Comment la CNPD encadre-t-elle la collecte de données sur les télétravailleurs frontaliers ?
Réponse courte
La CNPD impose que toute collecte de données sur les télétravailleurs frontaliers soit fondée sur une base légale (art. L.261-1 du Code du travail), limitée aux données strictement nécessaires, et respecte les principes du RGPD. L'employeur doit informer les salariés, obtenir leur consentement pour tout traitement non essentiel, et mettre en place des mesures de protection appropriées. Toute surveillance systématique est interdite sauf justification légale, et les violations sont sanctionnées jusqu'à 4% du chiffre d'affaires mondial.
Définition
Le traitement des données des télétravailleurs frontaliers comprend toute opération effectuée sur des données personnelles de salariés exerçant leur activité depuis un État limitrophe du Luxembourg, conformément à l'article L.121-4 du Code du travail et à la convention collective sur le télétravail du 20 octobre 2020. Voir aussi : surveillance informatique.
Conditions d’exercice
Selon l'article L.261-1 du Code du travail et l'article 6 du RGPD, tout traitement doit :
- Reposer sur une base légale identifiée
- Être nécessaire à l'exécution du contrat ou au respect d'obligations légales
- Respecter le principe de minimisation des données
- Garantir la sécurité et la confidentialité
- Faire l'objet d'une consultation préalable des représentants du personnel
Modalités pratiques
L'employeur doit :
| Élément | Détail |
|---|---|
| Informer individuellement chaque salarié (art. 13 RGPD) | |
| Documenter les traitements dans le registre (art. 30 RGPD) | |
| Réaliser une analyse d'impact pour les traitements à risque (art. 35 RGPD) | |
| Mettre en place des mesures techniques et organisationnelles appropriées | |
| Désigner un DPO si nécessaire (art. 37 RGPD) |
Pratiques et recommandations
La CNPD recommande de : (règle des 25 %)
- Limiter la collecte aux données strictement nécessaires
- Éviter toute surveillance généralisée ou permanente
- Privilégier des outils respectant la protection des données dès la conception
- Former régulièrement le personnel aux bonnes pratiques
- Documenter toutes les décisions et mesures prises
Cadre juridique
Le cadre juridique applicable repose sur les textes suivants.
| Référence | Objet |
|---|---|
| Code du travail luxembourgeois : articles L.261-1 à L.261-2 | — |
| Loi modifiée du 1er août 2018 portant organisation de la CNPD | — |
| RGPD : articles 5, 6, 13, 30, 35, 37, 88 | — |
| Convention collective télétravail du 20 octobre 2020 | — |
| Délibérations et lignes directrices de la CNPD | — |
Note
La violation des obligations de protection des données expose l'employeur à des amendes administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. La responsabilité civile peut également être engagée sur base de l'article 82 du RGPD.