Une entreprise peut-elle utiliser des outils de screen monitoring ?
Réponse courte
Une entreprise peut utiliser des outils de screen monitoring au Luxembourg uniquement dans des conditions strictes : la surveillance ne doit pas être systématique ni permanente, doit poursuivre un objectif légitime (sécurité, protection des intérêts économiques, prévention d’actes illicites) et être strictement proportionnée à cet objectif. L’employeur doit démontrer la nécessité du dispositif, privilégier des moyens moins intrusifs si possible, et respecter la dignité, la vie privée et la liberté individuelle des salariés.
Avant toute mise en place, l’employeur doit consulter la délégation du personnel, informer individuellement et précisément chaque salarié concerné, notifier la CNPD et, si nécessaire, réaliser une analyse d’impact relative à la protection des données. Les données collectées doivent être limitées, sécurisées, conservées pour une durée proportionnée et accessibles uniquement aux personnes autorisées.
Le screen monitoring ne peut jamais servir à un contrôle permanent de la productivité ou de la présence. Toute utilisation doit être ponctuelle, justifiée, documentée et encadrée par une politique interne claire, sous peine de sanctions administratives et pénales en cas de non-respect du cadre légal.
Définition
Le screen monitoring désigne l’ensemble des dispositifs techniques permettant à l’employeur de surveiller, enregistrer ou visualiser, en temps réel ou a posteriori, l’activité affichée sur l’écran de l’ordinateur d’un salarié. Cette surveillance peut inclure la capture d’écran, l’enregistrement vidéo, ou la collecte automatisée d’informations relatives à l’utilisation des applications et sites web.
Le recours à ces outils implique la collecte et le traitement de données à caractère personnel, ce qui engage la responsabilité de l’employeur au regard de la législation luxembourgeoise sur la protection des données et le respect des droits fondamentaux des salariés.
Conditions d’exercice
L’employeur ne peut recourir au screen monitoring que dans le respect strict des dispositions du Code du travail luxembourgeois et de la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel dans les relations de travail.
L’article L.261-1 du Code du travail interdit toute surveillance systématique et permanente des salariés. Le recours au screen monitoring n’est licite que s’il poursuit un objectif légitime, tel que la sécurité des systèmes informatiques, la protection des intérêts économiques de l’entreprise ou la prévention d’actes illicites, et à condition que ce recours soit strictement proportionné à l’objectif poursuivi.
L’employeur doit démontrer que le recours au screen monitoring est nécessaire, que l’objectif ne peut être atteint par des moyens moins intrusifs, et que la mesure ne porte pas atteinte à la dignité, à la vie privée ou à la liberté individuelle du salarié. L’égalité de traitement entre les salariés doit être respectée.
Modalités pratiques
Avant toute mise en place d’un dispositif de screen monitoring, l’employeur doit obligatoirement consulter la délégation du personnel conformément à l’article L.414-9 du Code du travail.
Chaque salarié concerné doit être informé individuellement et préalablement, avec précision sur la finalité, la durée, la nature des données collectées, les destinataires, ainsi que sur les modalités d’exercice de leurs droits d’accès, de rectification et d’opposition (articles L.261-1 et L.261-2 du Code du travail).
La Commission nationale pour la protection des données (CNPD) doit être informée du dispositif. Une analyse d’impact relative à la protection des données (AIPD) est obligatoire si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 39 de la loi du 2 août 2002).
Les données collectées doivent être strictement limitées à ce qui est nécessaire, conservées pour une durée proportionnée à la finalité, et sécurisées contre tout accès non autorisé. L’employeur doit garantir la traçabilité des accès et des traitements réalisés.
Pratiques et recommandations
La surveillance par screen monitoring ne doit jamais être utilisée à des fins de contrôle permanent de la productivité ou de la présence des salariés. Il est recommandé de privilégier des dispositifs moins intrusifs, tels que les journaux d’accès ou les alertes de sécurité, avant d’envisager le screen monitoring.
Toute utilisation ponctuelle doit être justifiée par des circonstances exceptionnelles, telles qu’une suspicion fondée d’un comportement illicite ou la nécessité de protéger des informations sensibles. L’employeur doit documenter l’ensemble des démarches entreprises, notamment l’analyse de proportionnalité, la consultation de la délégation du personnel, l’information des salariés et la notification à la CNPD.
Il est conseillé de mettre en place une politique interne claire sur l’utilisation des outils informatiques et la surveillance, accessible à tous les salariés. Un encadrement humain du dispositif doit être assuré pour garantir le respect des droits des salariés.
Cadre juridique
- Code du travail luxembourgeois :
- Loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel dans les relations de travail (notamment articles 23, 24, 25, 39).
- Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg.
- Avis et recommandations de la CNPD sur la surveillance sur le lieu de travail.
- Jurisprudence de la Cour supérieure de justice du Luxembourg sur la proportionnalité et la licéité des dispositifs de surveillance.
Note
L’utilisation non conforme d’outils de screen monitoring expose l’employeur à des sanctions administratives et pénales, ainsi qu’à la nullité des preuves recueillies par ce biais en cas de contentieux prud’homal. Il est essentiel de garantir la traçabilité des démarches et de privilégier la transparence vis-à-vis des salariés.