L'employeur peut-il croiser les données d'accès et d'activité informatique des salariés ?
Réponse courte
Le croisement des données d'accès (badges) et d'activité informatique (logs, navigation, applications) est autorisé au Luxembourg uniquement sous conditions strictes : base légale identifiée (intérêt légitime ou obligation légale), finalité explicite annoncée dès la mise en place, proportionnalité documentée et consultation préalable de la délégation du personnel (L.414-9). Une surveillance individualisée fondée sur ce croisement n'est licite qu'en présence d'indices objectifs d'abus ; un croisement systématique est interdit.
L'employeur doit réaliser une AIPD (article 35 RGPD), informer individuellement les salariés du croisement et de ses finalités, limiter strictement les habilitations et inscrire le traitement au registre. Sans ces formalités, les preuves issues du croisement sont irrecevables et l'employeur s'expose à des sanctions administratives RGPD jusqu'à 4 % du CA mondial.
Définition
Le croisement des données d'accès et d'activité informatique désigne l'association et l'analyse combinée des informations relatives aux accès physiques (badges, horodatage des entrées/sorties) avec les données d'activité informatique (logs de connexion, identifiants, applications utilisées, navigation).
Ce traitement vise à détecter des comportements anormaux ou à contrôler l'usage des ressources, mais il accroît l'intrusion dans la vie privée des salariés et impose un encadrement renforcé au regard du RGPD et de l'article L.261-1 du Code du travail.
Questions fréquentes
Conditions d’exercice
Le croisement systématique généralisé est interdit ; il n'est licite que ponctuellement, sur la base d'indices objectifs documentés, et dans un périmètre strictement limité aux faits suspectés.
| Condition | Exigence |
|---|---|
| Base légale RGPD | Intérêt légitime article 6.1.f ou obligation légale, avec test de mise en balance documenté |
| Finalité explicite | Croisement annoncé dès la mise en place, sans détournement ultérieur |
| Indices objectifs | Pour les croisements ciblés : suspicion documentée fondée sur des éléments concrets |
| Proportionnalité | Périmètre limité aux données pertinentes ; surveillance permanente exclue |
| Information préalable | Notice individuelle précisant la possibilité de croisement et ses finalités |
| Consultation délégation | Co-décision pour les entreprises ≥ 150 salariés (L.414-9) |
Modalités pratiques
Le croisement à des fins disciplinaires individualisées doit être autorisé par la direction par écrit avant l'analyse, avec motivation détaillée et périmètre fermé ; l'analyse exploratoire est interdite.
| Démarche | Précision |
|---|---|
| AIPD | Obligatoire pour les croisements à risque élevé (article 35 RGPD) |
| Test d'intérêt légitime | Documentation écrite de la mise en balance droits/intérêts (article 6.1.f) |
| Consultation délégation | Procès-verbal préalable signé (L.414-9) |
| Information individuelle | Notice écrite mentionnant explicitement la possibilité de croisement |
| Inscription au registre | Identification du croisement, finalités, durées, destinataires (article 30 RGPD) |
| Habilitations restreintes | Liste nominative et journalisation des accès aux données croisées |
| Encadrement humain | Validation humaine systématique avant toute décision défavorable au salarié |
Pratiques et recommandations
Privilégier des contrôles ponctuels sur indices objectifs plutôt qu'un croisement systématique généralisé.
Documenter par écrit la base légale retenue et le test de mise en balance pour chaque traitement croisé.
Restreindre l'accès aux données croisées à un cercle nominatif minimal avec journalisation systématique.
Tracer chaque opération de croisement avec horodatage, motif, périmètre et signataire identifiable.
Informer la délégation du personnel des hypothèses de croisement et associer le DPO à la procédure.
Réviser régulièrement la nécessité du dispositif et supprimer les croisements devenus obsolètes.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.261-2 du Code du travail | Sanctions pénales en cas de violation |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel pour les installations de contrôle |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 6, 12-13, 22, 30, 35 |
| Lignes directrices CNPD | Croisement de données et surveillance des salariés |
Note
La violation des obligations d'information, de consultation et de proportionnalité rend les preuves issues du croisement irrecevables devant le tribunal du travail et expose l'employeur à des sanctions administratives RGPD jusqu'à 4 % du chiffre d'affaires mondial et à des sanctions pénales (L.261-2).