Un contrôle automatisé doit-il être documenté spécifiquement ?

Réponse courte

Tout contrôle automatisé des salariés doit être documenté de façon spécifique et formalisée, dans un dossier écrit accessible à la délégation du personnel et, sur demande, à l'ITM. La documentation s'inscrit dans le principe d'accountability posé par l'article 5(2) du RGPD et conditionne la recevabilité des preuves devant le tribunal du travail.

Le dossier doit comporter la finalité, les données collectées, la durée de conservation, les mesures de sécurité, l'analyse d'impact, la procédure d'information, le procès-verbal de consultation de la délégation et la traçabilité des actions humaines. L'absence de documentation expose l'employeur à des sanctions administratives et à la nullité des sanctions disciplinaires fondées sur le dispositif.

Définition

Un contrôle automatisé désigne tout dispositif technique ou logiciel qui surveille, enregistre ou analyse les comportements des salariés sans intervention humaine systématique : badgeage, vidéosurveillance, traçabilité informatique, géolocalisation, suivi de productivité.

Il implique presque toujours un traitement de données à caractère personnel, soumis aux obligations de transparence, de sécurité et de documentation prévues par le RGPD et la loi modifiée du 1er août 2018.

Questions fréquentes

À quoi sert le procès-verbal de consultation de la délégation du personnel ?

Il atteste de la consultation préalable et de la co-décision exigées par l'article L.414-9 du Code du travail (entreprises ≥ 150 salariés). Daté et signé, il est exigible en cas de contrôle CNPD ou ITM.

Faut-il actualiser la documentation à chaque modification du dispositif ?

Oui, la documentation doit être mise à jour à chaque modification substantielle des finalités, des données ou des destinataires. Un audit annuel de conformité avec le DPO est recommandé.

Les entreprises de moins de 250 salariés sont-elles dispensées de documenter ?

Non. L'exemption de l'article 30 RGPD ne s'applique pas aux traitements de surveillance. La documentation est exigible dès qu'un dispositif identifie directement ou indirectement un salarié.

Que doit contenir le dossier de documentation d'un contrôle automatisé ?

Finalité, données collectées, durée de conservation, mesures de sécurité, AIPD, procédure d'information, procès-verbal de consultation de la délégation et traçabilité des actions humaines fondées sur le dispositif.

Quelles sanctions en l'absence de documentation d'un contrôle automatisé ?

Amendes administratives jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD), irrecevabilité des preuves devant le tribunal du travail et nullité des sanctions disciplinaires fondées sur le dispositif.

Un contrôle automatisé doit-il être documenté spécifiquement au Luxembourg ?

Oui, dans un dossier écrit accessible à la délégation du personnel et à l'ITM. Cette documentation découle du principe d'accountability posé par l'article 5(2) du RGPD et conditionne la recevabilité des preuves.

Conditions d’exercice

La documentation est exigible dès qu'un dispositif identifie directement ou indirectement un salarié, même si l'entreprise compte moins de 250 personnes : l'exemption de l'article 30 RGPD ne s'applique pas et impose l'inscription au registre des traitements.

Condition	Exigence
Finalité déterminée	Définie, explicite et légitime, documentée par écrit
Proportionnalité	Démonstration qu'aucun moyen moins intrusif n'est suffisant
Information préalable	Notice individuelle remise à chaque salarié concerné
Consultation	Délégation du personnel selon l'article L.414-9
Encadrement humain	Procédure de revue des décisions issues du dispositif
Mise à jour	Documentation actualisée à chaque modification substantielle

Modalités pratiques

Le dossier de documentation doit pouvoir être présenté immédiatement à la CNPD ou à l'ITM en cas de contrôle ; son absence rend les preuves issues du dispositif irrecevables.

Démarche	Précision
Description du dispositif	Fonctionnement, finalité, données collectées, durée
Registre des traitements	Article 30 du RGPD, fiche dédiée par dispositif
Analyse d'impact	Article 35 du RGPD, obligatoire si risque élevé
Procès-verbal de consultation	Délégation du personnel, daté et signé
Notice d'information	Remise individuelle aux salariés avec preuve de remise
Procédure d'accès	Liste nominative des personnes habilitées et traçabilité
Politique de conservation	Durée justifiée selon la finalité, suppression irréversible

Pratiques et recommandations

Centraliser l'ensemble des documents dans un registre unique et indexé pour faciliter la traçabilité.

Rédiger la documentation en termes clairs, accessibles aux salariés et à la délégation du personnel.

Tracer chaque consultation des données et chaque décision humaine fondée sur le dispositif.

Mettre à jour le dossier à chaque modification du dispositif, des finalités ou des destinataires.

Auditer annuellement la conformité de la documentation avec le DPO et les représentants du personnel.

Cadre juridique

Référence	Objet
Art. L.261-1 du Code du travail	Traitement de données pour surveillance des salariés
Art. L.414-9 du Code du travail	Consultation et co-décision de la délégation du personnel
Loi modifiée du 1er août 2018	Protection des données à caractère personnel
Règlement (UE) 2016/679 (RGPD)	Articles 5(2), 12-14, 22, 30, 32, 35
Lignes directrices CNPD	Documentation et traçabilité des traitements automatisés

Note

L'absence de documentation actualisée et accessible expose l'employeur à des amendes administratives jusqu'à 2 % du chiffre d'affaires mondial (article 83(4) RGPD) et entraîne l'irrecevabilité des preuves devant le tribunal du travail. La traçabilité des interventions humaines reste indispensable pour tout dispositif automatisé.