La géolocalisation des salariés est-elle autorisée au Luxembourg et sous quelles conditions ?
Réponse courte
La géolocalisation des salariés est autorisée au Luxembourg uniquement pour des finalités légitimes et strictement nécessaires, telles que la sécurité, la protection des biens ou l'organisation du travail. Elle constitue un traitement de données à des fins de surveillance des salariés au sens de l'article L.261-1 du Code du travail, soumis à une information préalable de la délégation du personnel et à une information individuelle écrite de chaque salarié.
La collecte des données de localisation est interdite en dehors du temps de travail, sauf obligation légale spécifique. La CNPD recommande une durée de conservation maximale de 1 an après la fin de la période de référence pour les données de pointage. Le dispositif doit respecter le principe de proportionnalité et être désactivé hors heures de travail. Le non-respect de ces obligations expose l'employeur à des amendes pouvant atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial.
Définition
La géolocalisation est un traitement automatisé permettant de localiser un salarié via un dispositif embarqué (véhicule, smartphone, terminal). Elle constitue un traitement de données personnelles soumis au Code du travail luxembourgeois et au RGPD.
Ce traitement est considéré comme une mesure de surveillance au sens de l'article L.261-1, soumis aux obligations d'information, et fait l'objet d'un encadrement strict par la CNPD, qui impose notamment la désactivation du dispositif hors temps de travail et la limitation de la finalité au seul contrôle du temps de travail.
Questions fréquentes
Conditions d’exercice
La mise en place de la géolocalisation requiert le respect de conditions cumulatives.
| Critère | Détail |
|---|---|
| Finalité légitime | Sécurité, protection des biens, organisation du travail, optimisation des tournées |
| Proportionnalité | Le dispositif ne doit pas aller au-delà de ce qui est strictement nécessaire |
| Information préalable | Information individuelle et collective obligatoire (art. L.261-1) |
| Consultation délégation | Information préalable de la délégation du personnel ou de l'ITM à défaut |
| AIPD obligatoire | Si surveillance systématique des salariés (RGPD art. 35) |
| Désactivation hors travail | Le dispositif doit être inactif en dehors du temps de travail |
Modalités pratiques
La mise en oeuvre suit un processus structuré.
| Étape | Détail |
|---|---|
| Analyse de nécessité | Documenter la nécessité et la proportionnalité du dispositif |
| Analyse d'impact | Réaliser une AIPD si surveillance systématique |
| Information délégation | Transmettre une description détaillée à la délégation du personnel |
| Information individuelle | Informer chaque salarié par écrit de la finalité, des données collectées et de la durée de conservation |
| Mesures techniques | Mettre en place la désactivation automatique hors heures de travail |
| Registre des traitements | Inscrire le traitement dans le registre des activités de traitement (RGPD art. 30) |
Pratiques et recommandations
Privilégier les solutions techniques les moins intrusives, comme une obligation de pointage classique, et limiter la collecte aux seules données strictement nécessaires.
Désactiver systématiquement le dispositif en dehors du temps de travail, conformément aux recommandations de la CNPD.
Former les personnes ayant accès aux données de géolocalisation aux obligations de confidentialité.
Effectuer des audits réguliers du dispositif pour vérifier sa conformité continue.
Prévoir une procédure de réponse rapide en cas de violation de données, avec notification à la CNPD dans les 72 heures.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Traitement de données à des fins de surveillance des salariés |
| Art. L.414-9 | Codécision dans les entreprises de 150+ salariés |
| RGPD art. 5, 6 | Principes de licéité, finalité, proportionnalité |
| RGPD art. 33 | Notification de violation de données à la CNPD dans les 72 heures |
| RGPD art. 35 | Analyse d'impact obligatoire si risque élevé |
| RGPD art. 83 | Amendes jusqu'à 20 millions EUR ou 4 % du CA mondial |
Note
La CNPD impose que la géolocalisation soit limitée au contrôle du temps de travail et ne serve pas à une surveillance continue des déplacements du salarié. Toute utilisation détournée expose l'employeur à des sanctions administratives et à la nullité des preuves obtenues.