Quels sont les risques encourus par un employeur en cas de surveillance illégale des salariés au Luxembourg ?

Réponse courte

L’employeur qui met en place une surveillance illégale des salariés au Luxembourg s’expose à des sanctions civiles, pénales et administratives cumulatives. Il risque notamment des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, la suspension ou la suppression des dispositifs illicites par la CNPD, ainsi que des poursuites pour atteinte à la vie privée selon le Code pénal.

Les preuves obtenues par un dispositif de surveillance illégal sont en principe irrecevables devant les juridictions luxembourgeoises, ce qui peut compromettre la défense de l’employeur en cas de litige. L’absence de respect des formalités d’information, de consultation ou de déclaration constitue également un manquement susceptible d’entraîner des sanctions supplémentaires.

Définition

La surveillance illégale désigne toute opération de contrôle, d’écoute, d’enregistrement, de prise d’images ou de collecte de données concernant un salarié, réalisée sans respecter les conditions strictes prévues par la législation luxembourgeoise. Sont notamment visées la vidéosurveillance non déclarée, l’accès non autorisé aux courriels professionnels, la géolocalisation injustifiée ou la collecte de données biométriques sans fondement légal.

Une surveillance est réputée illégale dès lors qu’elle porte atteinte à la vie privée du salarié, qu’elle est mise en œuvre sans information préalable, sans consultation de la délégation du personnel ou sans autorisation préalable de la Commission nationale pour la protection des données (CNPD) lorsque celle-ci est requise.

La surveillance doit toujours respecter le principe de proportionnalité, la finalité déterminée et la transparence à l’égard des salariés, conformément aux exigences du Code du travail et de la législation sur la protection des données.

Conditions d’exercice

L’employeur ne peut recourir à des dispositifs de surveillance que si ceux-ci sont justifiés par la nature de la tâche à accomplir et proportionnés au but recherché. Toute surveillance doit faire l’objet d’une information préalable, claire et complète des salariés concernés.

Lorsque la surveillance implique un traitement de données à caractère personnel, l’employeur doit respecter les obligations prévues par la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, notamment la réalisation d’une analyse d’impact lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La consultation préalable de la délégation du personnel est obligatoire, sauf absence de celle-ci dans l’entreprise. L’égalité de traitement entre salariés doit être garantie lors de la mise en place de tout dispositif de surveillance.

Modalités pratiques

Avant toute mise en place d’un dispositif de surveillance, l’employeur doit informer individuellement chaque salarié, en précisant la finalité, la durée de conservation des données, les destinataires et les modalités d’exercice des droits d’accès, de rectification et d’opposition.

La déclaration ou la demande d’autorisation auprès de la CNPD est requise pour certains dispositifs, notamment la vidéosurveillance sur le lieu de travail ou la collecte de données biométriques. L’absence de respect de ces formalités rend la surveillance illicite, indépendamment de la finalité poursuivie.

Les preuves obtenues par un dispositif illégalement mis en place sont en principe irrecevables devant les juridictions luxembourgeoises, sauf circonstances exceptionnelles appréciées souverainement par les juges. L’employeur doit également assurer la traçabilité des démarches entreprises et garantir l’encadrement humain des dispositifs automatisés.

Pratiques et recommandations

Il est recommandé de documenter l’ensemble des démarches préalables à la mise en place d’un dispositif de surveillance, notamment la consultation de la délégation du personnel, l’information des salariés et, le cas échéant, la déclaration ou la demande d’autorisation auprès de la CNPD.

Toute surveillance systématique, permanente ou disproportionnée est proscrite. L’employeur doit privilégier des mesures alternatives moins intrusives et limiter l’accès aux données collectées aux seules personnes habilitées.

En cas de doute sur la légalité d’un dispositif, il convient de solliciter un avis juridique spécialisé ou de consulter la CNPD. Il est également conseillé de mettre à jour régulièrement la documentation interne relative à la protection des données et de former les responsables concernés.

Cadre juridique

Code du travail luxembourgeois :
- Article L.261-1 à L.261-4 (protection de la vie privée au travail, conditions de mise en place de la surveillance, information et consultation du personnel)
- Article L.415-10 (égalité de traitement)
Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (transposant le RGPD)
Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg
Code pénal luxembourgeois :
- Article 309 (atteinte à l’intimité de la vie privée par enregistrement ou transmission non autorisés)
Pouvoirs de la CNPD :
- Contrôle, suspension, suppression des dispositifs illicites, sanctions administratives (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial)
Jurisprudence luxembourgeoise sur la recevabilité des preuves issues d’une surveillance illicite

Note

L’absence de respect des formalités d’information, de consultation ou de déclaration expose l’employeur à des sanctions civiles, pénales et administratives cumulatives, ainsi qu’à la nullité des preuves recueillies. Toute surveillance doit être strictement encadrée, justifiée et documentée.