Une surveillance numérique des salariés non déclarée constitue-t-elle un délit ?
Réponse courte
Oui, la mise en place d’une surveillance numérique des salariés sans respect des obligations légales constitue un délit au Luxembourg. Depuis l’entrée en vigueur du RGPD et de la loi du 1er août 2018, il n’existe plus d’obligation de déclaration préalable auprès de la CNPD, mais une obligation de documentation (registre des traitements, analyse d’impact le cas échéant) et d’information des salariés.
Le non-respect de ces obligations, notamment l’absence d’information individuelle et préalable des salariés, l’absence de consultation de la délégation du personnel lorsque l’entreprise en est dotée, ou l’absence de tenue du registre des activités de traitement, expose l’employeur à des sanctions pénales et administratives. La jurisprudence luxembourgeoise confirme que la surveillance occulte ou non documentée est interdite, même en l’absence de préjudice pour le salarié.
Définition
La surveillance numérique des salariés désigne l’ensemble des dispositifs techniques permettant à l’employeur de contrôler, enregistrer, collecter ou analyser les données relatives à l’activité professionnelle des salariés, notamment via l’utilisation d’outils informatiques, de messageries électroniques, de connexions Internet ou de dispositifs de géolocalisation.
Au Luxembourg, toute mesure de surveillance numérique doit respecter des conditions strictes, notamment la consultation préalable de la délégation du personnel (article L.261-1 et suivants du Code du travail) lorsque l’entreprise en est dotée, la documentation du traitement dans un registre, la réalisation d’une analyse d’impact si nécessaire, et l’information individuelle et préalable des salariés sur leurs droits.
Conditions d’exercice
La mise en place d’une surveillance numérique des salariés est soumise à plusieurs conditions cumulatives. L’employeur doit démontrer la nécessité et la proportionnalité du dispositif au regard de l’objectif poursuivi, tel que la sécurité des biens, la prévention des infractions ou la protection des intérêts économiques de l’entreprise.
La surveillance ne peut porter que sur les outils professionnels mis à disposition par l’employeur, sauf circonstances exceptionnelles prévues par la loi. Toute collecte de données à caractère personnel doit être limitée à ce qui est strictement nécessaire à la finalité déclarée. L’employeur doit consulter la délégation du personnel, le cas échéant, avant la mise en œuvre de tout dispositif de surveillance (articles L.261-1 et suivants du Code du travail).
Modalités pratiques
Avant toute mise en œuvre d’un dispositif de surveillance numérique, l’employeur doit documenter le traitement dans un registre des activités de traitement (article 30 du RGPD et article 37 de la loi du 1er août 2018). Si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact relative à la protection des données (AIPD) doit être réalisée (article 35 du RGPD et article 39 de la loi du 1er août 2018).
L’employeur doit informer individuellement et préalablement chaque salarié concerné, par écrit, de l’existence, des modalités, des finalités du dispositif, ainsi que de leurs droits d’accès, de rectification, d’effacement et d’opposition concernant les données collectées (articles 13 et 14 du RGPD, article 38 de la loi du 1er août 2018). L’absence de documentation, d’information ou de consultation préalable constitue une violation des obligations légales.
Pratiques et recommandations
Il est impératif pour l’employeur de documenter l’ensemble des démarches entreprises (consultation de la délégation du personnel, information des salariés, tenue du registre des activités de traitement, réalisation d’une analyse d’impact si nécessaire). Toute surveillance occulte ou non documentée est proscrite.
Il est recommandé de limiter la surveillance aux situations justifiées, de privilégier la transparence et de garantir le respect des droits des salariés, notamment le droit d’accès, de rectification, d’effacement et d’opposition. L’employeur doit veiller à la sécurité des données collectées et à la conformité continue du dispositif.
Cadre juridique
La surveillance numérique des salariés est encadrée par :
- La loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, telle que modifiée.
- Le Règlement (UE) 2016/679 (RGPD), notamment ses articles 13, 14, 30, 35, 38 et 39.
- Le Code du travail luxembourgeois, notamment les articles L.261-1 et suivants relatifs à la consultation de la délégation du personnel et au respect de la vie privée.
L’article 48 de la loi du 1er août 2018 prévoit que le non-respect des obligations de documentation et d’information constitue une infraction pénale, passible d’amendes et, le cas échéant, de peines d’emprisonnement. La jurisprudence luxembourgeoise confirme que la mise en place d’une surveillance numérique non documentée ou occulte constitue un délit, indépendamment de l’existence d’un préjudice effectif pour le salarié.
Note
La mise en œuvre d’une surveillance numérique non documentée ou sans information préalable expose l’employeur à des sanctions pénales et administratives, ainsi qu’à la nullité des preuves éventuellement recueillies par ce biais.
Il est donc essentiel de respecter scrupuleusement les obligations de documentation, de consultation et d’information avant toute installation d’un dispositif de surveillance numérique. Les organismes compétents sont la Commission nationale pour la protection des données (CNPD) pour le contrôle du respect des obligations en matière de protection des données, et l’Inspection du travail et des mines (ITM) pour le respect du Code du travail.