← Article précédent
Télécharger en PDF
Article suivant →

Peut-on collecter des données sur les impressions papier des salariés ?

Réponse courte

La collecte de données sur les impressions papier des salariés est possible au Luxembourg, à condition de respecter le cadre légal applicable à la protection des données personnelles. Elle doit reposer sur une base légale valable, poursuivre une finalité déterminée, explicite et légitime, et respecter le principe de proportionnalité. L’employeur doit informer préalablement les salariés, consulter la délégation du personnel si la mesure affecte l’organisation ou la surveillance du personnel, et limiter l’accès aux données aux seules personnes habilitées.

La collecte nominative ne doit intervenir qu’en cas de nécessité avérée, et il est recommandé de privilégier les données agrégées ou anonymisées lorsque cela suffit. Toute utilisation à des fins disciplinaires doit être précédée d’une information claire et documentée. L’ensemble du processus doit être consigné dans un registre des activités de traitement, et une analyse d’impact est requise si le traitement présente un risque élevé pour les droits et libertés des salariés.

Définition

La collecte de données sur les impressions papier des salariés désigne l’enregistrement, l’analyse ou l’exploitation d’informations relatives à l’utilisation des imprimantes professionnelles par les membres du personnel. Ces données peuvent inclure le nombre d’impressions, l’identité de l’utilisateur, la date, l’heure, ainsi que la nature ou le contenu des documents imprimés. Dès lors que ces informations permettent d’identifier directement ou indirectement un salarié, il s’agit d’un traitement de données à caractère personnel au sens du droit luxembourgeois.

Conditions d’exercice

La collecte de telles données n’est licite que si elle repose sur une base légale valable, telle que l’exécution du contrat de travail, le respect d’une obligation légale ou la poursuite d’un intérêt légitime de l’employeur, conformément à l’article 6 de la loi du 1er août 2018 et à l’article 6 du RGPD. La finalité du traitement doit être déterminée, explicite et légitime, par exemple la sécurité des systèmes d’information, la prévention des abus ou la gestion des coûts d’impression. Le traitement doit respecter le principe de proportionnalité : la collecte excessive ou non pertinente de données est interdite (article 5 de la loi du 1er août 2018 et RGPD).

L’égalité de traitement entre salariés doit être garantie lors de la mise en œuvre de ce traitement (article L.241-1 du Code du travail). Toute mesure de collecte doit également respecter le principe d’encadrement humain, notamment en cas de recours à des outils automatisés.

Modalités pratiques

Avant toute mise en œuvre, l’employeur doit informer individuellement et préalablement les salariés concernés, conformément à l’article 13 de la loi du 1er août 2018 et à l’article 13 du RGPD, sur la nature des données collectées, les finalités poursuivies, la durée de conservation, les destinataires éventuels et les droits dont ils disposent. Une analyse d’impact relative à la protection des données (AIPD) est requise si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, notamment en cas de surveillance systématique ou de croisement avec d’autres données (article 35 RGPD, article 39 de la loi du 1er août 2018).

La consultation préalable de la délégation du personnel est obligatoire en vertu de l’article L.414-9 du Code du travail lorsque la mesure affecte l’organisation, la gestion ou la surveillance du personnel. L’accès aux données doit être strictement limité aux personnes habilitées, et la durée de conservation doit être proportionnée à la finalité poursuivie (article 5 RGPD, article 4 de la loi du 1er août 2018). L’employeur doit tenir un registre des activités de traitement (article 30 RGPD, article 34 de la loi du 1er août 2018).

Pratiques et recommandations

Il est recommandé de privilégier la collecte de données agrégées ou anonymisées lorsque cela suffit à atteindre la finalité recherchée. L’identification nominative des salariés ne doit intervenir qu’en cas de nécessité avérée, par exemple pour la gestion d’abus caractérisés. L’employeur doit veiller à ce que les mesures de contrôle ne portent pas atteinte à la vie privée des salariés et respecter le principe de proportionnalité.

Toute utilisation des données à des fins disciplinaires doit être précédée d’une information claire, loyale et documentée. Il est conseillé de documenter l’ensemble du processus de collecte et de traitement, notamment au travers du registre des activités de traitement et des politiques internes de confidentialité. La traçabilité des accès et des traitements doit être assurée pour garantir la conformité et la transparence.

Cadre juridique

  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, notamment articles 4, 5, 6, 13, 34, 35, 39.
  • Règlement (UE) 2016/679 (RGPD), notamment articles 5, 6, 13, 30, 35.
  • Code du travail luxembourgeois, notamment article L.414-9 (consultation de la délégation du personnel), article L.241-1 (égalité de traitement).
  • Jurisprudence luxembourgeoise et recommandations de la Commission nationale pour la protection des données (CNPD).

Note

L’employeur doit s’assurer que la collecte de données sur les impressions papier ne constitue pas une mesure de surveillance généralisée ou permanente, sous peine de porter atteinte au droit au respect de la vie privée des salariés et de s’exposer à des sanctions de la CNPD. Toute décision automatisée doit être encadrée par une intervention humaine effective.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...