Quels sont les risques encourus par un employeur en cas de surveillance illégale des salariés au Luxembourg ?

Réponse courte

L'employeur qui met en place une surveillance illégale s'expose à des sanctions cumulatives : amendes administratives RGPD jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, sanctions pénales (article L.261-2 du Code du travail : 8 jours à 1 an d'emprisonnement et 251 € à 125 000 € d'amende), cessation du traitement sous astreinte ordonnée par le tribunal et dommages-intérêts au salarié.

Les preuves obtenues par un dispositif illicite sont irrecevables devant le tribunal du travail, ce qui annule toute sanction disciplinaire fondée sur ces preuves. La CNPD peut également ordonner la suspension immédiate du dispositif et engager des poursuites pour atteinte à la vie privée (article 309 du Code pénal).

Définition

La surveillance illégale désigne tout dispositif de contrôle des salariés mis en œuvre sans respecter les conditions cumulatives prévues par l'article L.261-1 du Code du travail, le RGPD et la loi modifiée du 1er août 2018 : finalité limitative, nécessité, proportionnalité, information préalable, consultation de la délégation du personnel, AIPD et registre des traitements.

Sont notamment qualifiés d'illicites : la vidéosurveillance non documentée, la géolocalisation non déclarée au registre, l'accès aux courriels privés, le keylogger non justifié, l'enregistrement des appels sans annonce préalable.

Questions fréquentes

La CNPD peut-elle se saisir d'office d'une plainte pour surveillance ?

Oui, la CNPD peut être saisie par un tiers ou agir d'office, avec pouvoirs d'investigation étendus. Elle peut ordonner la suspension immédiate du dispositif et publier ses décisions, créant un risque réputationnel.

Peut-on régulariser un dispositif de surveillance illicite a posteriori ?

Non, la régularisation a posteriori ne supprime pas les sanctions encourues pour la période d'illicéité. Les preuves recueillies pendant la période illicite restent irrecevables devant le tribunal du travail.

Quel est le montant maximal des amendes RGPD pour surveillance illégale ?

Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 83 du RGPD). Les sanctions sont prononcées par la CNPD.

Quelles sont les sanctions pénales prévues par L.261-2 ?

8 jours à 1 an d'emprisonnement et 251 € à 125 000 € d'amende, cumulables ou alternatives. Une atteinte à l'intimité de la vie privée peut aussi être poursuivie sur le fondement de l'article 309 du Code pénal.

Quels dispositifs sont qualifiés de surveillance illégale ?

La vidéosurveillance non documentée, la géolocalisation non déclarée au registre, l'accès aux courriels privés, le keylogger non justifié, l'enregistrement des appels sans annonce préalable et tout dispositif hors L.261-1.

Quels sont les risques pour un employeur en cas de surveillance illégale au Luxembourg ?

Sanctions cumulatives : amendes RGPD jusqu'à 20 millions € ou 4 % du CA mondial, sanctions pénales L.261-2 (8 jours à 1 an et 251 € à 125 000 €), cessation sous astreinte, dommages-intérêts au salarié et irrecevabilité des preuves.

Conditions d’exercice

Le cumul des sanctions administratives, pénales et procédurales rend la surveillance illégale particulièrement coûteuse, indépendamment du préjudice subi par le salarié.

Condition	Exigence
Sanctions administratives RGPD	Jusqu'à 20 M € ou 4 % du CA mondial — le plus élevé
Sanctions pénales L.261-2	8 jours à 1 an + 251 € à 125 000 € (cumulables ou alternatives)
Cessation sous astreinte	Le tribunal peut ordonner la cessation avec montant journalier
Irrecevabilité des preuves	Toute sanction disciplinaire fondée sur ces preuves est annulée
Atteinte à la vie privée	Article 309 du Code pénal — peines complémentaires

Modalités pratiques

La CNPD peut être saisie par un salarié ou agir d'office ; ses contrôles débouchent souvent sur une mise en demeure publique, la cessation immédiate du dispositif et une amende administrative.

Démarche	Précision
Réclamation CNPD	Sans condition préalable, gratuite ; effet suspensif possible
Contrôle CNPD	Saisine par tiers ou d'office ; pouvoirs d'investigation étendus
Saisine du tribunal du travail	Litige individuel — annulation des sanctions, dommages-intérêts
Saisine du parquet	Sanctions pénales L.261-2 et article 309 Code pénal
Cessation sous astreinte	Ordonnée par le tribunal sur requête
Reputational risk	Publication des décisions CNPD ; presse spécialisée
Dommages-intérêts	Réparation du préjudice moral et financier au salarié

Pratiques et recommandations

Documenter rigoureusement chaque dispositif par AIPD, registre, notice, charte et procès-verbal.

Suspendre immédiatement tout dispositif dont la conformité est douteuse en attendant régularisation.

Consulter systématiquement le DPO et la délégation avant toute évolution d'un dispositif existant.

Auditer annuellement la conformité de l'ensemble des dispositifs avec un référentiel formalisé.

Former les managers et la direction aux finalités limitatives de l'article L.261-1.

Souscrire une assurance responsabilité civile RGPD pour couvrir le risque résiduel.

Cadre juridique

Référence	Objet
Art. L.261-1 du Code du travail	Surveillance des salariés (loi du 1er août 2018)
Art. L.261-2 du Code du travail	Sanctions pénales (8 jours à 1 an + 251 € à 125 000 €)
Art. L.414-9 du Code du travail	Co-décision de la délégation du personnel
Art. 309 du Code pénal	Atteinte à l'intimité de la vie privée
Loi modifiée du 1er août 2018	Protection des données personnelles
Règlement (UE) 2016/679 (RGPD)	Articles 5, 6, 12-13, 30, 35, 83
Lignes directrices CNPD	Surveillance sur le lieu de travail

Note

Le cumul des sanctions peut largement dépasser le coût de mise en conformité initial. Une seule fiche de surveillance non documentée peut déclencher un contrôle CNPD couvrant l'ensemble des traitements de l'entreprise. La régularisation a posteriori ne supprime pas les sanctions encourues pour la période d'illicéité.