Changements en matière de surveillance dans le cadre des relations de travail

La loi votée en date du 26 juillet 2018 portant organisation de la Commission Nationale pour la Protection des Données (CNPD) et mise en œuvre du Règlement Général sur la Protection des Données (RGPD) au Luxembourg a conduit à certains changements en matière de surveillance dans le cadre des relations de travail.

Ainsi, en vertu du changement de paradigme apporté par ce nouveau règlement européen, il n’est plus nécessaire que l’employeur dispose d’une autorisation préalable délivrée par la CNPD afin de procéder à une surveillance sur le lieu de travail comme c’était le cas sous l’ancienne directive européenne du 24 octobre 1995, transposée en droit luxembourgeois par la loi du 2 août 2002 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

L’article 71 de la loi portant organisation de la CNPD et mise en œuvre du RGPD au Luxembourg a entraîné une modification de l’article L. 261-1. du Code du travail relatif à la surveillance des salariés dans le cadre des relations de travail. Le Luxembourg a ainsi fait usage de l’option de l’article 88 du RGPD de prévoir des modalités plus spécifiques lorsqu’il s’agit de traitements de données à caractère personnel par un employeur à des fins de surveillance des salariés dans le cadre d’une relation de travail.

Les principales nouveautés en la matière sont les suivantes :

  • Absence d’autorisation préalable

Les anciennes dispositions ainsi que les autorisations délivrées par la CNPD sur base de celles-ci, sont abrogées par le RGPD.

Un traitement de données à caractère personnel à des fins de surveillance des salariés peut dorénavant être mis en œuvre par l’employeur, s’il en est le responsable, conformément aux cas visés à l’article 6, paragraphe 1 lettres a) à f) du RGPD et conformément aux dispositions du nouvel article L. 261-1. du Code du travail. L’employeur n’est ainsi plus limité par les 5 cas de recours à la surveillance limitativement énumérés par l’ancien article L. 261-1. du Code du travail. En effet, un tel traitement n’était possible que s’il était nécessaire :

  1. pour les besoins de sécurité et de santé des salariés, ou
  2. pour les besoins de protection des biens de l’entreprise, ou
  3. pour le contrôle du processus de production portant uniquement sur les machines, ou
  4. pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou
  5. dans le cadre d’une organisation de travail selon l’horaire mobile conformément au Code du travail.

Maintenant, il suffit que l’employeur se base sur l’une des 6 conditions de licéité de l’article 6 du RGPD. Le traitement peut donc être fait si :

  1. la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
  3. le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
  4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.

Le plus souvent, les mesures de surveillance seraient à justifier par l’intérêt légitime de l’employeur. Ainsi, la FEDIL recommande cette base légale afin de procéder à la surveillance des salariés dans le cadre des relations de travail.

À noter que le consentement d’un salarié, placé sous la subordination de son employeur, n’est pas toujours considéré comme étant donné de manière libre, condition pourtant nécessaire pour avoir un consentement valable au sens du RGPD. En cas de litige, le caractère libre du consentement de la personne concernée relèvera de l’appréciation souveraine du juge.

  • Droit à l’information

À côté du droit individuel à l’information dont dispose de toute manière chaque salarié en vertu des articles 13 et 14 du RGPD, il est de nouveau prévu en sus un droit collectif à l’information des salariés. Ainsi, sans préjudice du droit à l’information de la personne concernée, doivent aussi être préalablement informés par l’employeur : le comité mixte ou, à défaut, la délégation du personnel ou, à défaut encore, l’inspection du travail et des mines.

En revanche, il est désormais prévu que cette information préalable contienne une description détaillée de la finalité du traitement envisagé, ainsi que des modalités de mise en œuvre du système de surveillance et, le cas échéant, la durée ou les critères de conservation des données, de même qu’un engagement formel de l’employeur de la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information préalable.

L’obligation d’information pesant sur l’employeur est donc considérablement renforcée.

Le traitement de données à des fins de surveillance motivé par les besoins de sécurité et de santé des salariés, par le contrôle de production ou des prestations du salarié lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou encore par une organisation de travail selon l’horaire mobile, reste soumis au régime de la codécision, conformément aux dispositions des articles L. 211-8., L. 414-9. et L. 423-1. du Code du travail, sauf lorsque le traitement répond à une obligation légale ou règlementaire.

  • Demande d’avis préalable

Une autre nouveauté est que la délégation du personnel, ou à défaut, les salariés concernés par les mesures de surveillance, peuvent, dans les quinze jours suivant l’information préalable, soumettre à la CNPD une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié dans le cadre des relations de travail.

Toute demande d’avis préalable adressée à la CNPD après ce délai sera irrecevable. De ce fait, il est conseillé aux employeurs de satisfaire à l’obligation d’information sous une forme permettant de conférer date certaine (p. ex. lettre envoyée par recommandée aux salariés concernés avec éventuellement un affichage en interne) et de connaître la date exacte à partir de laquelle le délai de quinze jours commence à courir.

La demande d’avis préalable a un effet suspensif, de sorte qu’en l’attente de l’avis de la CNPD, qui doit rendre son avis dans le mois de la saisine, l’employeur ne peut pas procéder au traitement envisagé. L’avis de la CNPD ne constitue pas une décision susceptible de recours et l’employeur n’est pas non plus obligé de le suivre, même s’il est avisé de le faire.

  • Analyse d’impact relative à la protection des données à caractère personnel

En fonction du dispositif retenu, une analyse d’impact relative à la protection des données à caractère personnel doit être menée, conformément à l’article 35 du RGPD.

Il est encore prévu que les salariés concernés ont le droit d’introduire une réclamation auprès de la CNPD (comme le prévoit déjà l’article 77 du RGPD). Une telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement.

Il est encore indispensable à relever que le nouvel article L. 261-1. du Code du travail ne commence à s’appliquer que pour les nouveaux traitements de surveillance envisagés après l’entrée en vigueur de la loi portant organisation de la CNPD et mise en œuvre du RGPD au Luxembourg et qu’il ne remet pas en cause les traitements déjà en place. Or, il convient de noter que tout dispositif en place doit bien évidemment être conforme au RGPD qui est applicable depuis le 25 mai 2018.

Par ailleurs, vu que la surveillance engendre évidemment un traitement de données à caractère personnel des salariés, l’employeur a l’obligation de l’intégrer dans le registre des activités de traitement, le tout conformément à l’article 30 du RGPD.

Enfin, il est, dès le début des mesures de surveillance, tenu d’adopter des mesures de sécurité et de confidentialité adéquates en vertu de l’article 32 du RGPD.

Vu que la loi ne contient pas de date précise d’entrée en vigueur, l’entrée en vigueur de la loi sera 3 jours après la publication au Mémorial.

La FEDIL vous tiendra informé sur la date d’entrée en vigueur de la loi par le biais de sa newsletter.

Voici le lien vers le nouvel article L. 261-1. du Code du travail (extrait du rapport de la Commission de l’Enseignement supérieur, de la Recherche, des Médias, des Communications et de l’Espace).

La FEDIL tient également à vous informer qu’un modèle « Frequently asked questions (FAQ) » dans le cadre du RGPD est actuellement en préparation en vue d’offrir aux entreprises une vue globale des questions les plus fréquemment posées jusqu’à présent. Ce FAQ sera adapté au fur et à mesure en fonction des problématiques rencontrées.

Pour tout renseignement complémentaire, n’hésitez pas à contacter Philippe Heck ou Marc Kieffer.

Luxembourg, le 27 juillet 2018