La surveillance des salariés à l’ère du RGPD

Back
La surveillance des salariés à l’ère du RGPD
Categories
Articles
Date:
25 Oct 2019

Lexnow, Octobre 2019

By:
Marie Behle Pondji

Le Règlement Général sur la Protection des Données (« RGPD »), entré en application le 25 mai 2018, pose un socle de règles communes aux Etats membres de l’Union Européenne en matière de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. 

L’accroissement des responsabilités à la charge du responsable du traitement, consacré par le principe d’« accountability », est au cœur de cette nouvelle réglementation, avec pour corollaire, une suppression des contrôles menés en amont par les autorités de contrôle. 

Les notifications et demandes d’autorisations préalables à soumettre à la Commission Nationale pour la Protection des Données[1] (« CNPD ») ont donc cédé la place à une obligation de documenter, en continu, la conformité des traitements à travers registres, analyses d’impacts et procédures adaptées. 

Toutefois, les employeurs luxembourgeois ne sont pas des responsables de traitement au même titre que les autres et ils devront veiller au respect des dispositions spécifiques introduites par la Loi du 1er août 2018[2] lorsqu’ils envisageront de mettre en œuvre des opérations de surveillance dans le contexte de la relation de travail. 

En effet, si la nouvelle législation offre un cadre juridique beaucoup plus flexible qu’auparavant pour la surveillance dans le contexte de la relation de travail, l’employeur devra satisfaire un certain nombre de conditions et d’étapes avant d’être autorisé à la mettre en oeuvre. 

  1. Évolution du régime de la surveillance  

Conformément à ce que lui permettait l’article 88 du RGPD, le Luxembourg a choisi d’adopter des règles plus spécifiques en matière de traitement des données à caractère personnel des employés dans le cadre des relations de travail.

Les nouvelles dispositions du Code du travail témoignent de la profonde mutation qu’a subi le régime légal de la surveillance mise en œuvre par l’employeur dans le cadre de la relation de travail. 

A.   Notion de surveillance

La loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel (« Loi modifiée du 2 août 2002 »), aujourd’hui abrogée, avait le mérite de définir clairement la notion de « surveillance », laquelle visait « toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des communications ou à l’utilisation d’appareils électroniques et informatisés.”[3]

Selon cette définition, la surveillance supposait : (1) le recours à des outils techniques (y compris électroniques ou informatiques), (2) des opérations d’observation, de collecte ou d’enregistrement de données à caractère personnel, (3) le tout reposant sur un critère de régularité.

Les contrôles manuels et/ou occasionnels étaient donc exclus du régime légal de la surveillance. 

À ce titre, la Cour d’appel, saisie d’un litige[4] dans lequel un salarié avait été licencié pour usage abusif d’Internet sur son lieu de travail, avait retenu que les règles applicables en matière de surveillance sur le lieu de travail ne s’appliquaient pas aux contrôles qui n’étaient ni réguliers, ni non-occasionnels.

Pour rappel, la mise en place de la surveillance sur le lieu de travail exigeait, entre autres choses, de disposer d’une autorisation préalable de la CNPD. En l’absence d’autorisation en bonne et due forme, les éléments de preuve issus de cette surveillance étaient purement et simplement irrecevables devant les juridictions du travail.

En l’espèce, la Cour d’appel, après avoir relevé que les contrôles n’avaient pas été conduits de manière régulière ou non-occasionnelle, en avait déduit :

  • qu’il ne s’agissait pas d’une surveillance au sens de la Loi modifiée du 2 août 2002,
  • que de ce fait, l’absence d’autorisation préalable de la CNPD n’entachait pas la validité de la preuve collectée par le biais de ces contrôles.

La qualification juridique de la surveillance s’avère donc d’une relative importance pour les employeurs et l’absence de définition légale claire peut alimenter une certaine forme d’insécurité juridique. 

En effet, la Loi du 1er août 2018, qui a abrogé la précédente loi, ne contient aucune définition de la surveillance, ce qu’a d’ailleurs déploré la Chambre des Salariés au cours des travaux parlementaires[5]. De plus, cette notion n’est pas non plus définie par le RGPD, ni par le Code du travail. 

Il est toutefois permis de considérer que les employeurs pourront continuer de s’appuyer sur une définition analogue à l’ancienne définition légale pour déterminer si leurs opérations de traitement relèvent ou non du régime de la surveillance des salariés dans le cadre de la relation de travail. 

En effet, les travaux[6] de l’ancien Groupe de travail «Article 29» (« Groupe Article 29 »)[7] en matière de surveillance sur le lieu de travail, associent généralement d’une part, l’usage de technologies ou d’équipements techniques et d’autre part, les activités de suivi, d’observation ou de contrôle des comportements, déplacements et communications des employés, ce qui évoque les critères posés par l’ancienne définition légale de la surveillance. 

Toutefois, en cas de doute quant à la qualification de leurs opérations de traitement, les employeurs pourront toujours s’adresser à leur conseil ou à la CNPD pour obtenir un avis.

En toute hypothèse, avant de mettre en place une surveillance dans le contexte de la relation de travail, l’employeur doit s’assurer qu’il pourra se fonder sur l’une des bases juridiques nouvellement introduites par la législation nationale. 

B.   Licéité de la surveillance

La surveillance des salariés antérieure à la Loi du 1er août 2018 était strictement encadrée par un régime peu flexible et particulièrement restrictif.

En effet, l’employeur n’était autorisé à recourir à des mesures de surveillance que dans l’un des cinq cas listés par le Code du travail (ancien article L. 261-1), et sous réserve d’obtenir l’autorisation préalable de la CNPD. Ainsi, la surveillance ne pouvait être mise en place que si et seulement si elle était nécessaire :

  1. pour les besoins de sécurité et de santé des salariés ou,
  2. pour les besoins de protection des biens de l’entreprise ou,
  3. pour le contrôle du processus de production portant uniquement sur les machines ou,
  4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact ou,
  5. dans le cadre d’une organisation de travail selon l’horaire mobile conformément au Code du travail.

Tout dispositif de surveillance mis en œuvre pour une finalité autre que l’une des cinq finalités ci-dessus était illicite et exposait l’employeur à des sanctions pénales.

Le nouvel article L. 261-1 du Code du travail, quant à lui, ne limite plus les possibilités de recours à la surveillance.

Désormais, les employeurs sont autorisés à recourir à la surveillance pour les finalités qu’ils déterminent sous réserve toutefois que l’une des conditions ci-dessous soit remplie :

  1. le salarié a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques
  2. le traitement est nécessaire à l’exécution d’un contrat auquel le salarié est partie ou à l’exécution de mesures précontractuelles prises à la demande de celui-ci (p.ex. contrat de travail)
  3. le traitement est nécessaire au respect d’une obligation légale à laquelle l’employeur est soumis
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux du salarié ou d’une autre personne physique
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’employeur
  6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’employeur ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux du salarié qui exigent une protection des données personnelles.

Le champ des possibilités est donc très largement étendu pour un employeur, qui, aujourd’hui, peut recourir à un dispositif de surveillance dans un objectif pour lequel il se serait, par le passé, exposé à des sanctions pénales.

En supprimant les restrictions antérieures tout en renvoyant aux bases juridiques listées par l’article 6 du RGPD, le Législateur luxembourgeois semble offrir une plus grande flexibilité à l’employeur désireux de recourir à la surveillance dans le cadre de la relation de travail.

Toutefois, cette flexibilité va de pair avec une plus grande responsabilité alors que l’employeur devra, en cas de contrôle ou de litige, être en mesure de justifier à la fois le bien-fondé de la base juridique choisie, mais également la conformité de ses opérations de traitement avec les règles de droit commun imposées par le RGPD. 

  1. Spécificités liées à la relation de travail 

Alors que le traitement des données personnelles des collaborateurs ne posera globalement pas de difficultés lorsqu’il sera rendu nécessaire pour l’exécution du contrat de travail (p.ex. calcul de la rémunération) ou pour le respect d’obligations légales (p.ex. retenue à la source de l’impôt sur le revenu), l’employeur devra se montrer particulièrement vigilant pour ce qui est du consentement du salarié et des intérêts légitimes qu’il poursuit. 

A.   Le consentement du salarié

Dans son ancienne version, l’article L. 261-1 du Code du travail excluait le consentement du salarié des bases juridiques susceptibles de justifier le traitement de ses données personnelles à des fins de surveillance. Ledit article disposait en effet que « Le consentement de la personne concernée ne rend pas légitime le traitement mis en œuvre par l’employeur. »

Dans sa nouvelle mouture, l’article L. 261-1 ne prévoit plus une telle exclusion et cite expressément la lettre a) de l’article 6 §1 du RGPD renvoyant au consentement de la personne concernée comme potentielle base juridique du traitement de données.

Or, le consentement, tel qu’il est défini par le RGPD, ne pourra être invoqué par l’employeur que dans des situations très exceptionnelles, et il est peu probable qu’il puisse être considéré comme étant valide dans un contexte de surveillance des salariés.

En effet, le consentement donné dans le cadre d’un traitement de données personnelles doit tout d’abord résulter d’un acte positif clair. Aussi, une abstention ou le silence du collaborateur ne saurait satisfaire à cette exigence d’acte positif[8].

Ensuite, le consentement doit être éclairé, spécifique, univoque mais surtout, librement exprimé et, à cet égard, il doit être révocable[9] et reposer sur une véritable alternative.

Cela implique que le salarié devrait être en mesure de refuser de faire l’objet de la surveillance ou être en droit de retirer son consentement à tout moment, sans être exposé à des conséquences préjudiciables telles que par exemple l’exclusion d’un avantage (p.ex. refus d’un bonus). Plus important, l’employeur devrait mettre immédiatement un terme au traitement.

À cet égard, il est nécessaire de garder à l’esprit que, selon le RGPD[10], le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement. Or, le contrat de travail est justement caractérisé par un déséquilibre juridique et économique résultant de la subordination du salarié vis-à-vis de l’employeur.

L’expression d’un consentement libre dans le cadre de la relation de travail semble donc compromis alors que le rapport de dépendance est susceptible d’influer le choix du salarié de refuser ou de révoquer son consentement.

Il est difficile d’admettre, par exemple, qu’un conseiller clientèle en période d’essai se sente libre de refuser l’enregistrement des conversations téléphoniques professionnelles lorsque la Banque y a recours à des fins de preuve de ses transactions commerciales.

Ceci ne signifie pas pour autant que l’employeur ne pourra jamais s’appuyer sur le consentement du salarié pour le traitement de ses données personnelles. Cependant, il ne pourra le faire que si et seulement si ce consentement répond à tous les critères imposés par le RGPD et plus spécifiquement, sous réserve qu’il s’agisse d’un consentement libre.

En tout état de cause, le recours au consentement comme base juridique du traitement devrait être un choix résiduel, à savoir, l’employeur ne pourra y avoir recours que si aucune autre base juridique n’est susceptible de s’appliquer.

C’est ce que l’autorité de protection grecque a confirmé au cours de l’été 2019[11]. Cette dernière a infligé une amende administrative d’un montant de 150 000 EUR à un employeur qui avait eu recours au consentement de ses salariés pour justifier du traitement de leurs données personnelles.

L’autorité hellénique avait constaté qu’en l’espèce, les opérations de traitement analysées étaient en réalité indispensables à l’exécution des contrats de travail, à la conformité aux obligations légales de l’employeur, ou encore, au bon fonctionnement des activités de l’entreprise (intérêt légitime).

Pour l’autorité de protection, en sollicitant le consentement des salariés alors même que d’autres bases juridiques légitimaient les traitements, l’employeur avait induit ces derniers en erreur quant à la portée de leur accord. En effet, même si un salarié avait retiré son consentement, l’employeur aurait, malgré tout, été en mesure de poursuivre les opérations de traitement sur le fondement d’une autre base juridique. 

De cette décision, les employeurs luxembourgeois peuvent notamment retenir que :

  • l’employeur ne doit recourir au consentement que lorsqu’il ne lui est pas possible de s’appuyer sur d’autres bases juridiques, et sous réserve que ledit consentement remplisse les critères de validité qui lui sont associés (i.e. consentement libre, spécifique, éclairé et univoque). 

À titre d’exemple, recourir au consentement du salarié pour le traitement de ses données bancaires en vue du versement mensuel du salaire serait inapproprié alors qu’il s’agit d’une obligation contractuelle. 

  • Si, en cas de retrait du consentement, l’employeur est en mesure de poursuivre le traitement sur le fondement d’une autre base juridique, cela signifie que le consentement ne constitue pas une base juridique appropriée. 
  • Le fait de recourir à une base juridique inappropriée, comme ce fut le cas en l’espèce, s’analyse en un manquement à l’obligation de loyauté et de transparence vis-à-vis des personnes concernées.

En effet, en donnant son consentement, le salarié doit légitimement s’attendre à ce que le traitement de ses données prenne fin s’il se ravise. Or, si l’employeur est en mesure de poursuivre le traitement sur une autre base juridique (p.ex. obligation légale, exécution du contrat, etc.), le retrait du consentement n’aura aucune portée effective. 

  • Le choix de la base légale doit être documenté par l’employeur et cette documentation doit être tenue à la disposition des autorités de contrôle. En l’espèce, l’employeur a notamment été sanctionné pour ne pas avoir été en mesure de soumettre à l’autorité de contrôle la documentation afférente au choix de la base juridique de ses traitements. 

Aujourd’hui encore, il n’est pas rare de trouver dans les contrats de travail, des clauses génériques par lesquelles le salarié consent au traitement de ses données à des fins de gestion des ressources humaines.

Au vu de la décision rendue par l’autorité de contrôle grecque et des principes qu’elle rappelle, les employeurs luxembourgeois seraient bien avisés de revoir leurs modèles de contrat de travail, et plus spécifiquement, les clauses relatives au traitement des données personnelles du salarié.

Lorsqu’il ne sera pas possible d’invoquer l’exécution d’une mesure (pré)contractuelle ou le respect d’une obligation légale, les employeurs auront tendance à justifier le recours à la surveillance dans le cadre de la relation de travail par les intérêts légitimes qu’ils poursuivent ou qui sont poursuivis par un tiers. 

B.   Les intérêts légitimes poursuivis par l’employeur ou par un tiers

La notion d’intérêts légitimes n’est pas spécifiquement définie par la règlementation et, à ce titre, repose sur une acception large et relative, fonction des activités de chaque employeur ou du tiers.

Or, pour autant, cette base juridique, ne doit pas être perçue comme une catégorie « fourre-tout » et devra faire l’objet d’un examen préalable minutieux.

En effet, il ressort de l’article 6§1 lettre f) du RGPD que l’employeur devra systématiquement opérer une mise en balance des intérêts légitimes poursuivis avec les intérêts ou les libertés et droits fondamentaux de ses collaborateurs (p.ex. droit au respect de la vie privée, droit à la confidentialité des communications, droit à l’image, etc.). 

Si les intérêts ou libertés et droits fondamentaux de ces derniers prévalent sur les intérêts légitimes de l’employeur ou du tiers, la surveillance sera tout simplement illégale. Ce travail préalable de comparaison des intérêts et des droits et libertés est donc tout à fait essentiel. 

Selon les dispositions du RGPD, les intérêts ou libertés et droits fondamentaux de la personne concernée s’analysent à la lumière des attentes raisonnables que cette dernière peut avoir quant au traitement de ses données au regard de sa relation avec le responsable du traitement.

Autrement dit, pour déterminer si les intérêts légitimes de l’employeur peuvent justifier une mesure de surveillance, ce dernier devra déterminer si, au moment de la collecte et eu égard à la relation de travail qui les lie, le salarié peut raisonnablement s’attendre à ce que ses données personnelles fassent l’objet d’une telle surveillance. 

On peut légitimement supposer que le salarié d’une bijouterie s’attende à ce que son employeur ait recours à la vidéosurveillance sur le lieu de travail, par exemple.

Par ailleurs, même fondées sur les intérêts légitimes de l’employeur, les opérations de surveillance devront être conformes à toutes les autres exigences posées par le RGPD, parmi lesquelles figurent notamment l’obligation de loyauté, de transparence ou encore le principe de minimisation des données.

Ainsi, ne pourront être collectées et traitées que les données adéquates, pertinentes et limitées à ce qui est strictement nécessaire à l’objectif de la surveillance.

Partant, l’employeur ne pourra pas, sous prétexte de poursuivre ses intérêts légitimes, mettre en œuvre des mesures de surveillance disproportionnées, comme une surveillance en continue de ses employés par le biais de la vidéosurveillance.

En toute hypothèse, l’employeur devra privilégier les mesures de surveillance les moins intrusives pour les libertés et droits fondamentaux des salariés, chaque fois que cela lui est possible.

Eu égard à l’enjeu de protection des intérêts et libertés et droits fondamentaux du salarié, partie considérée comme étant la plus faible, la nouvelle législation a maintenu des étapes préalables que l’employeur devra respecter avant de pouvoir mettre en œuvre la surveillance. 

  1. Les mesures préalables à la mise en œuvre de la surveillance 

L’abolition du système des autorisations préalables n’a pas pour autant ôté toute charge procédurale dans le chef de l’employeur. De plus, la nouvelle législation confère un véritable droit de regard des salariés sur le dispositif de surveillance choisi par l’employeur. 

A.   Contenu de l’information préalable aux salariés et aux représentants du personnel

Comme tout responsable de traitement, l’employeur devra s’acquitter d’une obligation d’information préalable des personnes concernées.

Dans le cadre plus spécifique de la relation de travail, outre les collaborateurs, cette information préalable devra également être communiquée à la délégation du personnel ou, à défaut, à l’Inspection du Travail et des Mines (« ITM »).

Cette obligation de procéder à une information préalable aux niveaux individuel et collectif existait déjà sous l’empire de la législation antérieure. Mais la nouveauté réside dans le contenu de l’information préalable, qui a été étoffé et invite à une plus grande transparence concernant le dispositif de surveillance envisagé.

En plus du contenu minimal défini par l’article 13 du RGPD, l’information préalable doit désormais contenir une description détaillée de la finalité de la surveillance ainsi que des modalités de sa mise en œuvre.

L’employeur devra donc fournir un véritable effort de pédagogie quant à la portée de l’utilisation de la surveillance et à ses impacts sur le personnel.

Plus marquant encore, l’information doit contenir l’engagement formel de ce dernier que les données collectées ne seront pas utilisées pour une finalité autre que celle explicitement spécifiée dans l’information préalable.

Cette exigence d’engagement formel de l’employeur est quelque peu surprenante dans la mesure où, en vertu du principe de limitation des finalités, ce dernier n’est, de toutes les façons, pas autorisé à utiliser les données pour un objectif autre que celui pour lequel il les aura initialement collectées. 

Il sera intéressant de voir quelle portée la CNPD et les juridictions du travail, donneront à cet engagement formel dans l’hypothèse où un employeur serait amené à prendre des sanctions disciplinaires à l’encontre d’un salarié dont les manquements auront été détectés à partir des données issues de la surveillance. 

Les entreprises au sein desquelles la codécision s’applique ainsi que celles ayant recours à une organisation du travail selon un horaire mobile demeurent par ailleurs liées par la nécessité de parvenir à un accord avec la délégation du personnel dès lors que la surveillance repose sur l’une des trois finalités spécifiquement visées par l’article L. 261-1 du Code du travail. 

B.   Intervention en amont de la CNPD : l’avis préalable de conformité

La notification aux salariés et à leurs représentants de l’information préalable ne constitue pas qu’une simple formalité. En effet, cette notification fixe le point de départ de la procédure introduite par la nouvelle législation, par laquelle la délégation du personnel (ou à défaut les salariés concernés) peut saisir la CNPD d’une demande d’avis préalable de conformité de la surveillance.

L’instauration d’une telle procédure, en amont de la mise en œuvre de la surveillance, semble en contradiction avec l’esprit de « responsabilisation » - « accountability » - du responsable du traitement, qui est l’une des pierres angulaires du RGPD.

L’abolition des autorisations préalables est effectivement censée être contrebalancée par l’obligation faite à l’employeur de documenter la conformité de ses traitements, de sorte à pouvoir en établir la légalité, a posteriori, en cas de contrôle.

En appelant l’autorité de contrôle à évaluer la conformité de la surveillance avant son implémentation, le Législateur luxembourgeois lui confère, de manière indirecte, un certain pouvoir d’homologation du traitement projeté.

S’il est vrai que l’avis de la CNPD ne lie pas l’employeur, dans les faits, il aura une valeur et une portée similaire à une procédure de validation ou d’invalidation.

En effet, comment l’employeur pourrait, en toute quiétude, mettre en œuvre la surveillance pour laquelle la CNPD aura délivré un avis préalable de non-conformité, tout en sachant que cette même autorité pourra, une fois le traitement mis en place, être saisie de réclamations de salariés, et prononcer de lourdes sanctions financières à son égard pour les irrégularités déjà visées dans cet avis préalable ?

À ce titre, il importe de rappeler que, le Législateur luxembourgeois a fait le choix de maintenir le dispositif répressif que la Loi modifiée du 2 août 2002 instaurait déjà. Ainsi, toute surveillance qui contreviendrait aux dispositions du Code du travail exposerait l’employeur à une amende correctionnelle voire, pour les personnes physiques, à une peine d’emprisonnement. 

Ceci contribue à renforcer dans les faits la valeur que revêtira l’avis préalable de conformité de la CNPD qui, d’un point de vue théorique, n’est pourtant pas censé lier l’employeur. 

À toutes fins utiles, il convient de rappeler qu’en plus des éventuelles sanctions pénales, l’employeur reste exposé aux sanctions administratives (notamment l’amende) que pourrait prononcer la CNPD, sans compter les éventuels dommages-intérêts que l’un ou l’autre salarié serait susceptible de réclamer devant les juridictions du travail en cas de préjudice établi dans son chef.

Pour finir, l’employeur désireux de recourir à la surveillance dans le cadre de la relation de travail doit évaluer l’opportunité de réaliser au préalable une analyse d’impact. 

C.   L’analyse d’impact

En effet, le principe d’« accountability » impose désormais à l’employeur d’être en mesure de démontrer que le traitement mis en œuvre est conforme aux RGPD et à la législation nationale afférente. 

Pour rappel, en vertu de l’article 35 du RGPD, tout traitement qui, eu égard à sa nature, sa portée, le contexte et ses finalités, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, doit faire l’objet d’une analyse de son impact potentiel sur la protection des données. L’implication du Délégué à la Protection des Données, s’il en existe un, est exigée. 

Il n’est pas aisé de déterminer si un traitement entre ou non dans le champ d’application de l’article 35 à la seule lecture des critères qui y sont inscrits. Les autorités de contrôle des Etats membres ont donc été invitées à établir et publier des listes de traitements pour lesquels une analyse d’impact est requise.

Dans la liste publiée par la CNPD figurent notamment les opérations de traitement qui consistent ou portent sur un contrôle régulier et systématique des activités des employés (à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative) ainsi que celles qui consistent en un suivi systématique de la localisation de personnes physiques. 

Par ailleurs, l’ancien Groupe Article 29 a défini une série de 9 critères auxquels les responsables de traitement peuvent se référer pour déterminer si une analyse d’impact doit être réalisée en préconisant de considérer qu’une telle obligation nait dès lors qu’au moins 2 de ces 9 critères sont réunis.

Or, à la lecture de ces lignes directrices, il apparait que l’emploi de nouvelles technologies et le traitement de données de personnes qualifiées de « vulnérables », tel que cela est le cas des salariés, constituent deux de ces neufs critères. 

Aussi, le recours à la surveillance dans le cadre de la relation de travail reposant sur les nouvelles technologies nécessitera en théorie systématiquement une analyse d’impact préalable. 

Conclusion

L’abolition des obligations déclaratives en amont de la mise en œuvre de la surveillance dans le cadre de la relation de travail ne s’accompagne pas pour autant une simplification de la tâche qui incombe aux employeurs luxembourgeois.

Leur responsabilité à cet égard et les risques qui en découlent en sont, à l’inverse, accrus.

Alors que l’autorisation préalable de la CNPD garantissait une forme de « conformité de principe » du traitement, il appartient désormais à chaque employeur d’établir, d’évaluer et de documenter la conformité du dispositif de surveillance, en toute autonomie, au risque, pour les moins diligents de s’exposer à de très lourdes sanctions. 

Les enjeux sont donc loin d’être négligeables et requièrent, de la part de ces derniers, une véritable prise de conscience de l’importance du respect des règles spécifiques en la matière.


[1] Il s’agit de l’autorité de contrôle luxembourgeoise.

[2] Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État dite « Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données ».

[3] Article 2 (q) de la loi abrogée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel.

[4] Cour d’appel, arrêt n°41245 du 12 novembre 2015.

[5] Avis de la Chambre des Salariés, n°7184/01 du 5 décembre 2017.

[6] notamment Avis 2/2017 sur le traitement des données sur le lieu de travail

[7] Groupe de travail « Article 29 » sur la protection des données : groupe de travail européen indépendant qui traitait les questions relatives à la protection de la vie privée et aux données à caractère personnel jusqu’au 25 mai 2018.

[8] Considérant n°32 du RGPD.

[9] [9] Avis 2/2017 du Groupe de Travail Article 29 (devenu Comité Européen de Protection des Données) du 8 juin 2017 sur le traitement des données sur le lieu de travail.

[10] Considérant n°43 RGPD.

[11] Cf. décision de l’autorité hellénique n°26/2019 d’août 2019.