La reconnaissance faciale est-elle autorisée sur le lieu de travail au Luxembourg ?
Réponse courte
La reconnaissance faciale sur le lieu de travail est strictement limitée aux situations exceptionnelles justifiées par une nécessité absolue (sécurité de sites sensibles). Elle traite des données biométriques sensibles au sens de l'article 9 du RGPD appliqué en entreprise : son interdiction de principe ne cède qu'au prix de garanties renforcées et d'une AIPD obligatoire.
Le consentement du salarié n'est pas une base légale valable en raison du lien de subordination. L'employeur doit réaliser une analyse d'impact (article 35 RGPD), consulter la CNPD si le risque résiduel reste élevé (article 36), consulter la délégation du personnel (article L.414-9) et privilégier toute alternative moins intrusive. Tout manquement expose à des sanctions pouvant atteindre 4 % du chiffre d'affaires annuel mondial.
Définition
La reconnaissance faciale est un traitement automatisé de données biométriques permettant d'identifier ou d'authentifier une personne à partir des caractéristiques uniques de son visage. Elle relève des catégories particulières de données au sens de l'article 9 du RGPD.
Au Luxembourg, son usage en entreprise est strictement encadré : interdiction de principe, exception admise uniquement pour la sécurité de sites présentant un risque particulier (zones à confidentialité élevée, infrastructures critiques).
Questions fréquentes
Conditions d’exercice
La reconnaissance faciale est exclue pour le contrôle de présence, la productivité ou l'identification générale ; elle ne se justifie qu'en complément d'autres mesures de sécurité, jamais comme dispositif autonome de gestion RH.
| Condition | Exigence |
|---|---|
| Nécessité absolue | Sécurité de sites sensibles ; alternative inopérante démontrée |
| Donnée sensible | Article 9 RGPD : interdiction sauf exception légale stricte |
| Consentement invalide | Lien de subordination ; non recevable comme base légale |
| Proportionnalité | Périmètre strictement limité aux zones à risque |
| Encadrement humain | Vérification humaine obligatoire avant toute décision |
| Information renforcée | Notice individuelle et information collective complète |
Modalités pratiques
L'AIPD est systématiquement requise pour la reconnaissance faciale et doit démontrer l'absence d'alternative moins intrusive ; à défaut, la CNPD peut ordonner la suspension immédiate du dispositif.
| Démarche | Précision |
|---|---|
| Analyse d'impact (AIPD) | Article 35 du RGPD, approfondie et préalable |
| Consultation préalable CNPD | Article 36 du RGPD si risque résiduel élevé |
| Consultation de la délégation | Procès-verbal préalable (article L.414-9) |
| Information individuelle | Finalité précise, base légale, durée, droits |
| Sécurité renforcée | Chiffrement, segmentation, traçabilité des accès |
| Durée minimale | Conservation strictement limitée à la finalité |
| Documentation conformité | Dossier complet présentable en cas de contrôle |
Pratiques et recommandations
Privilégier systématiquement les alternatives moins intrusives (badge, code, biométrie locale).
Interdire tout usage à des fins de contrôle généralisé, de productivité ou de présence.
Garantir une procédure de recours humain pour les salariés contestant une identification.
Réviser régulièrement la nécessité du dispositif au regard de l'évolution des risques.
Former le personnel habilité aux règles de sécurité et aux droits des personnes concernées.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Consultation/co-décision de la délégation du personnel |
| Loi modifiée du 1er août 2018 | Protection des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 5, 9, 22, 35, 36, 88 |
| Règlement (UE) 2024/1689 (IA Act) | Identification biométrique à distance dans l'emploi |
| Lignes directrices CNPD | Recommandations sur la biométrie en milieu professionnel |
Note
La CNPD peut ordonner la suspension immédiate du dispositif et imposer des sanctions jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial. L'employeur s'expose en outre à des actions en responsabilité civile pour atteinte aux droits fondamentaux des salariés.