Les données de surveillance peuvent-elles servir à évaluer la performance d'un salarié ?
Réponse courte
L'utilisation des données de surveillance (logs, badges, vidéosurveillance, géolocalisation, monitoring) à des fins d'évaluation de la performance est strictement encadrée au Luxembourg : la finalité d'évaluation doit avoir été explicitement déclarée dès la mise en place du dispositif, faute de quoi tout détournement de finalité est interdit. Une décision uniquement automatisée produisant des effets juridiques pour le salarié est interdite par l'article 22 du RGPD.
L'évaluation doit faire l'objet d'une information préalable détaillée du salarié, d'une consultation de la délégation (L.414-9), d'une AIPD si risque élevé, et d'une intervention humaine systématique dans la décision. Les données collectées illégalement entraînent la nullité de l'évaluation et l'irrecevabilité des sanctions devant le tribunal du travail.
Définition
Le traitement des données de surveillance à des fins d'évaluation désigne l'exploitation d'informations collectées via des dispositifs techniques (vidéosurveillance, badgeage, logs informatiques, géolocalisation, outils de monitoring) pour apprécier le travail, la productivité ou le comportement professionnel d'un salarié.
Cette pratique relève à la fois de l'article L.261-1 du Code du travail, qui exige la finalité déterminée, et du RGPD, en particulier de l'article 22 prohibant les décisions uniquement automatisées produisant des effets juridiques.
Questions fréquentes
Conditions d’exercice
La finalité d'évaluation doit avoir été expressément annoncée lors de la mise en place du dispositif ; détourner un dispositif de sécurité pour évaluer la performance constitue un changement de finalité illicite.
| Condition | Exigence |
|---|---|
| Finalité explicite | Évaluation expressément déclarée dès l'installation, sans détournement de finalité |
| Information préalable | Notice individuelle précisant l'usage évaluatif des données collectées |
| Consultation délégation | Procès-verbal préalable de la délégation du personnel (L.414-9) |
| Intervention humaine | Décision finale prise par un humain ; pas de notation automatisée seule (article 22 RGPD) |
| Critères objectifs | Indicateurs définis, mesurables et opposables, communiqués aux salariés |
| Droit d'accès et de réponse | Salarié informé des données utilisées et disposant d'un droit de contestation |
Modalités pratiques
Les durées de conservation des données d'évaluation varient selon la nature : 8 à 30 jours pour les images, 6 à 12 mois pour les logs ; au-delà, la conservation doit être justifiée précisément dans le registre.
| Démarche | Précision |
|---|---|
| Inscription au registre | Article 30 RGPD : finalité d'évaluation explicitement mentionnée |
| AIPD | Obligatoire pour les évaluations à risque élevé ou systématiques (article 35 RGPD) |
| Consultation délégation | Procès-verbal préalable signé (L.414-9) avant tout usage évaluatif |
| Information individuelle | Notice écrite remise à chaque salarié avec mention de la finalité d'évaluation |
| Critères transparents | Grille d'évaluation accessible, opposable et mesurable |
| Intervention humaine | Validation par un responsable hiérarchique avant toute décision |
| Droit de contestation | Procédure formelle avec délai et instance d'appel |
Pratiques et recommandations
Annoncer explicitement la finalité d'évaluation dès la mise en place du dispositif et inscrire cette finalité au registre.
Combiner plusieurs sources d'évaluation pour ne jamais fonder une décision sur une seule donnée automatisée.
Former les managers aux limites juridiques du contrôle automatisé et à l'obligation d'examen humain.
Documenter chaque entretien d'évaluation et les éléments factuels qui le fondent, distincts des seules données techniques.
Garantir au salarié un droit d'accès aux données utilisées et un droit de réponse formalisé.
Réviser annuellement les critères d'évaluation avec la délégation pour vérifier leur pertinence et leur proportionnalité.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel pour les installations de contrôle |
| Art. L.423-1 du Code du travail | Information préalable des organismes de représentation du personnel |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5 (finalité), 22 (décision automatisée), 35 (AIPD), 88 (relations de travail) |
| Lignes directrices CNPD | Surveillance et évaluation des salariés |
Note
Une évaluation fondée sur des données collectées en violation du RGPD est nulle et la sanction qui en découle est irrecevable devant le tribunal du travail. Les amendes administratives RGPD peuvent atteindre 20 millions € ou 4 % du chiffre d'affaires mondial.