Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

Lucca et RGPD : guide de conformité 2026

Lucca est-il conforme au RGPD ? Analyse du DPA, de l'hébergement, de la sécurité et des obligations employeur sur le SIRH.

Lucca est l’un des éditeurs de SIRH les plus implantés dans les PME et ETI françaises, avec plus de 8 000 entreprises clientes. Fondée en 2002 et basée en région parisienne, la société propose une suite modulaire bien connue des services RH : Figgo (congés et absences), Timmi (temps de travail et activités), Cleemy (notes de frais), Poplee (entretiens, people review, engagement) et Pagga (distribution des bulletins de paie). Cette modularité fait sa force commerciale — mais elle multiplie aussi les traitements de données à documenter.

Car un SIRH comme Lucca concentre les données les plus sensibles de l’entreprise : au-delà des données d’identité, il traite les coordonnées bancaires (notes de frais, remboursements), les arrêts maladie et justificatifs d’absence, les évaluations de performance, et potentiellement des données révélant l’appartenance syndicale via les heures de délégation. Plusieurs de ces données relèvent de l’article 9 du RGPD sur les données sensibles.

La bonne nouvelle : Lucca est une entreprise française, hébergeant ses données en France et certifiée ISO 27001 depuis 2022. Le risque ne vient pas de l’outil, mais de la façon dont vous le configurez et dont vous documentez votre conformité en tant qu’employeur. C’est ce que ce guide détaille. Consultez également nos analyses de PayFit, Silae, Personio et BambooHR, notre guide RGPD par outil et notre dossier RGPD et ressources humaines.

Qualification juridique : Lucca comme sous-traitant

Lorsque vous utilisez Lucca pour gérer les congés, les temps, les notes de frais ou les entretiens de vos salariés, Lucca agit en qualité de sous-traitant (processor) au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui déterminez les finalités (administration du personnel, gestion des absences, suivi des entretiens annuels) et les moyens essentiels du traitement. Lucca fournit l’infrastructure logicielle et exécute le traitement selon vos instructions documentées.

Cette qualification vaut pour l’ensemble des modules de la suite. Lucca ne décide pas, à votre place, des finalités pour lesquelles vous évaluez vos salariés ou conservez leurs justificatifs d’absence — c’est l’employeur qui le fait, et c’est donc l’employeur qui porte la responsabilité principale au sens du RGPD. Pour comprendre la frontière entre les deux rôles, voir notre fiche sous-traitant RGPD.

Catégories de données traitées

Selon les modules activés, Lucca traite notamment :

  • Données d’identité : nom, prénom, matricule, date de naissance, photo le cas échéant
  • Données de contact : adresse, email professionnel et personnel, téléphone
  • Données bancaires : IBAN pour le remboursement des notes de frais (module Cleemy)
  • Données d’absence et de santé : arrêts maladie, justificatifs médicaux, congés liés à l’état de santé (Figgo) — relèvent de l’article 9
  • Données de temps et d’activité : pointages, temps passé par projet, géolocalisation éventuelle (Timmi)
  • Données d’évaluation : comptes rendus d’entretiens, objectifs, people review, réponses aux enquêtes d’engagement (Poplee)
  • Données syndicales : heures de délégation, donnée sensible au sens de l’Art. 9

Personnes concernées : salariés, anciens salariés, stagiaires, managers, parfois candidats et prestataires gérés dans l’outil.

La sensibilité de ces données n’a rien de théorique. En janvier 2024, la CNIL a infligé une amende de 32 millions d’euros à Amazon France Logistique (délibération SAN-2023-021) pour un système de suivi de l’activité des salariés jugé excessivement intrusif. Le suivi du temps via un outil comme Timmi doit donc rester proportionné : chaque traitement doit être justifié par une base légale appropriée (exécution du contrat de travail, obligation légale, ou intérêt légitime dûment évalué) et documenté dans votre registre des traitements.

Analyse du DPA Lucca

Lucca intègre un accord de sous-traitance (Data Processing Agreement) à ses conditions générales, conforme aux exigences de l’article 28 du RGPD. Voici notre évaluation :

Exigence Art. 28 Couverture Lucca Commentaire
Objet, durée, nature du traitement Oui Défini par les modules souscrits
Instructions documentées du RT Oui Traitement sur instructions du client uniquement
Confidentialité du personnel Oui Engagement des collaborateurs Lucca
Mesures de sécurité (Art. 32) Oui Annexe sécurité, ISO 27001
Sous-traitants ultérieurs Oui Liste communiquée, information préalable
Assistance droits des personnes Oui Outils d’export et de suppression
Suppression/restitution en fin de contrat Oui Restitution puis suppression après résiliation
Audits Oui Certificat ISO 27001 et documentation sécurité
Transferts hors UE Non applicable Hébergement en France

Point fort : comme PayFit ou Silae, Lucca aborde la conformité dans une logique européenne native, sans les compromis fréquents chez les éditeurs américains. La couverture des exigences de l’article 28 est complète.

Point d’attention : vérifiez que le DPA est effectivement accepté et archivé, et examinez la liste des sous-traitants ultérieurs de Lucca. En cas de contrôle de la CNIL, le contrat de sous-traitance est le premier document demandé. Conservez-en une copie avec votre registre.

Hébergement et transferts internationaux

Lucca héberge l’intégralité des données de ses clients en France. Aucun transfert de données personnelles vers un pays tiers n’est réalisé dans le cadre du fonctionnement normal de la plateforme. C’est un avantage net par rapport aux solutions américaines comme BambooHR ou Workday, qui imposent une analyse des transferts hors UE et des garanties supplémentaires (Data Privacy Framework, clauses contractuelles types).

Étant une société française, Lucca n’est pas soumise au CLOUD Act américain ni au FISA Section 702. Les éventuelles réquisitions des autorités françaises s’inscrivent dans le cadre du droit national et européen, ce qui reste conforme au RGPD.

Conséquence pratique : aucune analyse d’impact relative aux transferts (Transfer Impact Assessment) n’est requise pour l’usage standard de Lucca. C’est une simplification considérable de votre documentation. Vérifiez néanmoins que les sous-traitants ultérieurs de Lucca sont eux aussi situés dans l’UE ; si un prestataire de support ou de monitoring se trouvait hors UE, un transfert indirect pourrait exister.

Sécurité informatique

Les données RH traitées par Lucca exigent un niveau de sécurité élevé. La combinaison de coordonnées bancaires (notes de frais), de données d’absence pour raison médicale et d’évaluations de performance crée un risque de préjudice sérieux en cas de violation. Lucca s’appuie sur :

  • Certification ISO 27001 (obtenue en 2022) attestant d’un système de management de la sécurité de l’information ;
  • Hébergement en France avec un modèle où l’hébergeur n’accède pas aux données client ;
  • Chiffrement des données en transit (TLS) et au repos ;
  • Contrôles d’accès par rôle, authentification, journalisation des accès ;
  • Traçabilité et tests de sécurité réguliers.

Ces mesures répondent aux obligations de l’article 32 du RGPD. Attention toutefois à la responsabilité partagée : Lucca sécurise l’infrastructure, mais la sécurité des accès à votre espace relève de vous. Des identifiants compromis côté employeur exposent l’ensemble des données salariales. En cas de violation, la notification à la CNIL sous 72 heures reste de votre responsabilité en tant que responsable de traitement.

Configuration recommandée

Voici les étapes indispensables pour utiliser Lucca en conformité :

  1. Vérifier et archiver le DPA. Assurez-vous que l’accord de sous-traitance est accepté et conservez-en une copie dans votre documentation RGPD.

  2. Configurer les accès par rôle. Le module Poplee donne accès à des évaluations, Cleemy à des IBAN, Figgo à des motifs d’absence. Appliquez strictement le principe de minimisation (Art. 5(1)©) : un manager n’a pas à voir le motif médical d’un arrêt maladie, ni les coordonnées bancaires de son équipe.

  3. Activer l’authentification forte. Imposez le MFA (et/ou le SSO) à tous les utilisateurs ayant accès aux modules sensibles.

  4. Définir les durées de conservation. Paramétrez la rétention selon les obligations légales : justificatifs de congés, comptes rendus d’entretiens (durée limitée à l’utilité), notes de frais. Voir notre guide sur la durée de conservation des données.

  5. Documenter dans le registre. Ajoutez chaque traitement Lucca dans votre registre : gestion des congés, suivi des temps, notes de frais, entretiens — chacun avec sa base légale, ses catégories de données et sa durée de conservation.

  6. Informer les salariés. Rédigez une notice conforme aux articles 13 et 14 du RGPD précisant que leurs données sont traitées via Lucca, les finalités, les durées et leurs droits (accès, rectification, effacement dans les limites légales). Cette information peut être intégrée à la charte informatique.

  7. Encadrer le module Poplee. Les entretiens, people review et enquêtes d’engagement constituent des évaluations de personnes. Définissez qui y accède, pendant combien de temps les comptes rendus sont conservés, et veillez à ce que les enquêtes « anonymes » le soient réellement (un échantillon trop fin réidentifie les répondants).

  8. Évaluer la nécessité d’une AIPD. Si vous utilisez Lucca pour un suivi systématique des performances ou une géolocalisation via Timmi, une analyse d’impact (AIPD) peut être requise au titre de l’article 35 du RGPD.

Points d’attention spécifiques à Lucca

Suivi du temps et surveillance (Timmi)

Le suivi du temps de travail est légitime, mais il ne doit pas glisser vers une surveillance permanente. La proportionnalité est la ligne rouge tracée par la CNIL dans l’affaire Amazon. Si vous activez la géolocalisation des déplacements, l’usage doit être strictement limité à la finalité déclarée (note de frais kilométrique, suivi de chantier) et jamais détourné en contrôle continu des salariés. Les règles applicables au télétravail méritent une attention particulière sur ce point.

Données de santé dans Figgo

Les motifs d’absence pour raison médicale relèvent de l’article 9. La base légale est l’article 9(2)(b) — traitement nécessaire à l’exécution des obligations en droit du travail et de la sécurité sociale. Ces données doivent bénéficier d’un accès restreint au seul service RH : un manager peut connaître l’absence, pas son motif médical.

Enquêtes d’engagement et anonymat

Les enquêtes Poplee présentées comme anonymes posent un risque récurrent : lorsqu’on segmente les réponses par équipe de trois personnes, l’anonymat n’existe plus. Vérifiez les seuils d’agrégation avant de diffuser les résultats, faute de quoi un traitement présenté comme anonyme redevient un traitement de données personnelles soumis au RGPD.

Intégrations et flux sortants

Lucca s’interface fréquemment avec un logiciel de paie ou un ERP. Chaque flux exporté (par exemple les variables de paie vers PayFit ou un outil comptable) constitue un traitement à documenter et chaque destinataire un tiers ou un sous-traitant à recenser dans votre registre.

Ce qu’il faut retenir

  • Lucca est un sous-traitant au sens de l’article 28 ; votre entreprise demeure responsable de traitement et porte la conformité.
  • Atout majeur : société française, hébergement en France, ISO 27001, DPA conforme — donc pas de transfert hors UE ni de TIA à réaliser.
  • Le risque est dans la configuration : accès par rôle, minimisation, durées de conservation et information des salariés sont de votre responsabilité.
  • Modules sensibles à encadrer : Timmi (proportionnalité du suivi du temps), Figgo (données de santé), Poplee (évaluations et faux anonymat des enquêtes).
  • Documentez tout dans votre registre des traitements et évaluez la nécessité d’une AIPD pour les usages d’évaluation systématique.

FAQ

Lucca est-il conforme au RGPD ?

Oui, sur le plan de l’outil : Lucca est une entreprise française, héberge ses données en France, est certifiée ISO 27001 et propose un DPA conforme à l’article 28. La conformité finale dépend cependant de votre configuration en tant qu’employeur : gestion des accès, durées de conservation et information des salariés relèvent de votre responsabilité.

Faut-il réaliser une AIPD pour Lucca ?

Pas systématiquement. La gestion des congés ou des notes de frais ne l’exige pas en soi. En revanche, un suivi systématique des performances via Poplee, une géolocalisation via Timmi, ou un traitement de données de santé à grande échelle peuvent rendre une AIPD recommandée voire obligatoire au titre de l’article 35 du RGPD et des critères publiés par la CNIL.

Mon manager peut-il voir toutes mes données dans Lucca ?

Non. Le principe de minimisation impose que chacun n’accède qu’aux données nécessaires à sa fonction. Un manager peut valider vos congés sans connaître le motif médical d’un arrêt, et n’a pas à accéder à votre IBAN. En tant que salarié, vous disposez d’un droit d’accès à l’ensemble de vos données détenues dans l’outil.

Les données Lucca sont-elles transférées hors d’Europe ?

Non, dans le cadre d’un usage standard : Lucca héberge ses données en France et n’effectue pas de transfert vers un pays tiers. Aucune analyse d’impact sur les transferts n’est donc requise. Vérifiez toutefois la localisation des éventuels sous-traitants ultérieurs de Lucca.