← Article précédent
Télécharger en PDF
Article suivant →

Quelles pratiques sont considérées comme abusives par la CNPD en matière de traitement des données des salariés au Luxembourg ?

Réponse courte

Les pratiques considérées comme abusives par la CNPD au Luxembourg incluent tout traitement de données des salariés qui excède les finalités légitimes, explicites et proportionnées, ou qui porte atteinte à leurs droits fondamentaux. Cela concerne notamment la surveillance systématique ou disproportionnée (vidéosurveillance, géolocalisation, contrôle informatique), la collecte excessive ou non pertinente de données, l’accès non justifié aux courriels, la conservation des données au-delà des délais nécessaires, et le traitement de données sensibles sans fondement légal ou nécessité absolue.

Sont également jugées abusives l’absence d’information claire et préalable des salariés, l’utilisation des données à des fins disciplinaires ou de contrôle sans respect du principe de proportionnalité ou sans encadrement humain, ainsi que le défaut de mesures de sécurité et de traçabilité appropriées. Toute opération ne reposant pas sur une base légale valable, ou ne garantissant pas l’exercice effectif des droits des salariés (accès, rectification, opposition, effacement), est également prohibée.

Définition

Une pratique est considérée comme abusive par la CNPD lorsqu’un traitement de données à caractère personnel des salariés excède les finalités légitimes, explicites et proportionnées poursuivies par l’employeur, ou porte atteinte aux droits fondamentaux des personnes concernées. Cela inclut toute collecte, utilisation, conservation ou transmission de données qui ne respecte pas les principes de licéité, de loyauté, de transparence, de minimisation, de limitation des finalités et de sécurité, tels qu’imposés par la législation luxembourgeoise.

Les traitements abusifs englobent également les opérations qui ne reposent pas sur une base légale valable, ou qui ne garantissent pas l’exercice effectif des droits des salariés, notamment le droit d’accès, de rectification, d’opposition et d’effacement.

Conditions d’exercice

L’employeur ne peut traiter les données des salariés que dans le respect strict des finalités déterminées, explicites et légitimes, conformément à l’article L.261-1 du Code du travail et à la loi du 1er août 2018. Toute collecte ou utilisation doit être nécessaire à la gestion de la relation de travail ou à l’exécution d’une obligation légale.

La CNPD considère comme abusif tout traitement fondé sur un consentement contraint, toute collecte excessive ou non pertinente, ou toute atteinte injustifiée à la vie privée. L’absence d’information claire, préalable et complète des salariés sur la nature, la finalité et la durée des traitements constitue également une condition d’abus.

L’égalité de traitement, la traçabilité des accès et l’encadrement humain des dispositifs automatisés doivent être garantis à chaque étape du traitement.

Modalités pratiques

Les pratiques abusives identifiées par la CNPD incluent notamment :

  • La surveillance systématique, permanente ou disproportionnée des salariés par vidéosurveillance, dispositifs de géolocalisation ou outils informatiques, sans justification objective, nécessité professionnelle ou proportionnalité.
  • L’accès non justifié aux courriels professionnels ou personnels des salariés, en dehors des cas strictement encadrés par la loi et sans information préalable.
  • La collecte ou le traitement de données sensibles (état de santé, opinions politiques, appartenance syndicale, données biométriques) sans fondement légal ou nécessité absolue, en violation de l’article 9 du RGPD et de l’article L.261-1 du Code du travail.
  • La conservation des données au-delà des délais strictement nécessaires à la finalité poursuivie, sans politique d’archivage ou d’effacement adaptée.
  • L’absence de mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et la traçabilité des accès aux données.
  • L’utilisation des données à des fins disciplinaires ou de contrôle sans information préalable, sans respect du principe de proportionnalité, ou sans encadrement humain effectif.

Pratiques et recommandations

La CNPD recommande aux employeurs de :

  • Limiter la collecte et le traitement aux seules données strictement nécessaires à la gestion du personnel, en respectant le principe de minimisation.
  • Informer de manière transparente les salariés sur les traitements opérés, leurs finalités, la durée de conservation, les destinataires et les droits dont ils disposent, conformément à l’article 13 du RGPD et à l’article L.261-1 du Code du travail.
  • Mettre en place des procédures internes pour encadrer l’accès aux données, assurer la traçabilité des opérations et prévenir tout usage abusif.
  • Réaliser une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement présente un risque élevé pour les droits et libertés des personnes concernées, conformément à l’article 35 du RGPD.
  • S’abstenir de toute surveillance généralisée ou intrusive, notamment en dehors du temps et du lieu de travail, et privilégier des dispositifs proportionnés, encadrés et soumis à un contrôle humain.
  • Documenter l’ensemble des traitements, tenir un registre des activités de traitement et veiller à la traçabilité des accès et des opérations sur les données, conformément à l’article 30 du RGPD.

Cadre juridique

Les pratiques abusives sont sanctionnées sur la base des textes suivants :

  • Loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.
  • Règlement (UE) 2016/679 (RGPD), notamment articles 5, 6, 9, 13, 30, 32, 35.
  • Code du travail luxembourgeois, notamment article L.261-1 (protection des données des salariés, information et droits).
  • Jurisprudence luxembourgeoise sur la proportionnalité et la nécessité des traitements en milieu professionnel.
  • Pouvoirs de contrôle et de sanction de la CNPD (articles 58 et 83 du RGPD, loi du 1er août 2018).

Note

En cas de doute sur la légitimité d’un traitement, il est recommandé de consulter la CNPD en amont et de solliciter l’avis du délégué à la protection des données (DPO) afin d’éviter toute sanction administrative ou contentieuse. Toute décision automatisée doit être encadrée par une intervention humaine effective.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 17.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...