05/12/18

Protection des données à caractère personnel et surveillance des salariés

Depuis le 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)1 (ci-après « RGPD ») est entré en vigueur.

A Luxembourg, le projet de loi n°71842 avait été déposé en date du 12 septembre 2017 et avait pour but principalement la création de la Commission nationale pour la protection des données (ci-après «CNPD ») et la mise en œuvre du RGPD.

Ce projet a été voté et a donné lieu à la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État (ci-après la « Loi du 1er août 2018 »)3, publiée au Mémorial en date du 16 août 2018 et applicable depuis le 20 août dernier.

Parmi les différents points spécifiquement applicables à Luxembourg, il en est un qui avait donné lieu à de nombreux commentaires et amendements au projet de loi n°7184 initial: celui relatif à la protection des salariés en ce qui concerne le traitement de données à des fins de surveillance.

Le nouvel article L.261-1 du Code du Travail

Introduit par l’article 71 de la Loi du 1er août 2018 modifie sensiblement les cas dans lesquels un traitement de données à caractère personnel à des fins de surveillance des salariés peut être mis en œuvre par l’employeur en disposant, en son premier alinéa que, « le traitement de données à caractère personnel à des fins de surveillance des salariés dans le cadre des relations de travail ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6, paragraphe 1 er, lettres a) à f) » du RGPD.

En conséquence, l’employeur peut doréavant invoquer, comme base légale au traitement de données à caractère personnel qu’il entend mettre en place, l’une des six bases légales prévues par le RGPD, à savoir :

  • le consentement de l’employé ;
  • la nécessité en vue de l’exécution du contrat de travail ou de mesures pré-contractuelles ;
  • le respect d’une obligation légale ;
  • la sauvegarde des intérêts vitaux de l’employé ou une autre personne phyisque ;
  • l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’employeur ;
  • l’intérêt légitime poursuivi par l’employeur.

Ceci appelle les commentaires suivants :

  • d’une part, le consentement comme base légale au traitement envisagé n’est pas exclu d’office. Cependant, tout employeur souhaitant légitimer un traitement de données à caractère personnel sur la base du consentement de l’employé sera avisé de garder en mémoire qu’il doit être en mesure de prouver que le consentement donné l’a été librement et que ce consentement est toujours révocable, à tout moment et sans justification, par l’employé ;
  • d’autre part, l’employeur peut invoquer ses intérêts légitimes comme base légale au traitement envisagé. Or, aucune définition de la notion d’intérêt légitime n’est donnée par les textes, de telle sorte que la frontière entre intérêts légitimes de l’employeur et la protection des salariés est difficile à cerner et pourra très souvent être discutée, voire contestée.

Il convient de rappeler que les bases légales prévues par l’article 6 du RGPD peuvent être cumulatives mais que la/les bases légales choisies par l’employeur pour justifier le traitement de données à caractère personnel doit/doivent cependant être clairement et définitivement déterminée(s), et ce, avant la mise en place du traitement.

La détermination préalable et définitive de la base légale du traitement envisagé est indispensable, notamment en vertu du principe d’information préalable des employés concernés.

Au sujet de l’information préalable au traitement particulier de données à caractère personnel à des fins de surveillance, force est de constater que le législateur luxembourgeois a clairement indiqué, dans le nouvel Article L.261-1 (2) du Code du Travail, qu’outre les employés concernés, seront préalablement informés, en fonction de l’entreprise concernée, (i) le comité mixte ou la délégation du personnel ou encore l’Inspection du Travail et des Mines ou (ii) les organismes de représentation du personnel.

L’information préalable devra contenir une description détaillée de la finalité du traitement envisagé, les modalités de mise en oeuvre du système de surveillance, la durée ou les critères de conservation des données et un engagement formel de l’employeur relativement à la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information péalable.

L’employeur sera dès lors bien avisé de réfléchir, avant la mise en place du traitement envisagé, à la base légale qu’il entend invoquer, celle-ci ne pouvant être modifiée ultérieurement. Ce d’autant plus eu égard à l’importance de l’amende adminstrative pouvant être prononcée à son encontre, en cas de violation des dispositions relatives aux pincipes de base d’un traitement, celle-ci pouvant s’élever jusqu’à 20.000.000,- EUR ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Cet article a été précédemment publié dans Entreprises magazine – Numéro 92 – novembre/decembre 2018

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO L 119, 4.5.2016, p. 1–88

2. Projet de loi portant creation de la Commission nationale pour la protection des données et la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, portant modification de la loi du 25 mars 2015 fixant le regime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’Etat et abrogeant la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel

3. Loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), portant modification du Code du travail et de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État, Mémorial A – n°686 du 16 août 2018

dotted_texture