Vos questions

Entreprise installée au Royaume-Uni

Je suis une entreprise installée au Royaume-Uni et je souhaite envoyer un travailleur salarié travailler temporairement au Luxembourg après le retrait du Royaume-Uni de l'Union européenne. Quelle sera sa situation de sécurité sociale ?

Les règlements européens n’étant plus d’application, la situation dépendra des législations nationales applicables.

En vertu de la législation luxembourgeoise, les personnes qui exercent au Luxembourg une activité professionnelle pour le compte d’autrui contre rémunération sont affiliées à la sécurité sociale luxembourgeoise. Les salariés britanniques envoyés au Luxembourg pour y travailler devront donc en principe être affiliés à la sécurité sociale luxembourgeoise.

La législation luxembourgeoise prévoit cependant la possibilité d’être dispensés de l’affiliation sur demande, à condition que la durée de l’affectation temporaire au Luxembourg ne dépassent pas un an et que le salarié soit couvert par un régime de sécurité sociale étranger.

Si la période d’activité professionnelle au Luxembourg excède 3 mois, l’employeur devra néanmoins payer la part patronale des cotisations pension lui incombant (8 %). La dispense peut être prolongée d’un an par le Centre commun de la sécurité sociale et au-delà par le Ministre de la sécurité sociale.

Je suis une entreprise installée au Royaume-Uni et j’ai envoyé un travailleur salarié travailler temporairement au Luxembourg avant la date de retrait pour une période se prolongeant après cette date. Quelle sera sa situation de sécurité sociale après le retrait du Royaume-Uni de l'Union européenne ?

Les règlements européens n’étant plus d’application après le retrait du Royaume-Uni de l'Union européenne, la situation dépendra des législations nationales applicables à partir de cette date.

En vertu de la législation luxembourgeoise, les personnes qui exercent au Luxembourg une activité professionnelle pour le compte d’autrui contre rémunération sont affiliées à la sécurité sociale luxembourgeoise. Les salariés britanniques envoyés au Luxembourg pour y travailler devront donc en principe être affiliés à la sécurité sociale luxembourgeoise.

La législation luxembourgeoise prévoit cependant la possibilité d’être dispensé de l’affiliation sur demande, à condition que la durée de l’affectation temporaire au Luxembourg ne dépasse pas un an et que le salarié soit couvert par un régime de sécurité sociale étranger.

Si la période d’activité professionnelle au Luxembourg excède 3 mois, l’employeur devra néanmoins payer la part patronale des cotisations pension lui incombant (8 %). La dispense peut être prolongée d’un an par le Centre commun de la sécurité sociale et au-delà par le Ministre de la sécurité sociale.

J’ai acheté des produits sur un site en ligne d’une société établie au Luxembourg. Cette société, transmet mon historique d’achat à une de ses filiales au Royaume-Uni pour des raisons de gestion de ses stocks. Est-ce que la société luxembourgeoise est autorisée à transférer mes données à sa filiale britannique après le 29 mars 2019 ?

En l’absence d’un accord de retrait, la réglementation européenne en vigueur cessera de s’appliquer sur le territoire britannique après le 29 mars 2019. Cela signifie que le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données.

À l’égard de la société luxembourgeoise, les droits dont la personne concernée bénéficie en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles d’une personne est obligé d’informer cette dernière :

  • de son identité ;
  • de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif ;
  • des destinataires des informations ;
  • des droits reconnus à la personne concernée en vertu du règlement général sur la protection des données ;
  • des éventuels transferts de données vers un pays hors de l’Union européenne.

Le responsable de traitement doit lui donner ces éléments dans un langage simple et clair au moment même de la collecte des données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de la personne concernée.

Ainsi, la société luxembourgeoise devra informer la personne concernée du transfert de ses données personnelles vers sa filiale britannique et de la base légale sur laquelle elle se fonde pour les transférer.

Enfin, sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information, la société luxembourgeoise devra pour continuer à effectuer légalement des transferts vers sa filiale britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. La société luxembourgeoise pourra, par exemple, avoir recours à des clauses types de protection des données. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de garantir à la personne concernée une protection appropriée de ses données lors d’un tel transfert, puisque la filiale britannique de la société luxembourgeoise gérant le site en ligne devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

J’ai acheté des produits sur un site en ligne d’une société établie au Royaume-Uni. Est-ce que j’aurai les mêmes droits dont je bénéficie actuellement en vertu du règlement général pour la protection des données, après le 29 mars 2019 ?

En l’absence d’un accord de retrait, la réglementation européenne en vigueur cessera de s’appliquer sur le territoire britannique après le 29 mars 2019. La législation nationale du Royaume-Uni deviendra en principe applicable.

Par ailleurs, l’autorité de protection des données britannique a précisé que le gouvernement britannique entendait adopter une loi similaire au règlement général sur la protection des données en cas de sortie de "Brexit - No deal".

Ainsi, la personne concernée pourra toujours introduire une réclamation auprès de la Commission nationale pour la protection des données (CNPD) en cas de différends avec le responsable de traitement, que la CNPD transmettra le cas échéant à ses homologues britanniques.

La CNPD pourrait être, le cas échéant, compétente dans cette hypothèse sur base d’une application indirecte du règlement général sur la protection des données.

Je suis un salarié employé au Luxembourg qui voyage régulièrement au Royaume-Uni pour des raisons professionnelles. Dans ce contexte, mon employeur établi au Luxembourg envoie systématiquement mes données personnelles (nom, prénom, numéro de téléphone…) à une entité basée au Royaume-Uni, qui est chargée de la gestion de mes déplacements professionnels. Est-ce que mon employeur aura le droit de continuer à transférer mes données après le 29 mars 2019 ?

En l’absence d’un accord de retrait, le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données après le 29 mars 2019.

À l’égard de leur employeur luxembourgeois, les droits dont la personne concernée bénéficie en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles d’une personne est obligé d’informer cette dernière :

  • de son identité ;
  • de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif ;
  • des destinataires des informations ;
  • des droits reconnus à la personne concernée en vertu du règlement général sur la protection des données ;
  • des éventuels transferts de données vers un pays hors de l’Union européenne.

Le responsable de traitement doit lui donner ces éléments dans un langage simple et clair au moment même de la collecte de vos données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de la personne concernée.

Ainsi, un employeur établi au Luxembourg devra informer la personne concernée du transfert de ses données personnelles à l’entité établie au Royaume-Uni et de la base légale sur laquelle il se fonde pour les transférer.

Enfin, et sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information, l’employeur devra pour continuer à effectuer légalement des transferts vers l’entité britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. L’employeur pourra, par exemple, avoir recours à des clauses contractuelles types. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de garantir à la personne concernée une protection appropriée de ses données lors d’un tel transfert, puisque l’entité britannique chargée de la gestion de vos déplacements professionnels devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

Toutefois et dans l’hypothèse où il s’agirait de voyages professionnels occasionnels effectués dans le cadre du contrat de travail, le transfert pourra avoir lieu sur une base juridique différente, à savoir sur la base d’une des dérogations prévues par la législation applicable en vigueur (par exemple si l’employeur est en mesure de justifier que ce transfert est nécessaire à l’exécution du contrat de travail). Néanmoins cela ne dispense pas l’employeur de communiquer à la personne concernée les éléments d’information précités.

Je suis un investisseur personne physique titulaire d’actions dans un fonds d’investissement domiciliés au Luxembourg. Ce fonds d’investissement créé par une institution financière établie au Royaume-Uni (banque) souhaite avoir notamment la communication de mes données personnelles à des fins statistiques. Est-ce que le fonds d’investissement luxembourgeois est autorisé à transférer mes données à l’institution financière britannique après le 29 mars 2019 ?

En l’absence d’un accord de retrait, le Royaume-Uni sera à considérer comme un pays tiers au sens du règlement général pour la protection des données après le 29 mars 2019.

À l’égard du fonds d’investissement luxembourgeois, les droits dont la personne bénéficie en vertu du règlement général pour la protection des données, dont notamment le droit à l’information, sont maintenus. En effet, quiconque met en œuvre un fichier ou un traitement de données personnelles d’une personne est obligé d’informer cette dernière :

  • de son identité ;
  • de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif ;
  • des destinataires des informations ;
  • des droits reconnus à la personne concernée en vertu du règlement général sur la protection des données ;
  • des éventuels transferts de données vers un pays hors de l’Union européenne.

Le responsable de traitement doit lui donner ces éléments dans un langage simple et clair au moment même de la collecte des données ou, au plus tard, endéans un mois suivant la collecte, si les données n’ont pas été collectées directement auprès de la personne concernée.

Ainsi, le fonds d’investissement luxembourgeois devra informer la personne concernée du transfert de ses données personnelles à l’institution financière établie au Royaume-Uni et de la base légale sur laquelle il se fonde pour les transférer.

Enfin, et sous réserve du respect des principes généraux du règlement général sur la protection des données, dont le droit à l’information détaillé ci-dessus, le fonds d’investissement luxembourgeois devra pour continuer à effectuer légalement des transferts vers l’institution financière britannique, en l’absence de décision d’adéquation formelle prise par la Commission européenne, se baser sur un des mécanismes légaux prévus par le règlement général pour la protection des données. Le fonds d’investissement pourra, par exemple, avoir recours à des clauses types de protection des données. Il s’agit de modèles de contrats de transferts de données personnelles adoptés par la Commission européenne. Un recours à de tels clauses permet de garantir à la personne concernée une protection appropriée de ses données lors d’un tel transfert, puisque l’institution financière britannique devra respecter les obligations relatives à la protection des données contenues dans ces clauses.

Dernière modification le