La surveillance électronique des salariés est-elle encadrée par la CNPD ?
Réponse courte
La surveillance électronique des salariés est strictement encadrée par la Commission nationale pour la protection des données (CNPD). L'article L.261-1 du Code du travail subordonne tout traitement de données à des fins de surveillance au respect du RGPD et impose une information préalable détaillée de la délégation du personnel ou, à défaut, de l'ITM.
La CNPD veille au respect des principes de finalité, proportionnalité et minimisation des données dans les dispositifs de surveillance. L'employeur doit documenter chaque traitement dans son registre, réaliser une analyse d'impact pour les traitements à risque élevé et informer individuellement chaque salarié concerné. Les sanctions en cas de non-conformité peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.
Définition
L'encadrement de la surveillance électronique par la CNPD désigne le contrôle exercé par l'autorité luxembourgeoise de protection des données sur les dispositifs techniques utilisés par les employeurs pour surveiller l'activité de leurs salariés. Ce contrôle porte sur la conformité au RGPD et au Code du travail.
Conditions d’exercice
La mise en place d'une surveillance électronique des salariés est soumise à des conditions strictes.
| Condition | Détail |
|---|---|
| Base légale | Le traitement doit reposer sur l'article 6, paragraphe 1, du RGPD (art. L.261-1) |
| Information préalable | La délégation du personnel ou l'ITM doit être informée avant la mise en œuvre |
| Description détaillée | L'information doit contenir la finalité, les moyens et la durée de conservation |
| Proportionnalité | Le dispositif doit être strictement nécessaire à la finalité poursuivie |
| AIPD | Une analyse d'impact est obligatoire pour les traitements à risque élevé |
Modalités pratiques
La mise en conformité d'un dispositif de surveillance électronique suit un processus structuré.
| Étape | Détail |
|---|---|
| Registre | Inscrire le traitement dans le registre des activités de traitement |
| AIPD | Réaliser une analyse d'impact si le traitement présente un risque élevé |
| Information collective | Informer la délégation du personnel avec description détaillée de la finalité |
| Information individuelle | Informer chaque salarié concerné conformément aux articles 13-14 du RGPD |
| Révision périodique | Réévaluer la nécessité et la proportionnalité du dispositif chaque année |
Pratiques et recommandations
Consulter la CNPD en amont de tout projet de surveillance électronique pour vérifier la conformité du dispositif envisagé et éviter les sanctions a posteriori.
Désigner un délégué à la protection des données (DPO) chargé de superviser la conformité des traitements de surveillance et de servir d'interlocuteur avec la CNPD.
Limiter la durée de conservation des données de surveillance au strict minimum nécessaire à la finalité déclarée et paramétrer une suppression automatique à l'échéance.
Documenter chaque dispositif de surveillance dans une fiche de traitement incluant la finalité, la base légale, les catégories de données, les destinataires et la durée de conservation. La consultation de la délégation est un préalable obligatoire.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 Code du travail | Encadrement du traitement de données à des fins de surveillance des salariés |
| Règlement (UE) 2016/679 (RGPD) | Principes de protection des données, bases légales et sanctions |
| Loi du 1er août 2018 | Loi nationale d'application du RGPD et compétences de la CNPD |
Note
La CNPD peut effectuer des contrôles inopinés dans les entreprises et ordonner la cessation immédiate d'un traitement non conforme. Les salariés peuvent saisir directement la CNPD en cas de surveillance qu'ils estiment illicite, sans passer par l'employeur.