RGPD et surveillance des salariés : avis de la CNPD

Back
Date:
15 May 2018

Newsflash

By:
Dorothée David

RGPD et surveillance des salariés : avis de la CNPD sur le Projet de loi en cours

La CNPD a rendu un avis en date du 25 avril 2018 concernant la modification de l’article L. 261-1 du Code du travail relatif à la surveillance des salariés sur le lieu de travail, telle que prévue par le Projet de loi n° 7184 portant mise en œuvre du RGPD au Luxembourg. L’avis de la CNPD porte notamment sur les modifications projetées suivantes :

  • Possibilité pour un employeur de recourir à un traitement de données personnelles à des fins de surveillance des salariés conforme aux conditions de licéité du RGPD.

Sur ce point, la CNPD salue le fait que le nouvel article L. 261-1 proposé par le Projet de loi ne limiterait plus les cas sur lesquels un employeur peut se baser pour légitimer un traitement de données à des fins de surveillance (l’actuel article L.261-1 prévoit seulement 5 cas limitatifs de recours autorisés). Le fait que l’article 6 du RGPD relatif aux conditions de licéité de tout traitement de données s’applique aux traitements visant à surveiller les salariés sur le lieu de travail, assure la conformité du droit Luxembourgeois à la jurisprudence européenne.

  • Possibilité pour la délégation du personnel de demander un avis préalable de conformité à la CNPD pour tout traitement de données personnelles destiné à contrôler l’activité des salariés sur le lieu de travail, avec effet suspensif dans l’attente de l’avis de la CNPD.

Sur ce point, la CNPD se demande notamment comment le nouvel article L. 261-1 prévu par le Projet de loi peut s’articuler avec l’esprit du RGPD et notamment le principe de responsabilisation (« accountability ») visant à passer d’un système de contrôle a priori à un système de contrôle a posteriori. En effet, selon le système voulu et mis en place par le RGPD, les responsables de traitement n’auraient plus besoin de déclarer préalablement à la CNPD leurs traitements de données, mais devraient mettre en place en interne toute une série de mesures obligatoires et documentées, pour être en mesure de démontrer leur conformité.  La CNPD, de sa propre initiative, sur base de réclamations qu’elle recevrait ou sur base de la procédure de coopération européenne, effectuerait des contrôles et sanctionnerait le responsable de traitement en cas de violation des dispositions du RGPD.

La CNPD s’interroge sur la valeur juridique qu’aurait son avis préalable sur le traitement de données à des fins de surveillance des salariés, alors qu’elle est par ailleurs déjà chargée d’un contrôle de conformité ultérieur et d’un pouvoir décisionnel quant à la légalité du traitement.

De plus, la CNPD souligne que la procédure d’avis préalable de conformité projetée ne semble pas relever des « règles plus spécifiques pour assurer la protection des droits et libertés » des salariés, autorisées par l’article 88 du RGPD. En effet, pour exemple, une procédure de consultation préalable est prévue par le RGPD en cas d’analyse d’impact révélant un risque élevé (articles 35 et 36). Le délai accordé à l’autorité de contrôle pour se prononcer est alors de 8 semaines. Or, dans l’article L. 261-1 du Code du travail modifié, le délai accordé à la CNPD pour se prononcer sur le traitement de données personnelles aux fins de surveillance des salariés serait seulement d’1 mois.

En définitive, la CNPD recommande l’abrogation pure et simple de l’actuel article L. 261-1 du Code du travail, considérant que « le RGPD constitue un référentiel solide et cohérent qui prévoit un nombre important et suffisant de garanties pour protéger les personnes concernées, dont notamment les salariés, et ceci en l'occurrence par rapport à un traitement à des fins de surveillance sur le lieu de travail. »

Si toutefois le législateur souhaitait maintenir l’article L. 261-1 du Code du travail, la CNPD estime nécessaire de le préciser et de l’adapter aux exigences du RGPD.

Projet de loi portant mise en oeuvre du RGPD - Avis de la CNPD du 25 avril 2018