← Article précédent
Télécharger en PDF
Article suivant →

Peut-on croiser les données d'accès et d'activité informatique des salariés au Luxembourg ?

Réponse courte

Le croisement des données d'accès et d'activité informatique des salariés est autorisé au Luxembourg sous conditions strictes. Il nécessite une base légale (intérêt légitime, obligation légale ou consentement), une finalité légitime, une information préalable des salariés, une consultation de la délégation du personnel et le respect des principes de proportionnalité. Toute surveillance individualisée doit être justifiée par des indices sérieux d'abus et ne peut être systématique.

Définition

Le croisement des données désigne l'association et l'analyse combinée des informations relatives aux accès informatiques (logs de connexion, horaires, identifiants) avec les données d'activité des salariés (navigation internet, utilisation des logiciels, communications). Ce traitement vise à contrôler l'usage des ressources informatiques ou à détecter des comportements anormaux.

Conditions d’exercice

L'employeur doit respecter trois conditions cumulatives :

  • Disposer d'une base légale valide (article L.261-1 du Code du travail)
  • Informer préalablement les salariés de manière claire et détaillée
  • Consulter la délégation du personnel ou l'ITM avant mise en œuvre

Le traitement doit être proportionné et justifié par :

  • La protection des biens de l'entreprise
  • La sécurité du système d'information
  • La prévention d'actes illicites
  • Le respect des obligations légales

Modalités pratiques

Avant tout croisement de données, l'employeur doit :

  • Réaliser une analyse d'impact (AIPD) si risque élevé
  • Informer individuellement chaque salarié (finalités, durée, droits)
  • Consulter la délégation du personnel (article L.414-9)
  • Documenter le traitement dans le registre RGPD
  • Limiter l'accès aux seules personnes habilitées

La surveillance ne peut être :

  • Permanente ou généralisée
  • Mise en place sans motif légitime
  • Utilisée à des fins discriminatoires

Pratiques et recommandations

Pour une mise en œuvre conforme :

  • Privilégier des mesures moins intrusives quand possible
  • Réévaluer régulièrement la nécessité du dispositif
  • Assurer un contrôle humain sur les décisions
  • Conserver une traçabilité des accès aux données
  • Former les personnes habilitées
  • Prévoir des procédures d'urgence en cas de violation

Cadre juridique

Code du travail luxembourgeois :

  • Article L.261-1 : Conditions de surveillance des salariés
  • Article L.414-9 : Consultation obligatoire de la délégation
  • Article L.261-2 : Protection de la vie privée

Loi du 1er août 2018 sur la protection des données :

  • Article 33 : Analyse d'impact
  • Article 34 : Information des personnes
  • Article 35 : Registre des traitements

RGPD applicable via la loi de 2018 :

  • Articles 5, 6 : Principes et licéité
  • Articles 13, 14 : Obligation d'information
  • Article 35 : AIPD

Note

La violation des obligations d'information et de consultation préalables rend les preuves issues du croisement de données irrecevables en justice. Un dispositif non conforme expose l'employeur à des sanctions administratives et pénales.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 20.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...