L'employeur peut-il restreindre l'accès à certains sites internet pendant les heures de travail ?

Réponse courte

L'employeur peut restreindre l'accès à certains sites Internet via des filtres techniques (pare-feu, listes noires, filtrage de catégories) sur le fondement de son pouvoir de direction, à condition de justifier la mesure par un motif légitime (sécurité du SI, conformité légale, productivité) et de respecter la proportionnalité. Le filtrage en lui-même ne constitue pas une surveillance s'il ne collecte aucune donnée nominative.

En revanche, dès qu'un dispositif enregistre les tentatives d'accès par salarié ou produit des journaux nominatifs, il devient un traitement de données soumis au RGPD : information préalable, consultation de la délégation du personnel (article L.414-9 du Code du travail pour les entreprises d'au moins 150 salariés) et inscription au registre des traitements deviennent obligatoires.

Définition

La restriction d'accès Internet désigne l'ensemble des mesures techniques mises en place par l'employeur pour bloquer ou filtrer l'accès des salariés à certains sites web depuis les équipements professionnels : pare-feu, filtres URL, listes noires de catégories (réseaux sociaux, streaming, sites illicites).

Elle s'inscrit dans le pouvoir de direction de l'employeur. Lorsqu'elle s'accompagne d'une journalisation nominative des connexions, elle devient une mesure de surveillance au sens du RGPD et de l'article L.261-1 du Code du travail.

Questions fréquentes

Faut-il informer les salariés des sites bloqués au Luxembourg ?

Oui, la charte informatique annexée au règlement intérieur ou au contrat doit lister les catégories filtrées et la justification métier. Un salarié sanctionné pour contournement doit avoir été informé au préalable des règles.

L'employeur peut-il bloquer l'accès à certains sites internet pendant le travail ?

Oui, via des filtres techniques (pare-feu, listes noires, filtrage de catégories) sur le fondement de son pouvoir de direction (article L.121-4), à condition de justifier la mesure et de respecter la proportionnalité.

Le filtrage internet constitue-t-il une mesure de surveillance ?

Non, le simple filtrage technique sans collecte nominative reste libre. Mais dès qu'un journal nominatif enregistre les tentatives d'accès par salarié, le régime du traitement de données RGPD s'applique pleinement (registre, AIPD, consultation).

Quelles catégories de sites peut-on filtrer légalement ?

Les catégories liées à la sécurité du SI, à la conformité légale ou à la préservation de la productivité (réseaux sociaux, streaming, sites illicites). Le filtrage par catégories est préféré au blocage individualisé, moins intrusif.

Quelles sanctions en cas de journalisation nominative non documentée ?

La journalisation nominative non documentée expose à des amendes administratives RGPD jusqu'à 4 % du chiffre d'affaires mondial. La consultation de la délégation (L.414-9) et le registre des traitements (article 30 RGPD) deviennent obligatoires.

Une procédure de levée de blocage est-elle nécessaire ?

Oui, il est recommandé de prévoir un mécanisme permettant à un salarié de demander l'accès professionnel à un site bloqué, avec révision annuelle des listes de filtrage avec la délégation du personnel.

Conditions d’exercice

Le simple filtrage technique sans collecte nominative reste libre, mais dès qu'un journal individualise le salarié, le régime du traitement de données s'applique pleinement.

Condition	Exigence
Motif légitime	Sécurité du SI, conformité légale, préservation de la productivité
Proportionnalité	Filtrage par catégories préféré au blocage individualisé
Filtrage vs surveillance	Filtrage seul = libre ; journalisation nominative = traitement RGPD
Information préalable	Charte informatique remise à chaque salarié
Consultation délégation	Obligatoire dès que le filtrage devient un dispositif de surveillance (L.414-9)

Modalités pratiques

La transparence des règles de filtrage est essentielle : un salarié sanctionné pour avoir contourné un filtre doit avoir été informé au préalable des règles applicables.

Démarche	Précision
Charte informatique	Annexée au règlement intérieur ou au contrat ; catégories filtrées et justification
Notice individuelle	Information écrite préalable de chaque salarié sur les règles applicables
Procès-verbal délégation	Consultation requise si les logs sont nominatifs (L.414-9)
AIPD	Obligatoire si journalisation nominative à risque élevé (article 35 RGPD)
Registre des traitements	Article 30 RGPD si données nominatives collectées
Conservation	Logs limités à 6-12 mois ; justification documentée au-delà
Procédure de levée	Mécanisme permettant à un salarié de demander l'accès professionnel à un site bloqué

Pratiques et recommandations

Privilégier le filtrage par catégories plutôt que le blocage individualisé, moins intrusif.

Documenter la liste des catégories filtrées et la justification métier de chaque restriction.

Informer clairement les salariés via la charte informatique et un message d'erreur explicite lors d'un blocage.

Distinguer dans la documentation la mesure de filtrage technique de la surveillance des tentatives d'accès.

Prévoir une procédure permettant à un salarié de demander l'accès professionnel à un site bloqué.

Réviser annuellement les listes de filtrage avec la délégation du personnel.

Cadre juridique

Référence	Objet
Art. L.121-4 du Code du travail	Pouvoir de direction de l'employeur
Art. L.261-1 du Code du travail	Surveillance des salariés (loi du 1er août 2018)
Art. L.414-9 du Code du travail	Co-décision de la délégation du personnel
Loi modifiée du 1er août 2018	Protection des données personnelles
Règlement (UE) 2016/679 (RGPD)	Articles 5, 6, 12-13, 30 (si journalisation nominative)
Lignes directrices CNPD	Cybersurveillance sur le lieu de travail

Note

Sanctionner un salarié pour avoir consulté un site sans charte préalable et sans information rend la sanction contestable devant le tribunal du travail. La journalisation nominative non documentée expose à des amendes administratives RGPD jusqu'à 4 % du chiffre d'affaires mondial.