← Article précédent
Télécharger en PDF
Article suivant →

Comment sécuriser les données collectées lors de la surveillance ?

Réponse courte

Pour sécuriser les données collectées lors de la surveillance, il faut mettre en place des mesures techniques et organisationnelles garantissant la confidentialité, l’intégrité et la disponibilité des informations. Cela inclut le stockage sur des supports sécurisés, l’utilisation de dispositifs de chiffrement et d’authentification forte, la gestion stricte des accès réservés aux personnes habilitées, la traçabilité des opérations et la limitation des durées de conservation.

L’employeur doit également informer individuellement les salariés, consulter la délégation du personnel, déclarer les dispositifs à la CNPD et, si nécessaire, obtenir une autorisation. Toute transmission à des tiers doit être encadrée par un accord écrit précisant les mesures de sécurité. En cas d’incident, une procédure de notification à la CNPD et aux personnes concernées doit être prévue.

Il est recommandé de réaliser une analyse d’impact, de former les personnes habilitées, de tenir un registre des traitements à jour et de documenter toutes les mesures prises pour pouvoir démontrer la conformité en cas de contrôle ou de litige.

Définition

La sécurisation des données collectées lors de la surveillance désigne l’ensemble des mesures techniques et organisationnelles que l’employeur doit mettre en œuvre pour garantir la confidentialité, l’intégrité et la disponibilité des informations issues de dispositifs de contrôle des salariés. Ces données peuvent provenir de systèmes de vidéosurveillance, de contrôle d’accès, de surveillance informatique ou de géolocalisation, dès lors qu’elles permettent d’identifier directement ou indirectement un salarié.

La notion de sécurisation implique également la prévention contre tout accès non autorisé, la protection contre la perte ou l’altération des données, ainsi que la traçabilité des opérations réalisées sur ces informations. Elle s’inscrit dans le respect du droit fondamental à la vie privée et à la protection des données à caractère personnel des salariés.

Conditions d’exercice

La collecte et la conservation de données issues de la surveillance ne sont licites que si la finalité poursuivie est déterminée, légitime et explicitement communiquée aux salariés, conformément à l’article L.261-1 du Code du travail. L’employeur doit limiter la collecte aux seules données strictement nécessaires à la finalité déclarée, en application du principe de minimisation (article 5 du RGPD, applicable via la loi du 1er août 2018).

Toute mesure de surveillance doit faire l’objet d’une information préalable et individuelle des salariés concernés, ainsi que d’une consultation de la délégation du personnel, conformément à l’article L.261-1(2) du Code du travail. Une déclaration préalable à la Commission nationale pour la protection des données (CNPD) est obligatoire, et une autorisation doit être sollicitée si la surveillance porte sur des lieux non accessibles au public ou sur des données sensibles (article 23 de la loi du 1er août 2018).

L’accès aux données collectées doit être restreint aux seules personnes habilitées, identifiées nominativement, et justifié par leurs fonctions. L’employeur doit garantir l’égalité de traitement entre les salariés et veiller à ce que la surveillance ne porte pas atteinte à la dignité ou aux droits fondamentaux des personnes concernées.

Modalités pratiques

Les données issues de la surveillance doivent être stockées sur des supports sécurisés, protégés par des dispositifs de chiffrement et d’authentification forte, conformément à l’article 32 du RGPD (transposé par la loi du 1er août 2018). L’employeur doit mettre en place des procédures de gestion des accès, incluant la traçabilité des consultations et des modifications, ainsi que des contrôles réguliers de sécurité.

Les durées de conservation doivent être strictement limitées à ce qui est nécessaire pour atteindre la finalité poursuivie, sans excéder six mois pour la vidéosurveillance, sauf exception motivée et documentée (lignes directrices CNPD, fiche vidéosurveillance). À l’expiration de ce délai, les données doivent être supprimées de manière irréversible.

Toute transmission de données à des tiers doit être encadrée par un accord écrit précisant les mesures de sécurité applicables et les responsabilités de chaque partie. L’employeur doit également prévoir des procédures de gestion des incidents de sécurité, incluant la notification à la CNPD et, le cas échéant, aux personnes concernées, en cas de violation de données.

Pratiques et recommandations

Il est recommandé de réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en place de tout dispositif de surveillance, afin d’identifier les risques et d’adapter les mesures de sécurité (article 35 du RGPD, applicable via la loi du 1er août 2018). L’employeur doit sensibiliser et former les personnes habilitées à la gestion des données de surveillance, et tenir un registre des traitements à jour, mentionnant la nature des données, les finalités, les personnes ayant accès et les durées de conservation (article 30 du RGPD).

En cas d’incident de sécurité (perte, accès non autorisé), une procédure de notification à la CNPD dans les 72 heures doit être prévue, ainsi qu’une information des personnes concernées si le risque est élevé (article 33 et 34 du RGPD). L’employeur doit garantir l’exercice effectif des droits d’accès, de rectification, d’opposition et d’effacement des salariés sur les données les concernant (articles 15 à 18 du RGPD, article 13 de la loi du 1er août 2018).

Il est conseillé de documenter systématiquement toutes les mesures de sécurité mises en œuvre et de conserver les preuves des actions réalisées, afin de pouvoir démontrer la conformité en cas de contrôle de la CNPD ou de litige avec un salarié.

Cadre juridique

  • Code du travail luxembourgeois :
    • Article L.261-1 (surveillance sur le lieu de travail, information et consultation du personnel)
    • Article L.121-6 (respect de la vie privée)
  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel
  • Règlement (UE) 2016/679 (RGPD), applicable au Luxembourg
    • Article 5 (principes relatifs au traitement)
    • Article 30 (registre des activités de traitement)
    • Article 32 (sécurité du traitement)
    • Articles 33 et 34 (notification des violations de données)
    • Article 35 (analyse d’impact)
  • Lignes directrices de la CNPD (notamment sur la vidéosurveillance et la surveillance informatique)
  • Jurisprudence administrative luxembourgeoise (Cour administrative, Tribunal administratif)

Note

La documentation et la traçabilité des mesures de sécurité sont essentielles pour démontrer la conformité en cas de contrôle ou de litige. Prévoyez des audits réguliers et impliquez la délégation du personnel dans la mise en place des dispositifs de surveillance.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 17.09.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...