Homepage

La surveillance sur le lieu de travail

Quelles personnes sont protégées par la loi?

Il s’agit de toutes les personnes physiques qui font l’objet d’un traitement de données à caractère personnel.

Qu’est-ce qu’on entend exactement par «donnée à caractère personnel»?

Il s’agit de « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne identifiée ou identifiable… ; une personne physique est réputée identifiable si elle peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ».

Qu’est-ce qu’on entend par «traitement de données à caractère personnel»?

Un traitement de données à caractère personnel consiste en « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des données, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Qui est responsable du traitement de données lorsqu’il est mis en œuvre?

La loi définit le responsable du traitement comme étant « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu des dispositions légales, le responsable du traitement est déterminé par ou en vertu des critères spécifiques conformément aux dispositions légales ».

Il s’agit donc en principe de la personne physique ou morale qui décide de mettre en place pour son compte le traitement de données.

Quelles règles et conditions sont à respecter par celui qui entend mettre en place un traitement de données à caractère personnel?

La finalité poursuivie par le traitement doit être légitime

Le traitement de données personnelles n’est possible que s’il existe une raison suffisamment légitime pour le justifier.

Celui qui souhaite traiter des données doit en principe solliciter l’accord de la personne concernée. Néanmoins dans un certain nombre de cas un traitement de données est nécessaire par exemple pour la bonne exécution d’un contrat, pour respecter une obligation de service public ou une obligation légale, ou encore pour protéger la vie de la personne visée par le traitement.

La finalité du traitement doit être clairement établie et mise en évidence

L’utilisation des données personnelles doit être strictement limitée à la finalité explicitement déterminée au préalable.

Aussi le traitement doit être nécessaire pour atteindre les buts expressément fixés d’avance par l’auteur du traitement. Une transmission des données récoltées à des tiers n’est possible que si la finalité d’utilisation par ces tiers est exactement la même.

Le principe de proportionnalité et de nécessité

Ce principe implique que le traitement doit se limiter aux données pour lesquelles il existe un rapport direct avec la finalité initiale du traitement. Ces données doivent non seulement être utiles, mais aussi être nécessaires pour celui qui traite les données. Donc les données traitées ne doivent pas excéder ce qui est nécessaire pour atteindre le but poursuivi.

Les données traitées doivent être correctes et actuelles

Le traitement doit être loyal

La collecte, l’enregistrement, l’utilisation et la transmission des données personnelles doivent se faire de bonne foi, et non pas à l’insu de la personne concernée.

Ainsi l’utilisation ultérieure des données personnelles à des fins autres que celles initialement prévues est en principe interdite.

Sécurité et confidentialité des données

Les données personnelles doivent être traitées de manière confidentielle et être stockées à des endroits et sur du matériel sûrs.

Droit à l’information

La personne concernée par un traitement de données doit en être informée au préalable et peut sur demande accéder aux données la concernant. Il en est de même en cas de transmission des données à des tiers.

Les données sensibles ne peuvent en principe pas être traitées

Les traitements de données qui mettent à jour les opinions, convictions, l’état de santé, la vie sexuelle, sont interdits. La loi prévoit néanmoins quelques cas de figures exceptionnels où de tels traitements sont possibles.

Les traitements à des fins de surveillance doivent être autorisés par la Commission nationale pour la protection des données - droit de s’opposer à tout traitement de données personnelles à des fins de publicité ou de démarchage commercial

Toute personne a le droit de s’opposer à tout moment à un tel traitement.

Quel est le champ d’application de la loi de 2002?

La loi de 2002 décrit son champ d’application comme suit. 

Elle s’applique:

  • au traitement automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données contenues ou appelées à figurer dans un fichier;
  • à toute forme de captage, de traitement et de diffusion de sons et images qui permettent d’identifier des personnes physiques;
  • au traitement de données concernant la sécurité publique, la défense, la recherche et la poursuite d’infractions pénales ou la sûreté de l’État, même liées à un intérêt économique ou financier important de l’État, sans préjudice des dispositions spécifiques de droit national ou international régissant ces domaines .

Mais la loi ne s’applique pas au traitement mis en œuvre par une personne physique dans le cadre exclusif de ses activités personnelles ou domestiques.

Quand est-ce qu’un traitement de données personnelles peut être mis en œuvre?

Selon la loi, un traitement de données personnelles ne peut être effectué que

  • s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, ou
  • s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le ou les tiers auxquels les données sont communiquées, ou
  • s’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci, ou
  • s’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, ou
  • s’il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou
  • si la personne concernée a donné son consentement.

Existe-t-il des traitements interdits?

Les données relatives 

  • à l’origine raciale ou ethnique,
  • aux opinions politiques,
  • aux convictions religieuses ou philosophiques,
  • à l’appartenance syndicale,
  • à la santé et à la vie sexuelle, y compris le traitement des données génétiques ne peuvent pas être traitées. 

Si néanmoins

  • la personne concernée a donné son consentement «exprès» à un tel traitement, (sauf indisponibilité du corps humain et sauf le cas interdit par la loi) 
  • le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail dans la mesure où il est autorisé par la loi, 

Exemple:

Dans le cadre de ses obligations légales résultant de la législation relative à la représentation des salariés dans les entreprises, l’employeur peut être amené à prendre connaissance de l’appartenance syndicale des délégués du personnel et de traiter ces informations. 

  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, 
  • le traitement est mis en œuvre, avec le consentement de la personne concernée par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, dans le cadre de leurs activités légitimes, à condition que le traitement se rapporte aux données nécessaires des seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées, 
  • le traitement porte sur des données manifestement rendues publiques par la personne concernée, 

Exemple:

Une personne affiche clairement son appartenance politique dans une interview publiée dans la presse. 

  • le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice

Exemple:

L’appartenance syndicale du défendeur est un élément important que le demandeur entend invoquer à l’appui de ses prétentions en justice. 

  • le traitement s’avère nécessaire pour un motif d’intérêt public notamment à des fins historiques, statistiques ou scientifiques

Exemple:

Une chambre professionnelle salariale enregistre à des fins historiques l’appartenance syndicale de ses membres élus. 

  • le traitement est décidé par voie de règlement grand-ducal lorsqu’il est nécessaire à la prévention, à la recherche et à la constatation des infractions pénales qui sont réservés, conformément à leurs missions légales et réglementaires respectives, aux organes du corps de la police grand-ducale, de l’Inspection générale de la police et de l’administration des douanes et accises, 
  • le traitement est décidé par voie de règlement grand-ducal lorsqu’il concerne la sûreté de l’État, à la défense et à la sécurité publique
  • le traitement est décidé par voie de règlement grand-ducal dans des domaines du droit pénal en vertu de conventions internationales, d’accords intergouvernementaux ou dans le cadre de la coopération avec l’Organisation internationale de police criminelle (OIPC - Interpol), 
  • le traitement est décidé par voie de règlement grand-ducal concernant la création et l’exploitation d’un système de vidéosurveillance des zones de sécurité*,
  • le traitement est mis en œuvre dans le cadre d’un traitement de données judiciaires, mais dans le respect des prescriptions légales, alors les données susvisées peuvent néanmoins être traitées.

 

*Tout lieu accessible au public qui par sa nature, sa situation, sa configuration ou sa fréquentation présente un risque accru d’accomplissement d’infractions pénales, déterminée par règlement grand-ducal

La notion de vie privée

Le droit à la vie privée se définit comme le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures, ce droit comportant la protection contre toute atteinte portée au droit au nom, à l’image, à la voix, à l’intimité, à l’honneur et à la réputation, à l’oubli, ou à sa propre biographie.

La jurisprudence de la Cour européenne des droits de l’homme n’a pas limité le droit au respect de la vie privée au seul domicile privé: «le respect de la vie privée doit aussi englober dans une certaine mesure le droit de l’individu de nouer et de développer des relations avec ses semblables. Il n’y a aucune raison de principe d’en exclure les activités professionnelles ou commerciales». (arrêt du 23 novembre 1992,  Niemietz c/ Allemagne, A251/B)

Ainsi, les administrations, entreprises, les associations et autres organismes qui collectent, enregistrent, utilisent et transmettent des données personnelles ne peuvent le faire que dans les conditions posées par la loi de 2002.

Ces entités doivent en avertir la personne concernée et lui communiquer le but poursuivi de ce que la loi appelle «le traitement des données à caractère personnel».

Ce traitement doit se limiter à ce qui est nécessaire et proportionné aux buts initialement fixés.

Chaque utilisation des données doit donc se faire dans le respect de règles strictes, le contrôle en étant assuré par la Commission nationale pour la protection des données.

De ce fait la loi prévoit que tout fichier contenant des informations relatives à des personnes doit être ou bien déclaré à l’autorité de contrôle ou bien autorisé par elle (selon le type de données ou de traitement) avant de pouvoir être mis en place.

La législation sur la protection des données personnelles s’applique aussi bien aux fichiers informatiques qu’aux fichiers papier, enregistrements audio et vidéo etc.

La loi réglemente aussi le traitement de données concernant la sécurité publique, la défense, la recherche, la santé et la poursuite d'infractions pénales ou la sûreté de l'État.

Bref, dès que des données sont collectées, enregistrées et/ou stockées par une personne physique ou morale, la loi susmentionnée de 2002 s’applique.

Surveillance au travail par l'employeur

Sur ce thème vous pouvez consulter les liens suivants :

Cas d'ouverture

Le traitement à des fins de surveillance sur le lieu de travail peut être mis en oeuvre, conformément à l'article 14, par l'employeur s'il en est le responsable. Un tel traitement n'est possible que s'il est nécessaire :

  • pour les besoins de sécurité et de santé des travailleurs, ou
  • pour les besoins de protection des biens de l'entreprise, ou
  • pour le contrôle du processus de production portant uniquement sur les machines, ou
  • pour le contrôle temporaire de production ou des prestations du travailleur, lorsqu'une telle mesure est le seul moyen pour déterminer la rémunération exacte, ou
  • dans le cadre d'une organisation de travail selon l'horaire mobile conformément au Code du Travail.

Conditions à respecter

  • Dans les cas visés ci-dessus sub 1., 4. et 5., l'accord du comité mixte doit être obtenu préalablement à l'introduction de la demande d'autorisation.
  • Le consentement des salariés (p.ex. dans leur contrat d'emploi) ne rend pas légitime la surveillance.
  • Doivent être informés des mesures de surveillance mises en oeuvre:
    • les personnes/salariés y exposés,
    • le comité mixte, à défaut l'organisme de représentation (délégation) du personnel ou à défaut, l'Inspection du Travail et des Mines.
Sitemap