L'usage de l'IA pour détecter les comportements à risque est-il autorisé au Luxembourg ?
Réponse courte
L'utilisation de l'IA pour détecter les comportements à risque des salariés au Luxembourg est strictement encadrée. Depuis février 2025, l'AI Act interdit les systèmes de reconnaissance des émotions sur le lieu de travail, sauf raisons médicales ou de sécurité. Toute utilisation impliquant des données personnelles doit respecter le RGPD et l'article L.261-1 relatif à la surveillance des salariés.
L'employeur doit s'appuyer sur une base légale valide, informer préalablement la délégation du personnel (ou l'ITM) et garantir transparence, proportionnalité et minimisation des données. Les salariés disposent d'un délai de 15 jours pour saisir la CNPD avec effet suspensif. Le non-respect expose à des sanctions pénales (emprisonnement, amende jusqu'à 125 000 EUR) et des amendes RGPD jusqu'à 20 millions d'euros.
Définition
Un système d'intelligence artificielle au sens de l'AI Act est un système basé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, qui déduit à partir des entrées reçues la manière de générer des prédictions, recommandations ou décisions pouvant influencer des environnements réels ou virtuels.
La détection de comportements à risque par IA englobe la reconnaissance émotionnelle (expressions faciales, ton de la voix), l'analyse comportementale (activités informatiques, communications), le scoring social et la surveillance généralisée. La surveillance au sens luxembourgeois désigne toute activité consistant en l'observation, la collecte ou l'enregistrement de manière non occasionnelle de données personnelles relatives à des comportements ou mouvements.
Questions fréquentes
Conditions d’exercice
L'utilisation de l'IA pour détecter les comportements à risque doit respecter trois cadres réglementaires cumulatifs.
| Critère | Détail |
|---|---|
| Interdictions AI Act (fév. 2025) | Reconnaissance émotionnelle au travail (article 5, §1, f) sauf exception médicale/sécurité ; exploitation de vulnérabilités ; manipulation cognitive ; scoring social préjudiciable ; moissonnage de données faciales |
| Art. L.261-1 - Base légale | Traitement sur base d'une des six conditions de licéité du RGPD (article 6) ; consentement rarement applicable en contexte professionnel ; intérêt légitime sous réserve de mise en balance |
| Information collective | Information obligatoire du comité mixte, de la délégation du personnel ou de l'ITM ; description de la finalité, modalités, durée de conservation, engagement de non-détournement |
| Codécision (art. L.261-1, §3) | Accord obligatoire employeur/délégation pour : sécurité et santé des salariés, contrôle de production pour salaire, organisation horaire mobile |
| Saisine CNPD | Droit de la délégation ou des salariés dans les 15 jours ; effet suspensif pendant le délai d'un mois de la CNPD |
| Principes RGPD | Transparence (articles 12-13), limitation des finalités, minimisation des données, exactitude, limitation de conservation, sécurité, accountability |
| AIPD obligatoire | Pour les systèmes à haut risque ou impliquant une surveillance systématique (article 35 RGPD) |
Modalités pratiques
Le déploiement d'un système de détection de comportements à risque suit un processus en huit étapes.
| Étape | Détail |
|---|---|
| Qualification du système | Déterminer si le système tombe sous les interdictions AI Act (abandon si oui), constitue un système à haut risque ou nécessite des obligations de transparence |
| Base légale | Identifier la base légale RGPD : généralement intérêt légitime (mise en balance nécessaire) ; rarement consentement |
| AIPD | Description du traitement, évaluation de nécessité et proportionnalité, identification des risques, mesures d'atténuation, consultation du DPO |
| Information collective | Document détaillant finalité, technologies, données collectées, modalités, durée de conservation, mesures de sécurité transmis à la délégation ou ITM |
| Délai suspensif | Attendre 15 jours ; si saisine CNPD : attendre l'avis (1 mois) avant déploiement |
| Information individuelle | Informer chaque salarié : identité du responsable, finalités, base légale, catégories de données, destinataires, durée, droits, droit de réclamation CNPD |
| Documentation | Registre des traitements, AIPD, preuves d'information préalable, procédures de gestion des droits, mesures de sécurité, contrats sous-traitants |
| Déploiement et monitoring | Déploiement conforme aux engagements ; monitoring continu ; formation des utilisateurs (obligation AI Act) ; audits réguliers |
Pratiques et recommandations
Évaluer si des méthodes moins intrusives peuvent atteindre les objectifs légitimes avant de déployer un système d'IA de surveillance, en évitant la surveillance généralisée au profit de contrôles ponctuels et ciblés.
Garantir un niveau de supervision humaine approprié en formant les managers à interpréter les résultats de l'IA sans s'y fier aveuglément et en permettant aux salariés de contester toute décision basée sur l'IA.
Aller au-delà des obligations minimales de transparence en expliquant clairement aux salariés le fonctionnement de l'IA, en organisant des sessions d'information et en évitant les termes techniques obscurs.
Limiter strictement les données collectées au strict nécessaire, avec des durées de conservation courtes et justifiées, des suppressions automatiques et une protection renforcée des données biométriques.
Impliquer la délégation du personnel dès la conception, en organisant des consultations régulières et en sollicitant un avis préalable de la CNPD en cas de doute, même sans obligation.
Cadre juridique
| Référence | Objet |
|---|---|
| RGPD (UE 2016/679) | Régime général de protection des données personnelles dans le cadre professionnel |
| AI Act (UE 2024/1689) | Règlement sur l'intelligence artificielle ; interdictions applicables depuis le 2 février 2025 |
| Art. L.261-1 | Traitement de données à des fins de surveillance dans les relations de travail ; information préalable obligatoire |
| Art. L.261-2 | Sanctions pénales : emprisonnement de 8 jours à 1 an et/ou amende de 251 à 125 000 EUR ; montants doublés pour personnes morales |
| Loi du 1er août 2018 | Organisation de la CNPD et régime général sur la protection des données |
| Projet de loi n°8476 | Transposition nationale de l'AI Act ; compétences élargies à la CNPD |
| CNPD | Autorité de contrôle RGPD et future autorité nationale AI Act |
| ITM | Contrôle de l'application de l'article L.261-1 (art. L.254-1) |
Note
Cette fiche traite spécifiquement de la détection de comportements à risque par IA. Pour d'autres utilisations (recrutement, formation, performance), des règles supplémentaires s'appliquent. Les employeurs sont encouragés à consulter la CNPD en cas de doute, sous réserve de l'application progressive de l'AI Act.