← Article précédent
Télécharger en PDF
Article suivant →

Quelles sont les limites juridiques du profilage algorithmique en entreprise ?

Réponse courte

Le profilage algorithmique en entreprise au Luxembourg est strictement encadré par la législation sur la protection des données et le Code du travail. Il ne peut être mis en œuvre que sur une base légale valable (exécution du contrat, obligation légale ou consentement explicite), doit respecter le principe de proportionnalité et de minimisation des données, et ne peut aboutir à des décisions automatisées produisant des effets juridiques ou significatifs sans intervention humaine, sauf exceptions prévues par la loi et sous réserve de garanties appropriées.

L’employeur doit garantir l’égalité de traitement, la non-discrimination et le respect de la vie privée à chaque étape. Il est obligatoire d’informer les salariés sur la logique et les conséquences du traitement, de réaliser une analyse d’impact en cas de risque élevé, d’assurer la transparence et la traçabilité des algorithmes, et de consulter les représentants du personnel avant toute mise en place. Les salariés disposent de droits d’accès, de rectification, d’opposition, de limitation et d’intervention humaine.

L’utilisation d’algorithmes opaques, de dispositifs de surveillance généralisée ou d’évaluation prédictive sans fondement objectif est interdite. L’employeur doit documenter les traitements, limiter la collecte et la conservation des données, contrôler régulièrement l’absence de biais et associer le DPO ainsi que les représentants du personnel à la démarche. Toute absence de transparence ou de contrôle humain expose à des sanctions et à des actions en responsabilité.

Définition

Le profilage algorithmique en entreprise désigne tout traitement automatisé de données à caractère personnel visant à évaluer certains aspects relatifs à un salarié ou à un candidat, tels que ses performances, préférences, comportements ou aptitudes. Ce traitement implique l’utilisation d’algorithmes ou de systèmes automatisés pour prendre des décisions ou influencer des processus RH, notamment le recrutement, l’évaluation, la promotion ou la gestion disciplinaire.

Le profilage algorithmique peut produire des effets juridiques ou affecter de manière significative la personne concernée, notamment lorsqu’il conduit à des décisions automatisées sans intervention humaine. Il s’inscrit dans le cadre plus large de la protection des données à caractère personnel et du respect des droits fondamentaux des salariés.

Conditions d’exercice

Au Luxembourg, le recours au profilage algorithmique est strictement encadré par la législation sur la protection des données à caractère personnel et le Code du travail. L’employeur ne peut mettre en œuvre un tel traitement que s’il repose sur une base légale valable, à savoir :

  • la nécessité pour l’exécution du contrat de travail (article 6(1)(b) du RGPD, repris par l’article 5 de la loi modifiée du 1er août 2018) ;
  • le respect d’une obligation légale (article 6(1)(c) du RGPD, article 5 de la loi précitée) ;
  • le consentement explicite, libre et éclairé de la personne concernée (article 6(1)(a) du RGPD, article 7 de la loi précitée).

Le traitement doit être proportionné à la finalité poursuivie et respecter le principe de minimisation des données (article 5(1)(c) du RGPD, article 4 de la loi modifiée du 1er août 2018). Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant significativement la personne, est en principe interdite (article 22 du RGPD, article 13 de la loi modifiée du 1er août 2018), sauf exceptions prévues par la loi et sous réserve de garanties appropriées.

L’égalité de traitement, la non-discrimination (article L.241-1 du Code du travail) et le respect de la vie privée (article L.261-1 du Code du travail) doivent être garantis à chaque étape du processus.

Modalités pratiques

Avant toute mise en œuvre d’un dispositif de profilage algorithmique, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 du RGPD, article 39 de la loi modifiée du 1er août 2018).

L’information préalable des salariés est obligatoire et doit porter sur la logique sous-jacente, l’importance et les conséquences prévues du traitement (article 13 et 14 du RGPD, article 12 de la loi modifiée du 1er août 2018). Les personnes concernées disposent d’un droit d’accès, de rectification, d’opposition, de limitation du traitement et d’intervention humaine en cas de décision automatisée (articles 15 à 22 du RGPD, articles 14 à 20 de la loi modifiée du 1er août 2018).

Le recours à des algorithmes opaques ou non auditables est prohibé, afin de garantir la transparence et la traçabilité des traitements. Les dispositifs doivent être déclarés auprès du délégué à la protection des données (DPO) et, le cas échéant, faire l’objet d’une consultation préalable auprès de la Commission nationale pour la protection des données (CNPD) (article 36 du RGPD, article 40 de la loi modifiée du 1er août 2018).

L’employeur doit également consulter les représentants du personnel sur l’introduction de dispositifs de surveillance ou d’évaluation automatisée (article L.414-9 du Code du travail).

Pratiques et recommandations

Il est recommandé de limiter le recours au profilage algorithmique aux situations où aucune alternative moins intrusive n’est possible, conformément au principe de proportionnalité. L’employeur doit privilégier la transparence sur les critères et paramètres utilisés par l’algorithme, documenter les choix techniques et garantir la non-discrimination des traitements.

Toute utilisation à des fins de surveillance généralisée, de scoring comportemental ou d’évaluation prédictive sans fondement objectif est prohibée. Les salariés doivent être associés à la réflexion sur l’introduction de tels dispositifs, notamment via les représentants du personnel.

Un contrôle régulier de la pertinence, de l’exactitude et de l’absence de biais des algorithmes doit être assuré. Les données utilisées doivent être strictement limitées à ce qui est nécessaire et conservées pour une durée proportionnée à la finalité du traitement. L’employeur doit veiller à la documentation et à la traçabilité de toutes les opérations de traitement.

Cadre juridique

  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, notamment articles 4, 5, 7, 12 à 20, 39, 40.
  • Règlement (UE) 2016/679 (RGPD), notamment articles 5, 6, 7, 13 à 22, 35, 36.
  • Loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel dans les relations de travail.
  • Code du travail luxembourgeois, notamment articles L.241-1 (égalité de traitement), L.261-1 (vie privée), L.414-9 (consultation du personnel).
  • Jurisprudence de la Cour administrative et de la CNPD sur la prise de décision automatisée et la protection des droits des salariés.

Note

Le recours au profilage algorithmique doit toujours être précédé d’une analyse approfondie des risques juridiques, techniques et organisationnels, en impliquant le DPO et, le cas échéant, les représentants du personnel. Toute absence de transparence ou de contrôle humain expose l’employeur à des sanctions de la CNPD et à des actions en responsabilité civile.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 05.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...