← Article précédent
Télécharger en PDF
Article suivant →

Quelles sont les sanctions en cas de défaut d'information des salariés sur un dispositif de surveillance ?

Réponse courte

Le défaut d'information préalable des salariés sur un dispositif de surveillance expose l'employeur à un cumul de sanctions : amende administrative RGPD jusqu'à 20 millions € ou 4 % du chiffre d'affaires annuel mondial (le plus élevé des deux), sanction pénale de l'article L.261-2 (8 jours à 1 an d'emprisonnement et amende de 251 € à 125 000 €), et irrecevabilité des preuves recueillies devant le tribunal du travail.

Le salarié peut en outre obtenir des dommages et intérêts pour atteinte à sa vie privée et à ses droits fondamentaux. Toute sanction disciplinaire fondée sur le dispositif illicite est annulable, comme rappelé pour les sanctions encourues en cas de surveillance illégale. La CNPD peut également ordonner la cessation du traitement sous astreinte. Ces sanctions s'appliquent indépendamment de la bonne foi de l'employeur.

Définition

Le défaut d'information désigne l'absence ou l'insuffisance de la communication individuelle au salarié, avant la mise en œuvre du dispositif, des informations exigées par les articles 12 à 14 du RGPD : finalité, base juridique, données traitées, durée, destinataires, droits, identité du responsable de traitement.

Cette obligation est cumulative avec l'information collective de la délégation du personnel (article L.414-9) : le respect de l'une ne dispense pas de l'autre, et leur défaut entraîne des sanctions distinctes mais cumulatives.

Questions fréquentes

Comment l'employeur peut-il prouver avoir informé chaque salarié ?
Il doit conserver des preuves : accusé de réception signé, registre de diffusion ou journal d'envoi électronique. Sans cette preuve, le manquement à l'article 13 du RGPD est établi et la sanction administrative s'applique.
L'absence d'information préalable rend-elle les preuves de surveillance irrecevables au tribunal du travail ?
Oui, les preuves recueillies sans information préalable sont irrecevables devant le tribunal du travail. Toute sanction disciplinaire fondée sur ces preuves est annulable, même en cas de faute grave avérée du salarié.
L'absence de registre des traitements ou d'AIPD est-elle sanctionnable ?
Oui, l'absence de registre ou d'AIPD constitue un manquement autonome sanctionné par une amende RGPD jusqu'à 10 millions € ou 2 % du CA mondial (article 83 §4 RGPD), indépendamment du défaut d'information.
Le salarié peut-il obtenir des dommages et intérêts pour défaut d'information ?
Oui, le salarié peut obtenir des dommages et intérêts devant le tribunal du travail pour atteinte à sa vie privée et à ses droits fondamentaux. La CNPD peut également ordonner la cessation du traitement sous astreinte.
Les sanctions RGPD et pénales se cumulent-elles en cas de surveillance illicite ?
Oui, les sanctions sont cumulables. L'amende RGPD n'éteint pas la sanction pénale de l'article L.261-2 (8 jours à 1 an d'emprisonnement, 251 € à 125 000 €) ni l'inopposabilité civile des preuves recueillies.
Quelle amende RGPD risque un employeur qui n'informe pas ses salariés d'un dispositif de surveillance ?
L'amende administrative peut atteindre 20 millions € ou 4 % du chiffre d'affaires annuel mondial (article 83 §5 RGPD), le plus élevé des deux. Le simple manquement à l'obligation d'information suffit, même sans préjudice avéré pour les salariés.
Une modification du dispositif sans nouvelle information aux salariés est-elle sanctionnée ?
Oui, toute modification non notifiée déclenche un nouveau cycle d'information requis ; le défaut est sanctionné séparément. Les preuves recueillies entre la modification et la régularisation restent inopposables aux salariés.

Conditions d’exercice

La sanction RGPD peut être prononcée même en l'absence de préjudice avéré pour les salariés : le simple manquement à l'obligation d'information suffit à justifier l'amende administrative.

Condition Sanction encourue
Défaut d'information individuelle Amende RGPD jusqu'à 20 M€ ou 4 % CA mondial (article 83 §5 RGPD)
Défaut de consultation délégation Procédure illicite, contestable devant l'ITM et le tribunal du travail
Absence de registre / AIPD Amende RGPD jusqu'à 10 M€ ou 2 % CA mondial (article 83 §4 RGPD)
Surveillance clandestine Sanction pénale L.261-2 (8 jours à 1 an + 251 € à 125 000 €)
Détournement de finalité Sanction pénale L.261-2 + RGPD cumulées

Modalités pratiques

L'employeur doit pouvoir prouver la remise individuelle de l'information préalable : accusé de réception signé, registre de diffusion ou journal d'envoi électronique sont les preuves admises.

Démarche défaillante Conséquence concrète
Pas de notice individuelle Amende administrative et inopposabilité du dispositif
Information tardive Preuves recueillies avant l'information jugées irrecevables
Information incomplète Sanction RGPD pour manquement à l'article 13
Modification non notifiée Nouveau cycle d'information requis, défaut sanctionné
Cessation sous astreinte Ordonnée par la CNPD ou le tribunal en cas de violation persistante
Dommages et intérêts Versés au salarié devant le tribunal du travail
Annulation des sanctions Toute sanction disciplinaire fondée sur les preuves est annulable

Pratiques et recommandations

Conserver systématiquement la preuve de la remise individuelle de la notice (signature, accusé électronique).

Auditer annuellement la complétude des notices d'information par dispositif déployé.

Renouveler l'information à chaque modification substantielle et notifier individuellement.

Documenter la consultation de la délégation par procès-verbal conservé au dossier du dispositif.

Saisir le DPO ou la CNPD en cas de doute sur la conformité de l'information existante.

Régulariser sans délai en cas de manquement constaté pour limiter l'aggravation des sanctions.

Cadre juridique

Référence Objet
Art. L.261-1 du Code du travail Traitement de données pour surveillance des salariés (loi du 1er août 2018)
Art. L.261-2 du Code du travail Sanctions pénales : 8 jours à 1 an d'emprisonnement et 251 € à 125 000 €
Art. L.414-9 du Code du travail Co-décision de la délégation du personnel pour les installations de contrôle
Loi modifiée du 1er août 2018 Protection des personnes à l'égard du traitement des données à caractère personnel
Art. 12, 13, 14, 83 du RGPD Information, droits, amendes administratives jusqu'à 20 M€ ou 4 % CA
Art. 5 et 6 du RGPD Principes et licéité du traitement

Note

Les sanctions sont cumulables : l'amende RGPD n'éteint pas la sanction pénale de l'article L.261-2 ni l'inopposabilité civile. La CNPD privilégie la régularisation lorsque l'employeur coopère de bonne foi, mais le défaut d'information délibéré ou la dissimulation d'un dispositif aggravent systématiquement la sanction. Les preuves issues d'un dispositif illicite sont irrecevables même en cas de faute grave du salarié.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...