← Article précédent
Télécharger en PDF
Article suivant →

Un salarié peut-il publier la photo d'un client sans violer le RGPD au Luxembourg ?

Réponse courte

Un salarié ne peut pas publier la photo d'un client sur un support accessible à des tiers sans violer le RGPD au Luxembourg, sauf si le client a donné un consentement préalable, spécifique, éclairé et librement exprimé. Ce consentement doit être recueilli par écrit ou par tout moyen permettant d'en rapporter la preuve, et le client doit avoir été informé de manière claire des finalités, des destinataires, de la durée de conservation et de ses droits.

En l'absence de ce consentement, la publication constitue une violation caractérisée du RGPD et expose l'employeur à des sanctions administratives (jusqu'à 20 M€ ou 4 % du CA) et à des actions en responsabilité civile. L'employeur et le salarié doivent également respecter les principes de minimisation, transparence et sécurité des données, ainsi que les obligations d'information et de traçabilité imposées par la loi du 1er août 2018.

Définition

La publication d'une photo d'un client par un salarié désigne la diffusion, sur un support accessible à des tiers (site internet, réseaux sociaux, intranet, etc.), d'une image permettant d'identifier directement ou indirectement une personne physique ayant la qualité de client de l'entreprise. Une telle photo constitue une donnée à caractère personnel au sens de l'article 4, point 1, du Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg, dès lors qu'elle permet d'identifier la personne concernée.

La notion de donnée à caractère personnel inclut toute information se rapportant à une personne physique identifiée ou identifiable, ce qui englobe l'image d'un client dès lors qu'elle permet son identification indirecte.

Questions fréquentes

Quelles bases légales autorisent la publication ?
L'article 6 du RGPD prévoit le consentement, l'exécution d'un contrat ou l'intérêt légitime. L'article 7 exige un consentement préalable, spécifique, éclairé et librement donné. L'article 13 impose l'information sur la finalité, les destinataires, la durée et les droits.
Quelles bonnes pratiques pour la gestion des photos de clients ?
Il est recommandé de limiter strictement la prise et la publication aux situations nécessaires, de former les salariés, d'intégrer une procédure de gestion des demandes d'effacement dans le règlement interne et de solliciter l'avis du DPO en cas de doute.
Quelles obligations procédurales pour l'employeur ?
Il faut tenir un registre des traitements (article 30 RGPD), garantir la sécurité des données (article 32), gérer les droits d'accès, de rectification, d'effacement et d'opposition (articles 15-21), et documenter les mesures techniques et organisationnelles mises en place.
Quelles sanctions en cas de publication sans consentement ?
La publication constitue une violation caractérisée du RGPD et expose l'employeur à des sanctions administratives (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) et à des actions en responsabilité civile de la part du client concerné.
Quels textes encadrent la publication de photos de clients ?
Le règlement (UE) 2016/679 (RGPD articles 5, 6, 7, 13, 30, 32), la loi du 1er août 2018 sur la protection des données au Luxembourg et la CNPD, l'article L.261-1 (protection des données dans l'entreprise) et l'article L.251-1 (non-discrimination) du Code du travail.
Un salarié peut-il publier la photo d'un client sans violer le RGPD au Luxembourg ?
Non, sauf si le client a donné un consentement préalable, spécifique, éclairé et librement exprimé. Ce consentement doit être recueilli par écrit ou par tout moyen permettant d'en rapporter la preuve, avec information claire des finalités, destinataires, durée et droits.

Conditions d’exercice

Les conditions juridiques applicables à la publication d'une photo de client sont résumées ci-dessous.

Condition Exigence Référence
Base légale Consentement, contrat ou intérêt légitime Art. 6 RGPD
Consentement Préalable, spécifique, éclairé, librement donné Art. 7 RGPD
Information Finalité, destinataires, durée, droits Art. 13 RGPD
Principes Minimisation, finalité, loyauté, transparence Art. 5 RGPD
Protection au travail Protection des données des clients Art. L.261-1 Code du travail

Modalités pratiques

Les étapes opérationnelles avant toute publication d'une photo de client sont résumées ci-dessous.

Étape Modalité Référence
Information préalable Finalités, destinataires, durée, droits Art. 13 RGPD
Recueil du consentement Écrit ou preuve équivalente Art. 7 RGPD
Registre des traitements Tenu par le responsable du traitement Art. 30 RGPD
Sécurité des données Mesures techniques et organisationnelles Art. 32 RGPD
Gestion des droits Accès, rectification, effacement, opposition Art. 15-21 RGPD
Sanctions en cas de violation Amendes administratives et responsabilité civile Loi du 1er août 2018

Pratiques et recommandations

Il est recommandé de limiter strictement la prise et la publication de photos de clients aux situations où cela est nécessaire et justifié par l'activité de l'entreprise. L'employeur doit former les salariés aux obligations relatives à la protection des données personnelles et rappeler que la publication non autorisée d'une photo engage leur responsabilité disciplinaire et civile.

Il convient d'intégrer dans le règlement interne une procédure de gestion des demandes d'effacement ou d'opposition formulées par les clients, ainsi qu'un dispositif de contrôle et de traçabilité des publications. En cas de doute sur la légitimité d'une publication, l'avis du délégué à la protection des données (DPO) doit être sollicité.

L'entreprise doit également documenter les mesures techniques et organisationnelles mises en place pour garantir la sécurité et la confidentialité des données, conformément à l'article 32 du RGPD.

Cadre juridique

Référence Objet
Règlement (UE) 2016/679 (RGPD) Protection des données personnelles
Art. 5, 6, 7, 13 RGPD Principes, base légale, consentement, information
Art. 30, 32 RGPD Registre des traitements, sécurité
Loi du 1er août 2018 Protection des données au Luxembourg, CNPD
Art. L.261-1 Code du travail Protection des données dans l'entreprise
Art. L.251-1 Code du travail Non-discrimination

Note

La publication d'une photo d'un client sans consentement constitue une violation caractérisée du RGPD et expose l'employeur à des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, ainsi qu'à des actions en responsabilité civile de la part du client concerné. L'employeur doit veiller à la traçabilité du consentement et à l'encadrement humain de tout traitement automatisé.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...