← Article précédent
Télécharger en PDF
Article suivant →

Une entreprise peut-elle sous-traiter la gestion de la vidéosurveillance ?

Réponse courte

Une entreprise peut sous-traiter la gestion de la vidéosurveillance au Luxembourg, à condition de respecter le Code du travail et la loi du 1er août 2018 sur la protection des données. La sous-traitance doit être encadrée par un contrat écrit précisant les modalités du traitement, et le sous-traitant doit offrir des garanties suffisantes en matière de sécurité et de confidentialité des données.

L’entreprise reste responsable de la conformité et doit informer et consulter la délégation du personnel avant toute mise en place ou modification du système. Elle doit également réaliser une analyse d’impact sur la protection des données si le dispositif présente un risque élevé, et s’assurer que l’accès aux images est strictement limité aux personnes habilitées.

Définition

La sous-traitance de la gestion de la vidéosurveillance désigne le fait, pour une entreprise, de confier à un prestataire externe tout ou partie des opérations liées à l’installation, la maintenance, l’exploitation ou la supervision des systèmes de vidéosurveillance. Cela inclut la surveillance en temps réel, le stockage, la consultation, la destruction des images et la maintenance technique des dispositifs.

Ce recours à un tiers implique que le prestataire traite des données à caractère personnel pour le compte de l’entreprise, qui demeure responsable du respect des droits des personnes concernées. La sous-traitance ne modifie pas la nature des obligations légales pesant sur l’employeur en matière de protection des données et de respect de la vie privée.

Conditions d’exercice

La sous-traitance de la gestion de la vidéosurveillance est possible au Luxembourg, sous réserve du respect des dispositions du Code du travail luxembourgeois, notamment en matière de protection de la vie privée des salariés (articles L.261-1 à L.261-4), et de la loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

L’entreprise doit garantir le respect des principes de licéité, de finalité, de proportionnalité et de minimisation des données. Elle doit également veiller à l’égalité de traitement entre les salariés et à l’absence de discrimination (articles L.241-1 et suivants du Code du travail).

Le sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données (article 28 de la loi du 1er août 2018).

Modalités pratiques

Avant toute sous-traitance, un contrat écrit doit être conclu entre l’entreprise et le prestataire, conformément à l’article 28 de la loi du 1er août 2018. Ce contrat doit préciser l’objet, la durée, la nature et la finalité du traitement, les catégories de données concernées, ainsi que les obligations et droits de chaque partie.

Le sous-traitant ne peut agir que sur instruction documentée de l’entreprise et ne peut sous-traiter à son tour sans autorisation écrite préalable. L’accès aux images doit être limité aux seules personnes habilitées, et les durées de conservation doivent respecter les prescriptions légales.

L’entreprise doit informer et consulter la délégation du personnel ou le comité mixte, conformément à l’article L.414-3 du Code du travail, avant la mise en place ou la modification d’un système de vidéosurveillance. Toute installation ou modification doit faire l’objet d’une déclaration préalable auprès de la CNPD, sauf exceptions prévues par la réglementation.

En cas de violation de données, le sous-traitant doit notifier sans délai l’entreprise, qui demeure l’interlocuteur unique de la CNPD.

Pratiques et recommandations

Il est recommandé de sélectionner un sous-traitant disposant d’une expertise avérée en sécurité des systèmes d’information et en conformité avec la réglementation luxembourgeoise sur la protection des données.

L’entreprise doit réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre du dispositif, en particulier si la vidéosurveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 du RGPD, applicable via la loi du 1er août 2018).

Il convient de documenter l’ensemble des traitements, de prévoir des audits réguliers du prestataire, et de garantir la traçabilité des accès et des opérations sur les images. L’information des salariés et des tiers sur la présence de caméras et la finalité du traitement est obligatoire, même en cas de sous-traitance (article L.261-1 du Code du travail).

Cadre juridique

  • Code du travail luxembourgeois :
    • Articles L.261-1 à L.261-4 (protection de la vie privée et vidéosurveillance)
    • Article L.414-3 (information et consultation du personnel)
    • Articles L.241-1 et suivants (égalité de traitement et non-discrimination)
  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel :
    • Article 28 (sous-traitance)
    • Article 32 (sécurité du traitement)
  • Règlement (UE) 2016/679 (RGPD), applicable via la loi nationale :
    • Article 35 (analyse d’impact)
  • Lignes directrices et recommandations de la CNPD relatives à la vidéosurveillance

Note

L’entreprise demeure pleinement responsable de la conformité et de la sécurité des données issues de la vidéosurveillance, même en cas de sous-traitance. Un contrôle rigoureux du prestataire, la documentation exhaustive des traitements et l’encadrement humain des dispositifs sont essentiels pour limiter les risques juridiques et garantir le respect des droits des personnes concernées.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 17.09.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...