← Article précédent
Télécharger en PDF
Article suivant →

L'employeur peut-il utiliser un logiciel de traçage des frappes clavier ?

Réponse courte

L'utilisation d'un logiciel de traçage des frappes clavier est strictement interdite au Luxembourg, sauf dans des cas exceptionnels et temporaires liés à la sécurité informatique ou à la prévention d'infractions graves. Une autorisation préalable de la CNPD est obligatoire et le dispositif doit être limité dans le temps, l'espace et les personnes concernées.

Définition

Le traçage des frappes clavier (keylogging) est un dispositif technique permettant d'enregistrer toutes les touches activées sur un clavier d'ordinateur. Ce système capture l'intégralité des saisies effectuées, y compris les données confidentielles, personnelles et professionnelles.

Conditions d’exercice

L'utilisation d'un keylogger requiert le respect cumulatif des conditions suivantes :

  • Existence d'un motif légitime lié à la sécurité des systèmes ou à la prévention d'actes illicites
  • Obtention d'une autorisation préalable de la CNPD
  • Réalisation d'une analyse d'impact relative à la protection des données
  • Information préalable des salariés concernés
  • Consultation de la délégation du personnel
  • Mise en place de garanties techniques limitant l'accès aux données

Modalités pratiques

L'employeur doit suivre cette procédure :

  • Documenter la nécessité et la proportionnalité du dispositif
  • Soumettre une demande détaillée à la CNPD
  • Informer individuellement chaque salarié concerné
  • Consulter la délégation du personnel selon l'article L.414-3
  • Limiter la durée de conservation des données au strict nécessaire
  • Désigner les personnes habilitées à accéder aux données
  • Mettre en place une procédure de traçabilité des accès

Pratiques et recommandations

Il est fortement recommandé de :

  • Privilégier des mesures de surveillance moins intrusives
  • Limiter le dispositif dans le temps et l'espace
  • Cibler uniquement les postes à risque identifiés
  • Établir des procédures d'urgence en cas de détection d'incident
  • Former le personnel habilité aux obligations légales
  • Documenter toutes les opérations de traitement

Cadre juridique

  • Article L.261-1 du Code du travail sur la surveillance au travail
  • Article L.414-3 du Code du travail sur la consultation du personnel
  • Articles 5, 6, 9 et 35 du RGPD
  • Loi du 1er août 2018 portant organisation de la CNPD
  • Délibération CNPD n°42/2023 sur la surveillance au travail
  • Articles 509-1 à 509-7 du Code pénal sur les atteintes aux systèmes informatiques

Note

Tout usage non autorisé d'un keylogger expose l'employeur à des sanctions pénales pouvant aller jusqu'à 5 ans d'emprisonnement et 125.000€ d'amende, ainsi qu'à des amendes administratives de la CNPD pouvant atteindre 4% du chiffre d'affaires annuel mondial.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 20.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...