (\u2026), sous-traitant au sens du RGPD pour le paiement des salaires (si tel est effectivement le cas).<\/p>\n<p>Les donn\u00e9es \u00e0 caract\u00e8re personnel seront conserv\u00e9es aussi longtemps que n\u00e9cessaire \u00e0 l\u2019ex\u00e9cution du contrat de travail, \u00e0 l\u2019accomplissement par l\u2019employeur de ses obligations l\u00e9gales et r\u00e9glementaires et \u00e0 l\u2019exercice des pr\u00e9rogatives lui \u00e9tant reconnues par la loi et la jurisprudence. La dur\u00e9e de conservation des donn\u00e9es \u00e0 caract\u00e8re personnel d\u00e9pend essentiellement du type de donn\u00e9e concern\u00e9e. \u00c0 titre d\u2019exemple, les donn\u00e9es \u00e0 caract\u00e8re personnel pouvant \u00eatre qualifi\u00e9es de \u00ab donn\u00e9es comptables \u00bb doivent \u00eatre conserv\u00e9es pendant une dur\u00e9e maximale de 10 ann\u00e9es. Les donn\u00e9es \u00e0 caract\u00e8re personnel des salari\u00e9s pouvant servir comme \u00e9l\u00e9ments de preuve en cas de contestations, revendications ou r\u00e9clamations \u00e9manant des salari\u00e9s sont conserv\u00e9es pendant 3 ann\u00e9es apr\u00e8s la fin des relations de travail (cette dur\u00e9e de conservation correspondant aux dispositions de l\u2019article 2277 du Code civil, selon lesquelles les actions en paiement des r\u00e9mun\u00e9rations de toute nature dues au salari\u00e9 se prescrivent par 3 ans). Pendant toute la dur\u00e9e de conservation des donn\u00e9es \u00e0 caract\u00e8re personnel, l\u2019employeur s\u2019engage \u00e0 mettre en place tous les moyens n\u00e9cessaires \u00e0 assurer leur confidentialit\u00e9 et leur s\u00e9curit\u00e9, de mani\u00e8re \u00e0 emp\u00eacher leur endommagement, effacement ou acc\u00e8s par des tiers non autoris\u00e9s.<\/p>\n<p>Le salari\u00e9 dispose d\u2019un droit d\u2019acc\u00e8s aux donn\u00e9es lui concernant ainsi que d\u2019un droit \u00e0 la rectification des donn\u00e9es \u00e0 caract\u00e8re personnel lui concernant. Le salari\u00e9 dispose du droit \u00e0 l\u2019effacement de ses donn\u00e9es \u00e0 caract\u00e8re personnel lorsque celui-ci n\u2019est pas en contradiction avec une obligation l\u00e9gale \u00e0 laquelle l\u2019employeur est soumis. Il peut exercer ses droits \u00e0 tout moment en envoyant un courriel \u00e0 (\u2026) ou en envoyant un courrier \u00e0 (\u2026).<\/p>\n<p>Le salari\u00e9 dispose du droit d\u2019introduire une r\u00e9clamation aupr\u00e8s de la Commission nationale pour la protection des donn\u00e9es (CNPD) s\u2019il consid\u00e8re qu\u2019un traitement de donn\u00e9es \u00e0 caract\u00e8re personnel le concernant constitue une violation du RGPD. \u00bb.<\/p>\n<p>La FEDIL tient \u00e0 rappeler que ce mod\u00e8le de clause doit \u00e9videmment \u00eatre adapt\u00e9 et compl\u00e9t\u00e9 selon les sp\u00e9cificit\u00e9s de l\u2019entreprise.<\/p>\n<ul>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-5-13-du-RGPD-R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=40\"><strong> Article 13 du RGPD<\/strong><\/a><\/li>\n<\/ul>\n<h2 id='s-20-pour-combien-de-temps-lemployeur-peut-il-conserver-des-donnees-a-caractere-personnel-de-candidats-non-retenus-apres-la-phase-de-recrutement'>20) Pour combien de temps l\u2019employeur peut-il conserver des donn\u00e9es \u00e0 caract\u00e8re personnel de candidats non retenus apr\u00e8s la phase de recrutement ?<\/h2>\n<p>Il n\u2019existe pas de disposition officielle, mais conform\u00e9ment \u00e0 l\u2019article 5 (1) (e) du RGPD, les donn\u00e9es \u00e0 caract\u00e8re personnel ne peuvent \u00eatre conserv\u00e9es sous une forme permettant l\u2019identification des personnes concern\u00e9es que pendant une dur\u00e9e qui n\u2019exc\u00e8de pas celle n\u00e9cessaire \u00e0 la r\u00e9alisation des finalit\u00e9s pour lesquelles elles sont collect\u00e9es et trait\u00e9es.<\/p>\n<p>La position de la CNPD est de dire que les donn\u00e9es \u00e0 caract\u00e8re personnel des candidats non retenus (volontaire ou non) doivent en principe \u00eatre d\u00e9truites de mani\u00e8re s\u00e9curis\u00e9e apr\u00e8s la p\u00e9riode d\u2019essai du candidat embauch\u00e9 vu que le traitement n\u2019ait plus aucune finalit\u00e9 claire et pr\u00e9cise, donc plus de base l\u00e9gale d\u2019apr\u00e8s l\u2019article 6 du RGPD. Selon la recommandation n\u00b0 02-017 de la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL), l\u2019autorit\u00e9 de contr\u00f4le fran\u00e7aise, cette dur\u00e9e de conservation est de 2 ans maximum \u00e0 compter du dernier contact avec le candidat.<\/p>\n<p>Or, le responsable du traitement pourrait les garder plus longtemps sous condition d\u2019avoir le consentement inform\u00e9, libre et clair de la personne concern\u00e9e, mais dans cette hypoth\u00e8se le responsable du traitement doit opter pour un d\u00e9lai pr\u00e9cis et raisonnable.<\/p>\n<p>D\u2019apr\u00e8s la loi du 23 juillet 2016, les casiers judiciaires pour les candidats non retenus apr\u00e8s la phase de recrutement doivent \u00eatre d\u00e9truits de mani\u00e8re s\u00e9curis\u00e9e sans d\u00e9lai tandis que ceux des candidats retenus doivent \u00eatre d\u00e9truits de mani\u00e8re s\u00e9curis\u00e9e 1 mois apr\u00e8s la conclusion du contrat de travail.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Loi-du-23-juillet-2016-relative-\u00e0-lorganisation-du-casier-judiciaire.pdf\">Loi du 23 juillet 2016 relative \u00e0 l\u2019organisation du casier judiciaire<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Recommandation-relative-\u00e0-la-collecte-et-au-traitement-d\u2019informations-nominatives-lors-d\u2019op\u00e9rations-de-recrutement.pdf\">D\u00e9lib\u00e9ration n\u00b002-017 de la CNIL du 21 mars 2002 portant adoption d\u2019une recommandation relative \u00e0 la collecte et au traitement d\u2019informations nominatives lors d\u2019op\u00e9rations de recrutement<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-21-est-ce-que-lemployeur-est-tenu-de-transmettre-les-declarations-daccident-de-travail-de-trajet-remplies-a-la-delegation-du-personnel-et-ou-au-delegue-a-la-securite-et-a-la-sante'>21) Est-ce que l\u2019employeur est tenu de transmettre les d\u00e9clarations d\u2019accident de travail \/ de trajet remplies \u00e0 la d\u00e9l\u00e9gation du personnel et\/ou au d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 et \u00e0 la sant\u00e9 au regard de l\u2019article L. 414-2. (5) du Code du travail ?<\/h2>\n<p>Non, \u00e0 notre avis, la transmission des d\u00e9clarations des accidents de travail \/ de trajet \u00e0 la d\u00e9l\u00e9gation du personnel et\/ou au d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 et \u00e0 la sant\u00e9 n\u2019est pas n\u00e9cessaire afin d\u2019atteindre la finalit\u00e9 pr\u00e9vue \u00e0 l\u2019article L. 414-2. (5) point 3 du Code du travail qui se limite \u00e0 pr\u00e9voir que l\u2019employeur est tenu de communiquer aux acteurs concern\u00e9s toutes les informations n\u00e9cessaires pour les informer quant \u00e0 l\u2019\u00e9volution du taux d\u2019absence des salari\u00e9s au sein de l\u2019entreprise.<\/p>\n<p>Or, transmettre (peu importe le support, papier ou \u00e9lectronique) le formulaire rempli en cas d\u2019un accident de travail \/ de trajet \u00e0 la d\u00e9l\u00e9gation du personnel et\/ou au d\u00e9l\u00e9gu\u00e9 \u00e0 la s\u00e9curit\u00e9 et \u00e0 la sant\u00e9 (sur demande ou d\u2019office) est \u00e0 notre sens disproportionn\u00e9, voire trop intrusif \u00e0 la vie priv\u00e9e de la personne concern\u00e9e du fait que ledit formulaire contient des donn\u00e9es n\u2019\u00e9tant pas n\u00e9cessaires pour atteindre la finalit\u00e9 claire et pr\u00e9cise cit\u00e9e en haut qui se limite \u00e0 une simple information relative \u00e0 l\u2019\u00e9volution du taux d\u2019absence des salari\u00e9s dans l\u2019entreprise.<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-L.-414-2.-5-du-Code-du-travail-Code-du-travail.pdf#page=184\">Article L. 414-2. (5) du Code du travail<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/aaa.public.lu\/fr\/documentation\/formulaires.html\">Formulaire de d\u00e9claration d\u2019un accident de travail \/ de trajet \u00e0 envoyer \u00e0 l\u2019Association d\u2019assurance accident (AAA)<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-5-13-du-RGPD-R\u00e8glement-g\u00e9n\u00e9ral-sur-la-protection-des-donn\u00e9es-RGPD.pdf#page=35\">Article 5 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-22-est-ce-que-lentreprise-utilisatrice-peut-refuser-de-communiquer-le-nom-du-salarie-remplace-dans-le-cadre-dun-contrat-de-mission-conclue-entre-le-travailleur-interimaire-et-l'>22) Est-ce que l\u2019entreprise utilisatrice peut refuser de communiquer le nom du salari\u00e9 remplac\u00e9 dans le cadre d\u2019un contrat de mission conclue entre le travailleur int\u00e9rimaire et l\u2019entreprise de travail int\u00e9rimaire en argumentant que ceci serait contraire au RGPD ?<\/h2>\n<p>Non, l\u2019article L. 131-6. (1) du Code du travail dispose, entre autres, que le contrat de mission doit obligatoirement comporter le nom du salari\u00e9 remplac\u00e9 (absent) dans l\u2019entreprise utilisatrice si le contrat de mission est conclu pour le remplacement temporaire de ce salari\u00e9 (peu importe si le remplacement est d\u00fb \u00e0 un cong\u00e9 parental, cong\u00e9 de maternit\u00e9, cong\u00e9 sans solde, etc.).<\/p>\n<p>Ainsi, le fait de demander le nom du salari\u00e9 remplac\u00e9 par l\u2019entreprise de travail int\u00e9rimaire est tout \u00e0 fait l\u00e9gal vu que le traitement de cette donn\u00e9e \u00e0 caract\u00e8re personnel du salari\u00e9 concern\u00e9 est n\u00e9cessaire pour l\u2019ex\u00e9cution de l\u2019obligation l\u00e9gale pr\u00e9cit\u00e9e en haut.<\/p>\n<p>Par cons\u00e9quent, la donn\u00e9e souhait\u00e9e peut \u00eatre demand\u00e9e et aurait sa base l\u00e9gale telle que pr\u00e9vue par l\u2019article 6 (point 1) du RGPD (indiquant que tout traitement de donn\u00e9es \u00e0 caract\u00e8re personnel doit remplir une des 6 conditions de lic\u00e9it\u00e9 pr\u00e9vues par le m\u00eame article).<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-L.-414-2.-5-du-Code-du-travail-Code-du-travail.pdf#page=60\">Article L. 131-6. (1) du Code du travail<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-5-13-du-RGPD-R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=36\">Article 6 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-23-est-ce-que-lentreprise-de-travail-interimaire-peut-refuser-de-communiquer-les-donnees-a-caractere-personnel-prevues-par-larticle-l-131-21-du-code-du-travail-au-ministre-du-trav'>23) Est-ce que l\u2019entreprise de travail int\u00e9rimaire peut refuser de communiquer les donn\u00e9es \u00e0 caract\u00e8re personnel pr\u00e9vues par l\u2019article L. 131-21. du Code du travail au ministre du Travail, de l\u2019Emploi et de l\u2019Economie sociale et solidaire ?<\/h2>\n<p>L\u2019article pr\u00e9cit\u00e9 du Code du travail dispose, entre autres, que l\u2019entreprise de travail int\u00e9rimaire est tenue de fournir au ministre comp\u00e9tent dans les huit premiers jours de chaque mois un relev\u00e9 des contrats de mission conclus au cours du mois pr\u00e9c\u00e9dent, en sp\u00e9cifiant les caract\u00e9ristiques de chaque mise \u00e0 disposition et de chaque salari\u00e9 int\u00e9rimaire mis \u00e0 disposition, notamment les nom, pr\u00e9noms, adresse, sexe, ann\u00e9e de naissance, nationalit\u00e9 du salari\u00e9, le poste occup\u00e9, l\u2019activit\u00e9 \u00e9conomique de l\u2019\u00e9tablissement utilisateur, le nombre de jours travaill\u00e9s ainsi que le salaire vers\u00e9 y compris les cotisations de s\u00e9curit\u00e9 sociale et l\u2019indemnit\u00e9 de cong\u00e9 pay\u00e9. Ainsi, l\u2019entreprise de travail int\u00e9rimaire ne peut pas refuser la communication des donn\u00e9es \u00e0 caract\u00e8re personnel concern\u00e9es, le traitement de ces donn\u00e9es du travailleur int\u00e9rimaire concern\u00e9 est tout \u00e0 fait l\u00e9gal vu qu\u2019il est n\u00e9cessaire pour l\u2019ex\u00e9cution de l\u2019obligation l\u00e9gale pr\u00e9cit\u00e9e en haut.<\/p>\n<p>Par cons\u00e9quent, le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel aurait sa base l\u00e9gale telle que pr\u00e9vue par l\u2019article 6 (point 1) du RGPD (indiquant que tout traitement de donn\u00e9es \u00e0 caract\u00e8re personnel doit remplir une des 6 conditions de lic\u00e9it\u00e9 pr\u00e9vues par le m\u00eame article) m\u00eame si les dispositions l\u00e9gales relatives au travail int\u00e9rimaire sont entr\u00e9es en vigueur avant le RGPD.<\/p>\n<ul>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-L.-414-2.-5-du-Code-du-travail-Code-du-travail.pdf#page=63\"><strong>Article L. 131-21. du Code du travail<\/strong><\/a><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2019\/12\/Article-5-13-du-RGPD-R%C3%A8glement-g%C3%A9n%C3%A9ral-sur-la-protection-des-donn%C3%A9es-RGPD.pdf#page=36\">Article 6 du RGPD<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-24-est-ce-que-le-responsable-du-traitement-doit-toujours-avoir-le-consentement-de-la-personne-concernee-sil-prend-des-photos'>24) Est-ce que le responsable du traitement doit toujours avoir le consentement de la personne concern\u00e9e s\u2019il prend des photos ?<\/h2>\n<p>Non. Ici, la jurisprudence diff\u00e9rencie entre les photos cibl\u00e9es et les photos non-cibl\u00e9es. Les photos cibl\u00e9es sont celles dans lesquelles une personne est le sujet principal, en y figurant seul, en y \u00e9tant mise \u00e0 l\u2019avant-plan ou en y prenant une pose (m\u00eame en groupe). Les photos non-cibl\u00e9es refl\u00e8tent l\u2019ambiance g\u00e9n\u00e9rale sans avoir une ou plusieurs personnes en tant que sujet principal. Le consentement (m\u00eame tacite) est n\u00e9cessaire pour les photos cibl\u00e9es. En g\u00e9n\u00e9ral, le fait de prendre une pose, individuellement ou en groupe, peut \u00eatre consid\u00e9r\u00e9 comme un consentement tacite \u00e0 la prise de vue. Pour les photos non-cibl\u00e9es, il suffit en g\u00e9n\u00e9ral d\u2019informer les personnes concern\u00e9es. Lors d\u2019\u00e9v\u00e9nements publics (par exemple concerts, manifestatives sportives, spectacles culturels, march\u00e9s de No\u00ebl, \u2026), le consentement des personnes pr\u00e9sentes peut \u00eatre pr\u00e9sum\u00e9 \u00e0 la prise de vue, en particulier si les conditions g\u00e9n\u00e9rales de l\u2019\u00e9v\u00e8nement le pr\u00e9cisent.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Lignes-directrices-sur-le-droit-\u00e0-limage-CNPD.pdf\">Lignes directrices sur le droit \u00e0 l\u2019image \u00e9tablies par la Commission nationale pour la protection des donn\u00e9es (CNPD)<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-25-linformation-que-des-photos-soient-prises-a-loccasion-dun-evenement-peut-prendre-quelles-formes'>25) L\u2019information que des photos soient prises \u00e0 l\u2019occasion d\u2019un \u00e9v\u00e9nement peut prendre quelles formes ?<\/h2>\n<p>L\u2019information des personnes pr\u00e9sentes \u00e0 un \u00e9v\u00e8nement peut \u00eatre effectu\u00e9 par l\u2019interm\u00e9diaire d\u2019un renvoi vers un site web, par une information figurant sur l\u2019invitation ou sur le billet d\u2019entr\u00e9e ou alors par un affichage appropri\u00e9 sur place.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Lignes-directrices-sur-le-droit-\u00e0-limage-CNPD.pdf\">Lignes directrices sur le droit \u00e0 l\u2019image \u00e9tablies par la Commission nationale pour la protection des donn\u00e9es (CNPD)<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-26-est-ce-que-la-publication-dune-photo-par-un-professionnel-entreprises-administrations-associations-necessite-t-elle-toujours-le-consentement-de-la-personne-concernee'>26) Est-ce que la publication d\u2019une photo par un professionnel (entreprises, administrations, associations) n\u00e9cessite-t-elle toujours le consentement de la personne concern\u00e9e ?<\/h2>\n<p>Non. Le droit \u00e0 l\u2019image et le droit \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel sont deux droits fondamentaux qui ne sont pas soumis aux m\u00eames conditions\u00a0: ainsi, si, en mati\u00e8re de droit \u00e0 l\u2019image, le consentement tacite est admis pour la capture de l\u2019image, tel n\u2019est pas le cas en mati\u00e8re de droit \u00e0 la protection des donn\u00e9es. D\u00e8s lors, en absence d\u2019un consentement explicite ou d\u2019acte positif clair \u00e0 la prise de vue, un responsable de traitement devra fonder son analyse sur une autre condition de lic\u00e9it\u00e9 pr\u00e9vue par le RGPD. Un responsable de traitement pourra par exemple invoquer ses \u00ab\u00a0int\u00e9r\u00eats l\u00e9gitimes\u00a0\u00bb. Cette condition de lic\u00e9it\u00e9 pr\u00e9suppose que le responsable du traitement prenne d\u00fbment en compte les \u00ab <em>libert\u00e9s et droits fondamentaux de la personne concern\u00e9e<\/em>\u00a0\u00bb.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Lignes-directrices-sur-le-droit-\u00e0-limage-CNPD.pdf\">Lignes directrices sur le droit \u00e0 l\u2019image \u00e9tablies par la Commission nationale pour la protection des donn\u00e9es (CNPD)<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-27-existe-t-il-dautres-documents-facilitant-la-mise-en-conformite-au-rgpd'>27) Existe-t-il d\u2019autres documents facilitant la mise en conformit\u00e9 au RGPD ?<\/h2>\n<p>Oui, il existe notamment des guides pratiques \u00e9labor\u00e9s par les autorit\u00e9s de contr\u00f4le belge et fran\u00e7aise.<\/p>\n<p>Le premier guide, r\u00e9alis\u00e9 par l\u2019autorit\u00e9 fran\u00e7aise, porte sur la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 caract\u00e8re personnel qui constitue un volet essentiel de la conformit\u00e9 au RGPD. Ainsi, il rappelle les pr\u00e9cautions \u00e9l\u00e9mentaires \u00e0 mettre en \u0153uvre de fa\u00e7on syst\u00e9matique dans chaque organisation.<\/p>\n<p>Le deuxi\u00e8me guide est \u00e9labor\u00e9 par l\u2019autorit\u00e9 belge et vise \u00e0 donner un aper\u00e7u succinct des principaux droits et obligations qui d\u00e9coulent du RGPD et qui sont pertinents pour les PME. Ce guide offre une assistance utile et efficace aux PME dans la mise en \u0153uvre de cette nouvelle r\u00e8glementation. \u00c0 noter que le document n\u2019a pas l\u2019ambition d\u2019aborder de mani\u00e8re exhaustive toute la l\u00e9gislation applicable en mati\u00e8re de protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Guide-de-la-s\u00e9curit\u00e9-des-donn\u00e9es-personnelles-2018-CNIL.pdf\">Guide de la s\u00e9curit\u00e9 des donn\u00e9es personnelles, \u00e9dition 2018 de la Commission Nationale de l\u2019Informatique et des Libert\u00e9s (CNIL)<\/a><\/strong><\/li>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Vade-mecum-pour-les-PME-de-lAPD.pdf\">Vade-mecum pour les PME de l\u2019Autorit\u00e9 de protection des donn\u00e9es (APD)<\/a><\/strong><\/li>\n<\/ul>\n<h1 id='s-la-surveillance-des-salaries-dans-le-cadre-des-relations-de-travail'>La surveillance des salari\u00e9s dans le cadre des relations de travail<\/h1>\n<h2 id='s-28-quest-ce-quune-surveillance-des-salaries-dans-le-cadre-des-relations-de-travail'>28) Qu\u2019est-ce qu\u2019une \u00ab surveillance \u00bb des salari\u00e9s dans le cadre des relations de travail ?<\/h2>\n<p>La surveillance inclut toute activit\u00e9 qui, op\u00e9r\u00e9e au moyen d&#8217;instruments techniques, consiste en l&#8217;observation, la collecte ou l&#8217;enregistrement de mani\u00e8re non occasionnelle des donn\u00e9es d&#8217;une ou plusieurs personnes relatives \u00e0 des comportements, des mouvements, des communications ou \u00e0 l&#8217;utilisation d&#8217;appareils \u00e9lectroniques et informatis\u00e9s. Comme exemple on pourrait citer la vid\u00e9osurveillance, les contr\u00f4les \u00e9lectroniques des acc\u00e8s (par exemple les badges), les contr\u00f4les \u00e9lectroniques des horaires de travail, le tra\u00e7age des communications et\/ou l&#8217;enregistrement d&#8217;entretiens t\u00e9l\u00e9phoniques, le contr\u00f4le de l&#8217;utilisation d&#8217;internet ou des courriers \u00e9lectroniques, les dispositifs de g\u00e9olocalisation (GPS) ou encore les syst\u00e8mes biom\u00e9triques. Contrairement \u00e0 la loi modifi\u00e9e du 2 ao\u00fbt 2002 relative \u00e0 la protection des personnes \u00e0 l&#8217;\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (abrog\u00e9e par la loi du 1<sup>ier<\/sup> ao\u00fbt 2018 portant organisation de la Commission nationale pour la protection des donn\u00e9es et du r\u00e9gime g\u00e9n\u00e9ral sur la protection des donn\u00e9es, le RGPD ne d\u00e9finit pas la notion de \u00ab\u00a0surveillance\u00a0\u00bb.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Avis-sur-le-traitement-des-donn\u00e9es-\u00e0-caract\u00e8re-personnel-sur-le-lieu-de-travail-de-lancien-groupe-de-travail-article-29.pdf\">Avis 02\/2017 du groupe de travail \u00ab\u00a0article 29\u00a0\u00bb du 8 juin 2017 sur le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel sur le lieu de travail<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-29-quels-sont-les-changements-principaux-relatifs-a-la-surveillance-des-salaries-dans-le-cadre-des-relations-de-travail-apres-lentree-en-vigueur-du-rgpd'>29) Quels sont les changements principaux relatifs \u00e0 la surveillance des salari\u00e9s dans le cadre des relations de travail apr\u00e8s l\u2019entr\u00e9e en vigueur du RGPD ?<\/h2>\n<p>Les changements majeurs en mati\u00e8re de surveillance des salari\u00e9s dans le cadre des relations de travail peuvent \u00eatre consult\u00e9s dans la note d\u2019information \u00e9labor\u00e9e par la FEDIL. La loi du 1<sup>ier<\/sup> ao\u00fbt 2018 portant organisation de la Commission nationale pour la protection des donn\u00e9es et mise en \u0153uvre du RGPD au Luxembourg a \u00e9t\u00e9 publi\u00e9e le 16 ao\u00fbt au M\u00e9morial du Grand-duch\u00e9 de Luxembourg. Elle est applicable depuis le 20 ao\u00fbt 2018.<\/p>\n<p>Plus d&#8217;informations :<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Note-dinformation-aux-membres_Surveillance-dans-le-cadre-des-relations-de-travail.pdf\">Note d\u2019information de la FEDIL<\/a><\/strong><\/li>\n<\/ul>\n<h2 id='s-30-existe-il-dautres-documents-facilitant-le-respect-des-nouvelles-dispositions-en-matiere-de-surveillance-des-salaries-dans-le-cadre-des-relations-de-travail'>30) Existe-il d\u2019autres documents facilitant le respect des nouvelles dispositions en mati\u00e8re de surveillance des salari\u00e9s dans le cadre des relations de travail ?<\/h2>\n<p>Oui, la Commission nationale pour la protection des donn\u00e9es (CNPD) a publi\u00e9 le 14 ao\u00fbt 2018 des lignes directrices en mati\u00e8re de vid\u00e9osurveillance et le 15 avril 2021 des lignes directrices en mati\u00e8re de g\u00e9olocalisation des v\u00e9hicules mis \u00e0 la disposition des salari\u00e9s. Elles s\u2019adressent aux responsables du traitement souhaitant avoir ou ayant recours \u00e0 des dispositifs de vid\u00e9osurveillance ou de g\u00e9olocalisation des v\u00e9hicules mis \u00e0 la disposition des salari\u00e9s.<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2018\/09\/Lignes-directrices-en-mati\u00e8re-de-videosurveillance-CNPD.pdf\">Lignes directrices \u00e9labor\u00e9es en mati\u00e8re de vid\u00e9osurveillance par la CNPD<\/a><\/strong><\/li>\n<li><a href=\"https:\/\/fedil.lu\/wp-content\/uploads\/2021\/04\/Lignes-directrices-en-matiere-de-geolocalisation-des-vehicules-mis-a-la-disposition-des-salaries-par-la-CNPD.pdf\"><strong>Lignes directrices \u00e9labor\u00e9es en mati\u00e8re de g\u00e9olocalisation des v\u00e9hicules mis \u00e0 la disposition des salari\u00e9s par la CNPD<\/strong><\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>1) Qu\u2019est-ce que le principe d\u2019\u00ab accountability\u00bb\u00a0? Il s\u2019agit d\u2019une des grandes nouveaut\u00e9s du R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) par rapport \u00e0 la Directive 95\/46\/CE du Parlement europ\u00e9en et du Conseil, du 24 octobre 1995, relative \u00e0 la protection des personnes physiques \u00e0 l\u2019\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et&#8230;  <a class=\"excerpt-read-more\" href=\"https:\/\/fedil.lu\/en\/publications\/faq-dans-le-cadre-du-rgpd\/\" title=\"ReadFAQ dans le cadre du RGPD\">Read more &raquo;<\/a><\/p>\n","protected":false},"author":16,"featured_media":0,"template":"","class_list":["post-10660","publication","type-publication","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/publication\/10660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/publication"}],"about":[{"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/types\/publication"}],"author":[{"embeddable":true,"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/users\/16"}],"version-history":[{"count":6,"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/publication\/10660\/revisions"}],"predecessor-version":[{"id":61676,"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/publication\/10660\/revisions\/61676"}],"wp:attachment":[{"href":"https:\/\/fedil.lu\/en\/wp-json\/wp\/v2\/media?parent=10660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}