← Tous les articles

consultant

CNPD — Vidéosurveillance au travail: proportionnalité, AIPD et droits

Installer des caméras au travail reste possible au Luxembourg, mais sous conditions strictes: base légale, proportionnalité, AIPD fréquente, information L.261‑1 et respect des droits. Documentez tout, caméra par caméra.

Par Expertise Luxgap 13/05/2026

Résumé — La vidéosurveillance au travail est encadrée au Luxembourg par le RGPD, la CNPD et l’article L.261‑1 du Code du travail. Proportionnalité stricte, information collective et individuelle, et souvent une AIPD avant déploiement.

La règle générale

  • Base juridique RGPD. La vidéosurveillance traite des données de personnes identifiables: elle doit reposer sur une base de l’article 6 du RGPD, le plus souvent l’intérêt légitime (art. 6(1)(f)) — et non le consentement, rarement «libre» en contexte de subordination. Voir art. 6 et 13 RGPD sur EUR‑Lex. (eur-lex.europa.eu)
  • Registre et sécurité. Le traitement doit figurer au registre des activités (art. 30) et être protégé par des mesures adaptées (art. 32). (cnpd.public.lu)
  • AIPD. Une analyse d’impact (art. 35) est requise lorsque le traitement est «susceptible d’engendrer un risque élevé», ce qui est fréquent en vidéosurveillance (surveillance systématique, salariés «vulnérables», zones publiques). (cnpd.public.lu)

En droit luxembourgeois, l’article L.261‑1 du Code du travail complète le RGPD: information collective préalable de la représentation du personnel (en plus de l’information individuelle RGPD), périmètre des finalités admises et possibilité d’avis préalable de la CNPD à la demande de la délégation/salariés, avec effet suspensif pendant un mois. (cnpd.public.lu)

Pour cadrer votre conformité et pilotage interne, vous pouvez vous appuyer sur un mandat DPO et sur nos ressources locales en conformité RGPD au Luxembourg.

Ce que dit le régulateur

  • CNPD (lignes directrices, avril 2024). Plus d’autorisation préalable depuis le RGPD, mais obligation de registre (art. 30) et de respecter finalité, transparence, nécessité, conservation limitée; modèle de panneau d’information disponible. (cnpd.public.lu)
  • Proportionnalité: interdiction de filmer en continu des postes de travail; interdiction des espaces privés (toilettes, vestiaires, coin fumeur, salle de repos, local de la délégation, kitchenette, etc.). Exemples de zones «admissibles» vs «problématiques». (cnpd.public.lu)
  • AIPD: «raisonnable de présumer» qu’une AIPD sera nécessaire dans de nombreux cas; application des 9 critères WP29 et des Lignes directrices 3/2019 de l’EDPB. (cnpd.public.lu)
  • Code du travail (L.261‑1). Information détaillée à la délégation; délai de 15 jours pour une demande d’avis préalable à la CNPD (effet suspensif); réponse dans le mois. (cnpd.public.lu)
  • EDPB (Lignes directrices 3/2019): nécessité d’une base légale, information par strate (panneaux + notice détaillée), proportionnalité, durées courtes, minimisation (masquage, zones de confidentialité, rotation des enregistrements). (edpb.europa.eu)
  • Décisions CNPD. Décision 27FR/2021 (15.07.2021): champ de vision disproportionné et information insuffisante → mesures correctrices et amende. (cnpd.public.lu)

Comment l’appliquer en pratique

Exemple: une entreprise souhaite installer des caméras à l’accueil, à l’entrée du dépôt et sur une caisse.

Avant le traitement

  1. Définir la finalité et tester la nécessité
    Finalités admises: sécurité des personnes et des biens, prévention d’infractions, collecte de preuves. Écarter la surveillance du rendement/comportement. Documenter les alternatives moins intrusives (contrôles d’accès, vigiles, éclairage, capteurs). (cnpd.public.lu)
  2. Choisir la base légale et rédiger l’intérêt légitime
    Réaliser un test d’intérêt légitime (LIA): intérêt, nécessité, mise en balance, garanties (masquage, angles, zones d’exclusion, accès restreint, journaux d’accès). Base: art. 6(1)(f) RGPD. (eur-lex.europa.eu)
  3. Conduire une AIPD
    Appliquer l’art. 35 RGPD + critères WP29 (surveillance systématique, salariés «vulnérables»). Déploiements souvent soumis à AIPD, surtout en zones publiques. (cnpd.public.lu)
  4. Information préalable et consultation interne
    Informer la délégation: finalités, modalités, conservation, engagement de non‑détournement. Délai de 15 jours pour saisine CNPD avec effet suspensif; décision dans le mois. Préparer l’information individuelle art. 13. (cnpd.public.lu)
  5. Mettre à jour le registre (art. 30)
    Créer la fiche «Vidéosurveillance»: finalité, base légale, catégories de données, destinataires, transferts, durées, sécurité, sous‑traitants. (cnpd.public.lu)

Pendant le traitement (déploiement et exploitation)

  1. Paramétrer «privacy by design»
    Angles limités à l’objectif (ex.: viser la caisse et l’espace clients, pas l’employé en continu), floutage/masquage, pas de micro sauf nécessité et base légale spécifique, exclusion des espaces privés (vestiaires, sanitaires, salle de repos, local délégation…). (cnpd.public.lu)
  2. Information «en deux couches»
    Panneaux visibles et conformes (icône caméra, finalité, responsable/DPO, lien vers notice complète), puis notice détaillée répondant à l’art. 13. Modèles CNPD disponibles. (cnpd.public.lu)
  3. Sécurité et accès
    Mesures art. 32: contrôle d’accès strict, chiffrement, journalisation, séparation des rôles, export sous contrôle, tests réguliers. Limiter et tracer chaque visionnage. (gdpr.eu)

Après le traitement (gestion continue)

  1. Durées de conservation
    Fixer une durée brève et justifiée (quelques jours à quelques semaines), effacement/surécriture automatique; conservation étendue uniquement en cas d’incident avéré et nécessité probatoire documentée. Mentionner ces critères dans l’info L.261‑1 et art. 13. (cnpd.public.lu)
  2. Contrôles et révision
    Revoir annuellement nécessité, proportionnalité, LIA et AIPD; vérifier qu’aucune dérive de champ ne survient. S’appuyer sur la jurisprudence CNPD (ex. 27FR/2021). (cnpd.public.lu)
  3. Droits des personnes
    Organiser les canaux et délais (accès, effacement, opposition, limitation), vérifier l’identité, flouter les tiers si nécessaire. Documenter les refus lorsqu’un motif légitime s’applique. Base: art. 12‑15 RGPD (information et accès). (eur-lex.europa.eu)

Pièges fréquents

  1. Filmer en continu des postes de travail «pour la sécurité» alors que des angles moins intrusifs suffisent. (cnpd.public.lu)
  2. Omettre l’information collective L.261‑1 ou ne pas attendre l’issue d’une demande d’avis préalable de la délégation (effet suspensif). (cnpd.public.lu)
  3. Absence d’AIPD alors que plusieurs critères WP29/EDPB sont réunis. (cnpd.public.lu)
  4. Panneaux d’information incomplets et notice art. 13 introuvable. (cnpd.public.lu)
  5. Réutiliser les images pour évaluer les performances ou sanctionner des retards: détournement de finalité interdit. (cnpd.public.lu)

Sources officielles

En mai 2026, le message des autorités luxembourgeoises est clair: documentez l’intérêt légitime, testez la proportionnalité caméra par caméra, menez votre AIPD quand les critères sont réunis, respectez la procédure L.261‑1 et informez sans ambiguïté.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnpd videosurveillance luxembourg code-du-travail
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →