Le contrôle par intelligence artificielle des salariés est-il autorisé au Luxembourg ?
Réponse courte
Le contrôle par intelligence artificielle des salariés est autorisé au Luxembourg, mais il est strictement encadré. L’employeur doit respecter les droits fondamentaux des salariés, notamment la vie privée et l’égalité de traitement, et ne peut recourir à l’IA que pour des finalités légitimes, proportionnées et clairement définies.
Avant toute mise en œuvre, l’employeur doit réaliser une analyse d’impact relative à la protection des données, informer individuellement les salariés, consulter la délégation du personnel et, si nécessaire, obtenir l’autorisation préalable de la CNPD. Toute décision automatisée doit être encadrée par une intervention humaine effective et documentée.
Le recours à l’IA doit rester limité, transparent, explicable et régulièrement audité, avec un accès aux données strictement réservé aux personnes habilitées. Le non-respect de ces obligations expose l’employeur à des sanctions et à la nullité des preuves obtenues.
Définition
Le contrôle par intelligence artificielle (IA) désigne l’utilisation de systèmes automatisés, fondés sur des algorithmes d’apprentissage ou d’analyse prédictive, pour surveiller, évaluer ou prendre des décisions concernant le comportement, la performance ou la présence des salariés. Ce contrôle peut inclure la collecte et le traitement automatisé de données issues d’outils informatiques, de dispositifs de vidéosurveillance, de systèmes de pointage ou d’applications professionnelles.
L’IA appliquée au contrôle des salariés implique le traitement de données à caractère personnel, souvent sensibles, et soulève des enjeux majeurs en matière de respect de la vie privée, de transparence et de non-discrimination. Elle peut également avoir un impact sur l’autonomie et la dignité des personnes concernées.
Conditions d’exercice
L’employeur ne peut recourir à des dispositifs de contrôle automatisé par IA que dans le respect strict des droits fondamentaux des salariés, notamment le droit au respect de la vie privée (article L.261-1 du Code du travail) et le principe d’égalité de traitement (article L.241-1 du Code du travail). Toute mise en place d’un système de contrôle par IA doit répondre à une finalité légitime, proportionnée et clairement définie, telle que la sécurité des biens et des personnes, la protection des intérêts économiques de l’entreprise ou la vérification du respect des obligations contractuelles.
Le recours à l’IA ne saurait justifier une surveillance généralisée ou permanente des salariés, ni porter atteinte à leur dignité. L’employeur doit garantir l’encadrement humain des décisions automatisées, conformément à l’article 22 du Règlement (UE) 2016/679 (RGPD) et à la loi du 1er août 2018.
Modalités pratiques
Avant toute mise en œuvre d’un dispositif de contrôle par IA, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD), conformément à l’article 35 du RGPD et à l’article 10 de la loi du 1er août 2018. L’employeur est tenu d’informer individuellement et préalablement chaque salarié concerné, en précisant la nature des données collectées, la finalité du traitement, la durée de conservation, les destinataires éventuels et les droits dont disposent les salariés (articles 13 et 14 du RGPD, article 12 de la loi du 1er août 2018).
Lorsque l’entreprise dispose d’une délégation du personnel, celle-ci doit être consultée préalablement à toute décision de mise en œuvre d’un dispositif de surveillance automatisée (article L.414-9 du Code du travail). L’autorisation préalable de la Commission nationale pour la protection des données (CNPD) est requise pour tout traitement susceptible de présenter des risques élevés pour les droits et libertés des personnes concernées (article 36 du RGPD, article 10 de la loi du 1er août 2018).
L’employeur doit assurer la traçabilité des opérations de traitement, documenter l’ensemble des mesures prises et garantir l’accès aux données uniquement aux personnes habilitées.
Pratiques et recommandations
Il est recommandé de limiter le recours à l’IA à des situations justifiées par des nécessités objectives et de privilégier des dispositifs les moins intrusifs possibles. Les algorithmes utilisés doivent être transparents, explicables et régulièrement audités afin de prévenir tout risque de discrimination ou de décision arbitraire.
L’accès aux données issues du contrôle doit être strictement limité aux personnes habilitées, et les salariés doivent pouvoir exercer leurs droits d’accès, de rectification, d’opposition et de limitation du traitement. Toute utilisation des résultats issus de l’IA à des fins disciplinaires doit être précédée d’une vérification humaine effective et documentée.
Il convient d’assurer une traçabilité complète des opérations de traitement, de former les personnes habilitées à l’utilisation de ces outils et de consulter régulièrement la délégation du personnel sur l’évolution des dispositifs.
Cadre juridique
- Code du travail luxembourgeois :
- Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
- Loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel dans le secteur du travail
- Règlement (UE) 2016/679 (RGPD) :
- Article 22 (décisions individuelles automatisées)
- Article 35 (analyse d’impact)
- Article 36 (consultation préalable de l’autorité de contrôle)
- Jurisprudence luxembourgeoise sur la proportionnalité et la transparence des dispositifs de surveillance
Note
Le non-respect des obligations d’information, de consultation ou d’autorisation préalable expose l’employeur à des sanctions administratives et pénales, ainsi qu’à la nullité des preuves obtenues par un dispositif de contrôle illicite. Il est essentiel de documenter chaque étape et de garantir l’intervention humaine dans toute décision affectant un salarié.