Le (nouveau) régime juridique relatif à la surveillance des salariés

Moins protecteur

d'Lëtzebuerger Land du 26.07.2019

La question de la surveillance dans le contexte des relations de travail revêt une importance particulière puisqu’elle se place dans le cadre du lien de subordination qui existe entre l’employeur, responsable des mesures de surveillance mises en œuvre, et ses salariés, qui y sont soumis. Les mesures de surveillance auxquelles les salariés sont susceptibles d’être soumis sont nombreuses : vidéosurveillance, surveillance du courrier électronique, surveillance de l’utilisation d’Internet, enregistrement des conversations téléphoniques des salariés, contrôle électronique des accès par les salariés, surveillance électronique des horaires de travail, et cetera.

Au Luxembourg, le traitement de données à caractère personnel à des fins de surveillance dans le cadre des relations de travail fait l’objet de dispositions légales particulières aux articles L.261-1 et 2 du code du travail. La loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (la « loi de 2018 ») et qui a mis en œuvre le Règlement général sur la protection des données (le « RGPD »), a substantiellement modifié l’article L.261-1 du code du travail et le régime juridique relatif à la surveillance des salariés.

La modification de cette disposition a fait l’objet d’avis assez tranchés pendant le processus d’examen du projet de loi. Et pour cause : l’idée générale de la mise en œuvre du RGPD et de la nouvelle loi était d’aller vers plus de droits et de garanties pour les personnes concernées, et plus de contraintes pour les responsables de traitements afin de garantir plus efficacement la protection des données personnelles.

Or concernant le traitement de données à des fins de surveillance dans le cadre des relations de travail, si des mesures de protection des salariés originales ont été adoptées, force est cependant de constater que le recours à la surveillance est facilité non seulement parce que le régime d’autorisation préalable a été supprimé, mais également parce que les cas dans lesquels il est possible de recourir à la surveillance ne sont plus aussi strictement limités.

Notion de surveillance

La surveillance n’est définie ni dans la loi de 2018, ni dans le RGPD. Le législateur luxembourgeois n’a pas jugé utile d’inclure une telle définition, comme il l’avait pourtant lui-même fait en 2002. Il faut en effet se référer à la loi du 2 août 2002 (abrogée par la loi de 2018), qui constituait le cadre juridique en matière de traitements de données personnelles, pour trouver une définition de la notion de surveillance.

La surveillance y est définie comme étant toute activité qui, opérée au moyen d’instruments techniques, consiste en l’observation, la collecte ou l’enregistrement de manière non occasionnelle des données à caractère personnel d’une ou de plusieurs personnes, relatives à des comportements, des mouvements, des communications ou à l’utilisation d’appareils électroniques et informatisés.

Si cette définition n’est aujourd’hui plus en vigueur, et on peut le déplorer, elle garde cependant sa pertinence notamment concernant le principal critère permettant d’évaluer si une mesure mise en place par un responsable de traitement peut être qualifiée de surveillance : le fait que la collecte de données soit occasionnelle ou non. Si la mesure entraîne une collecte de données régulière et systématique de données des salariés, l’employeur sera sans aucun doute face à un cas de surveillance.

Suppression du régime d’autorisation préalable

Suite à l’entrée en vigueur du RGPD, et afin de se conformer à la nouvelle philosophie du texte visant à responsabiliser les responsables de traitements de données, la plupart des formalités administratives auxquelles les responsables de traitement étaient soumis ont été supprimées et en particulier le régime de l’autorisation préalable en vertu duquel les traitements de données à des fins de surveillance devaient faire l’objet d’une demande d’autorisation auprès de la Commission nationale pour la protection des données (la « CNPD »).

Néanmoins, le RGPD permettait de consacrer des règles spécifiques dans les relations de travail et il aurait ainsi été envisageable de maintenir un contrôle préalable pour ce type de traitements, comme l’avait d’ailleurs suggéré la Chambre des salariés.

Dans son avis sur le projet de loi mettant en œuvre le RGPD, la Chambre des salariés s’était en effet prononcée contre la suppression du régime de l’autorisation préalable en arguant de la nécessité d’« assurer une protection suffisante des salariés sur le lieu de travail contre des abus de leur employeur » et que la CNPD, en rendant des « décisions assorties de conditions précises d’exercice des modalités de surveillance », disposait d’un pouvoir d’appréciation concret dans l’analyse qu’elle devait effectuer pour autoriser des traitements de données1.

Il en résulte que l’employeur n’a plus à obtenir une autorisation préalablement à la mise en œuvre d’un traitement de données à des fins de surveillance. Il reste cependant bien sûr soumis à l’obligation non seulement de s’assurer que le traitement mis en œuvre est conforme à la loi, mais aussi à l’obligation de documenter cette conformité, en cas de contrôle a posteriori de la CNPD.

Comme pour tout traitement de données à caractère personnel, l’employeur devra respecter les principes applicables issus du RGPD et s’assurer que les données sont traitées de manière licite, loyale et transparente, collectées pour des finalités déterminées, explicites et légitimes, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Les cas d’ouverture de recours à la surveillance des salariés

L’article L.261-1 (1) du Code du travail prévoit que le traitement de données à caractère personnel à des fins de surveillance des salariés dans le cadre des relations de travail ne peut être mis en œuvre par l’employeur que dans les cas visés à l’article 6.1 du RGPD. Cette disposition du RGPD renvoie aux conditions de licéité applicables à tout type de traitement de données à caractère personnel. Il en résulte qu’un traitement de données à des fins de surveillance dans le contexte professionnel peut être mis en œuvre par l’employeur notamment si :

– la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
– le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
– le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
– le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le législateur luxembourgeois a fait le choix en 2018 de supprimer la limitation des cas d’ouverture du recours à la surveillance des salariés.

En effet, l’ancienne version de l’article L.261-1 du Code du travail prévoyait cinq cas d’ouverture limitatifs dans lesquels une surveillance des salariés était légitime. Le traitement de données à des fins de surveillance sur le lieu de travail n’était par conséquent possible que s’il était nécessaire :

– pour les besoins de sécurité et de santé des salariés, ou
– pour les besoins de protection des biens de l’entreprise, ou
– pour le contrôle du processus de production portant uniquement sur les machines, ou
– pour le contrôle temporaire de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou

– dans le cadre d’une organisation de travail selon l’horaire mobile conformément au présent code.

Comme l’a à juste titre relevé la CNPD dans son avis sur le projet de loi, « en prévoyant une liste limitative de finalités légitimes, le législateur a dès lors exclu qu’un employeur puisse mettre en œuvre un traitement de données à des fins de surveillance pour d’autres finalités »2.

Ce choix du législateur a engendré certaines critiques, non seulement de la Chambre des salariés mais également de la Commission consultative des Droits de l’Homme à l’égard du texte tel qu’il était présenté dans la mesure où le recours à la surveillance des salariés apparaît clairement facilité pour l’employeur. Concrètement, le fait de soumettre le traitement de données à des fins de surveillance des salariés aux conditions de licéité de l’article 6.1 du RGPD permet (du moins en théorie) à l’employeur de fonder un tel traitement sur le consentement du salarié, alors que jusqu’à présent, il était explicitement prévu à l’article L.261-1 du Code du travail que le consentement de la personne concernée ne rend pas légitime le traitement mis en œuvre par l’employeur.

Il est de plus admis que le consentement du salarié n’est pas considéré comme libre et éclairé du fait du lien de subordination lié au contrat de travail3. La CNPD elle-même a toujours considéré cette exclusion du consentement comme « nécessaire afin de protéger l’employé qui se trouve dans un situation d’infériorité par rapport à son patron », en précisant que si l’employeur pouvait faire légalement usage du consentement de son employé, il pourrait l’insérer systématiquement dans le contrat de travail et ainsi imposer l’accord automatique du salarié à des mesures de surveillance4.

Cela signifie aussi que l’employeur peut désormais fonder un traitement à des fins de surveillance des salariés s’il considère que le traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit, condition de licéité qui reste vague et sujette à interprétation, même si cette condition suppose la mise en balance des intérêts respectifs du responsable du traitement de données et de la personne concernée.

La CNPD a soutenu cette modification, parce qu’elle considérait que l’ancien article L.261-1 du Code du travail était contraire à la jurisprudence de la Cour de Justice de l’Union Européenne, et contraire au RGPD, car il enlève à l’employeur la possibilité de légitimer un traitement à des fins de surveillance sur le lieu de travail sur la base de ses intérêts légitimes, et qu’il modifie la portée de l’un des principes de l’article 6 du RGPD5.

En revanche, la Commission consultative des droits de l’homme et la Chambre des salariés ont considéré dans leurs avis sur le projet de loi que « le texte de loi proposé offre en fait moins de protection aux salariés que l’article L-261-1 du Code du travail actuel » et recommandaient « de revenir à une liste limitative de finalités autorisées dans le cadre de relations de travail »6.

Il est évident que le fait de permettre à l’employeur de fonder un traitement à des fins de surveillance de son personnel sur un motif légitime qu’il peut librement apprécier devrait faciliter la mise en place de telles mesures de surveillance des salariés. L’employeur n’a de fait plus besoin de justifier d’un risque concernant par exemple la protection des biens de l’entreprise – cas d’ouverture le plus souvent utilisé et permettant par exemple d’installer des caméras de vidéosurveillance si un risque concret quant aux biens de l’entreprise était caractérisé.

Le régime spécifique de protection des salariés mis en place par la loi de 2018

Le législateur a prévu des mesures plutôt originales destinées à protéger les salariés et visant à compenser la suppression du régime de l’autorisation préalable en cas de recours par l’employeur à un traitement de données à des fins de surveillance dans le cadre des relations de travail.

Obligation d’information collective préalable Selon l’article L.261-1 (2) du Code du travail, l’employeur doit préalablement à la mise en place de tout traitement de données à des fins de surveillance des salariés informer la délégation du personnel (pour les entreprises occupant au moins quinze salariés). Si l’entreprise n’a pas de délégation du personnel, c’est-à-dire si elle occupe moins de quinze salariés, l’employeur a l’obligation d’informer l’Inspection du travail et des mines7. Il n’est à ce jour pas clair des suites que l’Inspection du travail et des mines pourrait donner aux notifications reçues par les entreprises. La loi ne prévoit rien sur ce point.

Cette information préalable doit contenir une description détaillée de la finalité du traitement envisagé, ainsi que des modalités de mise en œuvre du système de surveillance et, le cas échéant la durée ou les critères de conservation des données, de même qu’un engagement formel de l’employeur de la non-utilisation des données collectées à une finalité autre que celle prévue explicitement dans l’information préalable.

Cette obligation ne dispense pas l’employeur de l’obligation d’information individuelle des salariés applicable en vertu de l’article 13 du RGPD, et donc notamment de l’informer des finalités du traitement, du délai de conservation des données, et de ses droits (droits d’accès, d’effacement, de rectification, d’opposition).

Demande d’avis préalable de la CNPD L’article L.261-1 (4) du Code du travail prévoit que la délégation du personnel, ou pour les entreprises de moins de quinze salariés, les salariés eux-mêmes, peuvent dans les quinze jours suivant l’information préalable, soumettre à la CNPD une demande d’avis préalable relative à la conformité du projet de traitement à des fins de surveillance du salarié dans le cadre des relations de travail.

La CNPD a ensuite un mois pour rendre son avis. La loi ne précise pas si cet avis de la CNPD a un effet contraignant sur la mise en place du système ou s’il est simplement consultatif, ce qui rendrait son utilité toute relative. Le Code du travail indique toutefois que la saisine de la CNPD suspend le projet de traitement à des fins de surveillance pendant ce délai d’un mois. On voit dès lors mal comment l’employeur pourrait à l’issue de ce délai décider de mettre en œuvre le projet après avoir reçu un avis négatif de la CNPD. En outre le Conseil d’État a estimé pour sa part que cet avis préalable équivaut en réalité à une autorisation8.

L’article L.261-1 (5) du Code du travail précise encore que les salariés concernés ont le droit d’introduire une réclamation auprès de la CNPD et qu’une telle réclamation ne constitue ni un motif grave, ni un motif légitime de licenciement. Cette précision n’est qu’un rappel du « droit d’introduire une réclamation auprès d’une autorité de contrôle » déjà prévu par l’article 13.2.d) du RGPD.

Mécanisme de codécision Le nouvel article L. 261-1 (4) du Code du travail prévoit que trois types de traitements de données devront faire l’objet d’une décision prise d’un commun accord entre l’employeur et la délégation du personnel ou s’il n’y en a pas avec les salariés concernés. Il s’agit des traitement de données personnelles à des fins de surveillance des salariés mis en œuvre :

– pour les besoins de sécurité et de santé des salariés,
– pour le contrôle de production ou des prestations du salarié, lorsqu’une telle mesure est le seul moyen pour déterminer le salaire exact, ou
– dans le cadre d’une organisation de travail selon l’horaire mobile.

Cela signifie que l’employeur ne peut décider seul de la mise en œuvre de ces mesures, sauf si elles sont imposées par la loi.

La question de l’analyse d’impact

L’employeur, comme tout responsable de traitement peut être amené à devoir procéder à une analyse d’impact préalablement à la mise en place d’un traitement de données à caractère personnel. En effet, l’article 35 du RGPD prévoit que lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Comme l’indique la CNPD9, l’enjeu est d’apprécier les risques sur la protection des données du point de vue des personnes concernées. Le paragraphe 3 de l’article 35 du RGPD précise trois cas dans lesquels l’analyse d’impact est requise. Deux de ces cas se rapportent à des cas de surveillance : la surveillance systématique à grande échelle d’une zone accessible au public et l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques.

En outre, la CNPD a élaboré une liste de types d’opérations de traitement pour lesquels elle estime qu’une analyse d’impact sur la protection des données est obligatoire10. Cette liste inclut « les opérations de traitement qui consistent en ou qui comprennent un contrôle régulier et systématique des activités des employés – à condition qu’elles puissent produire des effets juridiques à l’égard des employés ou les affecter de manière aussi significative ».

Ce type d’opérations de traitement se réfère directement à la notion de surveillance des salariés qui implique l’idée d’un « contrôle régulier et systématique ». Il n’est cependant pas précisé si tout traitement de données à des fins de surveillance a vocation à devoir être soumis à une analyse d’impact.

On peut néanmoins par exemple considérer sur la base de ces éléments que l’installation d’une caméra de vidéosurveillance au-dessus du poste de travail d’un salarié est sans aucun doute soumise à une analyse d’impact, à supposer qu’une telle installation ne soit de prime abord pas considérée comme disproportionnée.

La CNPD considère en effet que l’installation d’une caméra placée à « l’intérieur d’un bureau comprenant un poste de travail permanent » est dans tous les cas disproportionnée, alors que la possibilité d’installer une caméra à une caisse ou à un comptoir de réception (qui filmerait donc un salarié en permanence) dépend des circonstances et des mesures mises en place afin de garantir le respect de la vie privée. En tout état de cause, une telle vidéosurveillance ne pourrait pas servir à observer le comportement et les performances du salarié en dehors des finalités pour lesquelles elle a été mise en place : c’est-à-dire si l’installation a pour finalité la protection des biens de l’entreprise, l’employeur ne pourra pas utiliser les images pour vérifier le temps de travail du salarié filmé.

Pour chaque type de traitement à des fins de surveillance, il est donc nécessaire de mettre en balance les droits des salariés – et en particulier le droit au respect de la vie privée – avec les mesures envisagées et d’analyser si les traitements sont proportionnés aux finalités recherchées.

Sanctions de l’employeur

En cas de violation des dispositions légales relatives aux traitements de données à des fins de surveillance, l’employeur peut se voir imposer par la CNPD, en sa qualité de responsable de traitement, des sanctions administratives, allant de l’avertissement ou du rappel à l’ordre, jusqu’à des mesures plus contraignantes, y inclus des amendes. Les amendes administratives prévues par le RGPD peuvent s’élever à jusqu’à vingt millions d’euros, et dans le cas d’une entreprise, jusqu’à quatre pour cent du chiffre d’affaires annuel mondial total de l’exercice précédent.

La Loi de 2018 a également pourvu la CNPD du pouvoir d’infliger, contre le responsable de traitement, des astreintes jusqu’à concurrence de cinq pour cent du chiffre d’affaires journalier moyen réalisé au cours de l’exercice social précédent par jour de retard, pour le contraindre à communiquer toute information que la CNPD a demandée ou pour le contraindre à respecter une mesure correctrice que la CNPD a adoptée.

En outre, l’article L.261-2 du Code du travail prévoit des sanctions pénales particulières puisque quiconque effectue un traitement en violation de l’article L.261-1 est puni d’une peine d’emprisonnement de huit jours à un an et/ou d’une amende de 251 à 125 000 euros (montant doublé pour les personnes morales). La juridiction saisie peut de plus prononcer la cessation du traitement contraire à l’article sous peine d’astreinte.

En conclusion

Si le Luxembourg a (heureusement) souhaité profiter de la possibilité offerte par l’article 88 du RGPD d’introduire des règles spécifiques en ce qui concerne les traitements de données à des fins de surveillance dans le cadre des relations de travail, on peut toutefois regretter que ce nouveau régime est moins protecteur des droits et libertés individuelles des personnes concernées – en l’occurrence les salariés – puisqu’il facilite le recours à la surveillance en ayant supprimé les formalités administratives et élargi les finalités pour lesquelles la surveillance peut être mise en œuvre.

S’agissant des mesures destinées à protéger les salariés, s’il est encore trop tôt pour en évaluer les effets, il sera intéressant de voir dans quelle mesure les salariés et délégations du personnel décideront de s’emparer des outils juridiques mis à leur disposition, par exemple pour demander à la CNPD de se prononcer sur la légalité d’un système de surveillance mis en place au sein de l’entreprise.

Hervé Wolff est avocat à la Cour.

1 Avis de la Chambre de Salariés sur le projet de loi 7184, 7 décembre 2017, p. 10

2 Avis complémentaire de la CNPD sur le projet de loi 7184, 25 avril 2018, p. 3

3 Article 29 Working Party, Guidelines on consent under Regulation 2016/679 adopted on 28 November 2017, paragraph 3.1.1.

4 La surveillance sur le lieu de travail, CNPD et CSL, dialogue thématique, octobre 2014, p. 15

5 Voir note 1

6 Avis complémentaire de la Commission consultative des Droits de l’Homme sur le projet de loi 7184, p. 4, qui cite l’avis de la Chambre des salariés

7 Pour les personnes tombant sous l’empire d’un régime statutaire, ce sont les organismes de représentation du personnel tels que prévus par les lois et règlements qui doivent être informés

8 Avis du Conseil d’État sur le projet de loi n°7184, 30 mars 2018, p. 27

9 https://cnpd.public.lu/fr/professionnels/obligations/AIPD.html

10 Liste de huit types de traitements de données, élaborée conformément à l’article 35.4 du Règlement européen et disponible sur le site web de la CNPD

Hervé Wolff
© 2019 d’Lëtzebuerger Land