La Commission Nationale pour la Protection de Données (“CNPD”) a récemment publié de nouvelles lignes directrices concernant l’enregistrement des réunions dans le secteur privé, clarifiant la manière dont ces pratiques doivent être appréciées à l’égard du RGPD.
En l’absence de législation luxembourgeoise spécifique, la licéité de l’enregistrement des réunions doit être évaluée sur la base des exigences du RGPD. Bien que le consentement puisse apparaître comme une base légale appropriée, la CNPD souligne qu’il est en pratique souvent difficile d’obtenir un consentement valable, notamment dans un contexte professionnel, dès lors qu’il doit être libre, spécifique, éclairé et univoque.
À titre alternatif, les organisations peuvent se fonder sur l’intérêt légitime comme base juridique. Toutefois, cela ne constitue pas un « blanc-seing » pour enregistrer toutes les réunions. Les entreprises doivent démontrer que l’enregistrement est nécessaire, proportionné et qu’il ne porte pas une atteinte excessive aux droits et libertés des personnes concernées. Une telle analyse doit être menée au cas par cas, en tenant compte du contexte de la réunion et de son impact potentiel sur les participants.
La CNPD souligne également que les enregistrements ne doivent être conservés que pendant une durée limitée et doivent être supprimés une fois que le procès-verbal a été finalisé et approuvé.
Ces lignes directrices mettent en évidence l’importance d’une approche prudente et rigoureuse en matière d’enregistrement des réunions, afin de garantir la conformité au RGPD.
Que retenir en pratique ?
L’enregistrement ne doit pas être systématique mais s’appuyer sur une base légale solide, comme l’intérêt légitime, lequel sera analysée au cas par cas. Le fichier doit être supprimé dès la validation du compte-rendu. La légitimité de la pratique dépend désormais autant de sa justification initiale que de sa suppression dès qu’elle n’est plus nécessaire.