Mensuel : Edition de avril 2003
Rubrique : Consultance
Titre : L’actualité du droit du travail : la protection des données personnelles des travailleurs
Article : Par Guy Castegnaro (Avocat à la Cour, spécialisé en droit du travail, NCRAvocats – membre de Ius Laboris)

Cette nouvelle rubrique, à paraître tous les mois, a pour but d’informer le lecteur avisé ou non de manière claire et concise des grandes nouveautés en matière de droit du travail aussi bien au niveau des législations luxembourgeoise et européenne qu’au niveau des décisions de justice et cela chaque fois que la nouveauté en question est censée avoir des répercussions sur la vie et le fonctionnement des entreprises luxembourgeoises.


Alors que la Commission européenne consulte actuellement les partenaires sociaux européens sur le thème de la protection des données personnelles, dans le cadre de la procédure de l’article 138 du traité sur l’Union européenne, le Luxembourg a adopté une loi, le 2 août 2002, sur la protection des personnes à l'égard du traitement des données à caractère personnel (1), laquelle est entrée en vigueur le 1er décembre dernier (2) et a transposé en droit national une directive européenne du 24 octobre 1995 (3). Le traitement de données à caractère personnel est défini comme étant " toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés, et appliquées à des données, telles que la collecte, l'enregistrement, l'organisation, la conservation, l’adaptation ou la modification, l'extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l'effacement ou la destruction ".

Autorisation préalable

L’employeur qui entend procéder à la surveillance de ses salariés et au traitement des données ainsi recueillies doit en premier lieu et avant toute chose demander l’autorisation de ce faire à la Commission nationale pour le traitement des données (4). Cette même Commission est également chargée de contrôler a posteriori la licéité des traitements qui lui ont été notifiés. Afin d’assurer le respect effectif de la loi par tous les acteurs concernés, des sanctions administratives (notamment, la destruction des données ou l’interdiction temporaire ou définitive du traitement) et pénales sont prévues en cas de violation des dispositions légales. La violation des dispositions sur la surveillance au travail peut être punie d’une peine d’emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros, ou de l’une de ces peines seulement.

Toutes les personnes qui font l’objet d’un traitement de données à caractère personnel, que les données aient été recueillies par une surveillance sur le lieu de travail ou par d’autres moyens, sont protégées par la loi. Les données concernées recouvrent toute information de quelque nature qu'elle soit et indépendamment de son support, y compris le son et l'image, concernant une personne identifiée ou identifiable. La loi recouvre le traitement automatisé en tout ou en partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. Elle s’applique à toute forme de captage, de traitement et de diffusion de sons et images qui permettent d'identifier des personnes physiques ou morales.

Principe d’interdiction

Les traitements qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que les traitements de données relatives à la santé et à la vie sexuelle, y compris le traitement des données génétiques, sont interdits. Par exception, le traitement desdites données est possible notamment lorsque la personne concernée a donné son consentement à un tel traitement, sauf " indisponibilité du corps humain et sauf le cas interdit par la loi ", ou lorsque le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement, notamment en matière de droit du travail, dans la mesure où il est autorisé par la loi. Dans ces cas, le responsable du traitement doit demander à l’organisme compétent l’autorisation de mettre en œuvre un tel traitement.

Un traitement à des fins de surveillance sur le lieu de travail n'est possible que s'il est nécessaire:

- pour les besoins de protection des biens de l'entreprise;
- pour le contrôle du processus de production portant uniquement sur les machines;
- pour les besoins de sécurité et de santé des travailleurs;
- pour le contrôle temporaire de production ou des prestations du travailleur, lorsqu'une telle mesure est le seul moyen pour déterminer la rémunération exacte;
- dans le cadre d'une organisation de travail selon l'horaire mobile conformément à la loi.

Dans les trois derniers cas, le comité mixte d'entreprise, le cas échéant institué, a un pouvoir de décision. Le consentement de la personne concernée ne rend pas légitime le traitement mis en oeuvre par l'employeur. L’employeur doit s'assurer que les données sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. La Commission nationale pour la protection des données tient un registre public des traitements. Toute personne peut prendre connaissance, et ce gratuitement, des informations contenues dans le registre public qui est en ligne.

Devoir d’information

Avant de traiter les données, et au plus tard lors de la collecte, l'employeur doit fournir à la personne concernée un certain nombre d’informations sur le traitement. Doivent également être informés préalablement par l’employeur le Comité mixte d’entreprise ou à défaut la délégation du personnel ou à défaut encore l'Inspection du travail et des mines. Sur demande à introduire auprès de l’employeur, responsable du traitement, la personne concernée peut obtenir sans frais, à des intervalles raisonnables et sans délais excessifs l’accès aux données la concernant. L’employeur, responsable du traitement, doit mettre en œuvre toutes les mesures techniques et d’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés. Toute personne concernée a le droit de s’opposer à tout moment pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de dispositions légales prévoyant expressément le traitement. En cas d’opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut pas porter sur ces données.

Réglementation européenne supplémentaire?

La Commission européenne a récemment interrogé les partenaires sociaux européens sur la pertinence d’une intervention réglementaire qui viendrait compléter la directive 95/46 du 24 octobre 1995 pour l’adapter davantage aux situations du travail (5). Cette intervention pourrait couvrir le traitement d’informations de toute nature (y compris sous la forme de son et d’image) collectées dans le cadre d’une relation de travail en cours mais aussi celles collectées durant la procédure de recrutement ou conservées après la fin de la relation de travail. Cette intervention pourrait également réglementer les données détenues par les représentants du personnel et les agences de travail intérimaire. Finalement la future directive pourrait définir une obligation d’information et de consultation des représentants des travailleurs avant l’introduction de tout système automatisé permettant le traitement des données à caractère personnel des travailleurs, de tout dispositif technique pouvant servir à la surveillance ou au contrôle des travailleurs (6), de questionnaires ou de tests de toutes formes au moment du recrutement ou pendant la période d’emploi (7). Affaire à suivre.

1) Mémorial A n° 91, 13 août 2002.
2) La loi du 2 août 2002 a fait l’objet d’une analyse globale faite par Steve Jacoby et Catherine Dauger de Caulaincourt, parue dans les éditions de décembre 2002 (1ère partie) et février 2003 (2ième partie) d’AGEFI Luxembourg.
3) Directive n° 95/46 du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L 281/31, 23 novembre 1995.
4) http://www.cnpd.lu
5) Seconde phase de consultation des partenaires sociaux sur la protection des données à caractère personnel des travailleurs dans le contexte de l’emploi,
http://europa.eu.int/comm/employment_social/soc-dial/labour/index_fr.htm
6) A noter que l’article 7 de la loi modifiée du 6 mai 1974 instituant les comités mixtes d’entreprise prévoit déjà que " le comité mixte d’entrepise a compétence de décision en ce qui concerne l’introduction ou l’application d’installations techniques destinées à contrôler le comportement et les performances du travailleur à son poste de travail ".
7) Liaisons sociales Europe n° 72, p.5

Retour début de page