Comment surveiller légalement les employés dans l'UE : Guide GDPR complet pour 2026

Every employer in Europe faces the same tension. You want to protect your business assets, ensure productivity, and keep your workforce safe. But the moment you deploy a tool to track employee activity — whether it is a CCTV camera in the warehouse, software that monitors internet usage, or a GPS tracker on a company vehicle — you are processing personal data under the GDPR. And that means rules apply.

Le cadre de protection des données de l’UE n’interdit pas la surveillance des employés. Il l’encadre. Comprendre exactement où se situe cette limite n’est pas une simple nuance juridique — c’est la différence entre un investissement de sécurité qui vous protège et un qui crée une responsabilité, déclenche des amendes réglementaires et nuit à votre relation avec vos employés.

This guide covers what EU employee monitoring laws actually permit in 2026, how the GDPR applies, what differs by country, and what steps you need to take before switching on any monitoring tool.

Understanding the GDPR Framework for Employee Monitoring

The GDPR applies whenever you process personal data — that is, any information relating to an identified or identifiable natural person. Video footage of your employees is personal data. Internet browsing logs are personal data. GPS tracking data from a company van is personal data. As soon as any of these are captured, the GDPR applies in full.

description de l'image

The first question is always: what is your lawful basis for this processing?

Choosing the Right Lawful Basis

For employee monitoring, three bases are most relevant:

Legitimate interests (Article 6(1)(f)) est le fondement le plus couramment applicable pour la surveillance en milieu professionnel. Il autorise le traitement lorsqu’il est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement — généralement la protection des biens, la prévention du vol, la garantie de la sécurité ou l’enquête sur des fautes. Mais les intérêts légitimes ne sont pas un chèque en blanc. Vous devez effectuer un test d’équilibre : votre intérêt à surveiller l’emporte-t-il sur le droit à la vie privée de vos employés ?

La réponse n'est pas la même dans toutes les situations. Surveiller un entrepôt pour prévenir le vol est plus susceptible de passer le test qu'une surveillance généralisée de l'activité du clavier de chaque employé. Plus la surveillance est intrusive, plus votre justification doit être solide.

Legal obligation (Article 6(1)(c)) applies when monitoring is required by law — for example, financial services firms required to record communications under MiFID II, or transport companies subject to tachograph regulations.

Consent (Article 6(1)(a)) is the least recommended option in an employment context. The problem is structural: employees may feel they cannot refuse consent without risking their employment. The GDPR working party (now the EDPB) has been clear that consent obtained under such conditions is unlikely to be freely given. Treat consent as unavailable for most employee monitoring purposes.

The Proportionality Principle

Beyond lawful basis, the GDPR requires that any monitoring be proportionate. This means:

– La surveillance doit réellement atteindre son objectif déclaré.

– Vous devez utiliser la méthode la moins intrusive qui atteint cet objectif.

– Vous ne devez pas capturer plus de données que nécessaire

– La surveillance ne doit pas se prolonger au-delà de ce qui est réellement nécessaire.

A camera that captures your entire warehouse is proportionate for theft prevention. The same camera capturing the employee bathroom is never proportionate. Monitoring internet browsing to catch illegal downloads is proportionate. Logging every keystroke to check whether employees are productive is almost certainly not.

CCTV in the Workplace: What Is and Is Not Permissible

La vidéosurveillance sur le lieu de travail est l'outil de surveillance le plus courant, et celui où les employeurs commettent le plus souvent des erreurs. Les lignes directrices de l'EDPB sur la vidéosurveillance fournissent le cadre à l'échelle de l'UE, bien que la mise en œuvre nationale crée des variations importantes.

description de l'image

Where Cameras Are Generally Permitted

Cameras are generally acceptable in:

– Production floors and warehouses — protecting property, monitoring safety

– Entry and exit points — access control and security

– Customer-facing areas — retail floors, reception desks

– Parking areas and perimeters — vehicle and property security

– Storage and stock rooms — inventory protection

These locations have a low reasonable expectation of privacy. Employees working in these areas know they are in a business environment where security cameras are expected.

Where Cameras Are Categorically Prohibited

No EU jurisdiction permits cameras in:

– Toilettes et salles de bain

– Vestiaires

– Salles de pause et cantines

– Zones fumeurs

– Salles du personnel

– Salles de réunion du syndicat ou du comité d'entreprise

– Tout espace où les employés ont une attente légitime de vie privée

Placer des caméras dans ces espaces n'est pas une infraction technique — c'est une violation fondamentale de la dignité des employés et entraînera généralement des mesures réglementaires et des dommages réputationnels importants, quelles que soient les intentions de l\’employeur.

The Covert Monitoring Exception

Certains employeurs se demandent si les caméras secrètes sont justifiées lorsqu'ils soupçonnent une faute. Dans la plupart des pays de l'UE, la surveillance cachée — des caméras placées à l'insu des employés — nécessite une justification spécifique :

– Il doit y avoir un soupçon concret et documenté d'une faute grave

– La surveillance normale a été insuffisante

– Le suivi doit être limité dans le temps

– Une évaluation de la proportionnalité doit confirmer qu'il s'agit de la seule option viable.

Covert monitoring that becomes a general surveillance tool almost always fails the proportionality test. It also creates significant risk: if discovered, it destroys employee trust, may constitute a criminal offence in some jurisdictions, and generates evidence that courts may refuse to admit in disciplinary proceedings.

For most businesses, disclosed monitoring is not just legally safer — it works better. Employees who know cameras are present are more likely to comply with procedures, treat property carefully, and behave professionally.

Email, Internet, and Digital Monitoring: Where the Lines Are

Software-based employee monitoring has become increasingly sophisticated — and increasingly scrutinised by data protection authorities. Here is how the GDPR applies to the main categories.

description de l'image

Email Monitoring

Corporate email monitoring sits in a grey zone that requires careful navigation.

Permitted: Monitoring the metadata of corporate emails — who sent a message, to whom, when, and how large the attachment was — is generally proportionate for IT security and resource management purposes. This data does not reveal message content and carries limited privacy implications.

Prohibited or highly restricted: Lire le contenu des messages personnels envoyés sur un compte de messagerie professionnel. Si les employés utilisent leur messagerie professionnelle pour une correspondance personnelle occasionnelle (ce que la plupart font, même si cela est interdit par la politique), la capacité de l’employeur à accéder à ce contenu est fortement limitée. Un email clairement personnel — un message d’anniversaire, une confirmation de rendez-vous médical — ne peut être lu dans le cadre d’une surveillance de routine.

Best practice: Clearly define in your IT and data protection policy what is and is not considered corporate communications data, and train managers not to access personal content even when it appears in monitoring systems.

Internet and IT Activity Monitoring

Monitoring internet browsing on company devices is permissible for:

– Sécurité informatique (blocage de sites malveillants, détection de logiciels malveillants)

– Gestion de la bande passante

– Enquêter sur les violations présumées de la politique

It is not permissible as a general productivity surveillance tool — tracking how long employees spend on non-work websites, monitoring every application they open, or building profiles of individual behaviour for performance management purposes.

Key distinction: Monitoring for security is generally proportionate. Monitoring for performance management is not, unless there is a specific, documented concern about an individual employee and less intrusive assessment methods have been considered.

Remote and Home Worker Monitoring

L'essor du travail à domicile a créé de nouvelles questions de conformité. La réponse de la plupart des autorités de protection des données — y compris la CNIL en France et l'ICO au Royaume-Uni — est cohérente : les mêmes règles s'appliquent aux travailleurs à distance qu'aux travailleurs de bureau.

Specifically:

– Not permitted: Continuous screenshots, keystroke logging, webcam monitoring, software that tracks idle time minute by minute

– Permitted: Monitoring work outcomes (deliverables completed, system access logs, time-tracking for payroll), security tools that run on company devices

The CNIL has published detailed guidance on remote work monitoring in France, emphasising that continuous surveillance is disproportionate regardless of whether the employee is at home or in the office. Employers who have deployed remote monitoring software that goes beyond security logging should review their tools against this standard.

How National Laws Differ Across the EU

The GDPR sets the minimum standard across all 27 member states, but national laws add specific requirements that can significantly change your compliance obligations.

description de l'image

Country	Key National Requirement
Germany	BDSG Section 26 requires strict proportionality; works council co-determination rights on monitoring systems; secret monitoring only with documented concrete suspicion
France	Labour Code + CNIL guidance; works council consultation mandatory before introducing monitoring systems; remote work monitoring has specific restrictions
Poland	Labour Code Art. 22² establishes a closed list of permissible monitoring purposes (safety, property, production, confidentiality); works council agreement required; CCTV retention max 3 months
Netherlands	Stricter than most EU countries on remote monitoring; keystroke logging and screenshot tools treated as disproportionate without documented security justification
Belgium	Social Criminal Code distinguishes between permitted metadata monitoring and prohibited content monitoring
Spain	Employees must be explicitly informed of monitoring through company policy at point of hiring

The practical implication for businesses operating across multiple EU countries is significant: GDPR compliance in Germany does not mean compliance in Poland. You need to assess each national framework separately.

Pour le Royaume-Uni post-Brexit, le Code des pratiques en matière d'emploi du Bureau du Commissaire à l'information (ICO) fixe la norme nationale. L'ICO a publié une liste de contrôle d'auto-évaluation pour la vidéosurveillance que les employeurs britanniques peuvent utiliser pour vérifier la conformité — elle est gratuitement disponible sur le site web de l'ICO.

The Data Protection Impact Assessment: When You Must Do One

A Data Protection Impact Assessment (DPIA) is required when a monitoring system is likely to result in high risk to the rights and freedoms of individuals. For most employee monitoring scenarios, this threshold will be met.

description de l'image

A DPIA for employee monitoring should document:

– La finalité spécifique et la base légale de la surveillance

– Pourquoi la surveillance est nécessaire (et pourquoi des alternatives moins intrusives ont été rejetées)

– La nécessité et la proportionnalité des données collectées

– Combien de temps les données sont conservées et qui y a accès

– Quelles mesures de protection sont en place pour protéger les données

– Comment les employés sont informés

The GDPR requires DPIAs to be conducted before processing begins. Doing one after a monitoring system is already in place defeats its purpose — it should inform your decision to deploy, not justify it after the fact.

What You Must Tell Your Employees

Transparency is not optional. Before introducing any monitoring, employees must be informed about:

– Le type de surveillance utilisé (CCTV, surveillance logicielle, GPS, etc.)

– Le but de la surveillance

– Combien de temps les séquences et les données sont conservées

– Qui peut accéder aux données

– Ce qu'ils peuvent faire s'ils ont des inquiétudes

This information should be provided in writing — through an employment contract clause, an IT and data protection policy, or both. Verbal disclosure at a team meeting is not sufficient.

In some countries, this disclosure requirement has specific legal forms:

– Allemagne : Works council must be consulted before any monitoring system is introduced

– France : Internal data protection policy must be published and the works council consulted

– Poland: Monitoring must be specified in work regulations and the works council agreement obtained

Failing to inform employees is one of the most common GDPR violations in the employment context — and one of the easiest to avoid.

Retention: One of the Biggest Compliance Failures

Data retention is where many businesses fall short, and where regulators are increasingly focusing their attention.

The rule is simple: personal data must not be kept longer than necessary. For most CCTV and monitoring systems, this means:

– CCTV footage: 30 jours ou moins est la norme pratique. Conserver des images pendant 6–12 mois “au cas où” n'est pas légal à moins qu'il n'y ait une raison spécifique et documentée.

– Email and internet logs: Retain only as long as the specific security or management purpose requires. Routine logs older than 90 days are difficult to justify.

– GPS tracking data: Delete when the journey is complete unless needed for a specific purpose (dispute, investigation).

Automatic deletion is the most reliable way to enforce retention compliance. Configuring your systems to overwrite or delete footage on a rolling 30-day cycle removes the risk of indefinite retention and demonstrates that you take the necessity principle seriously.

Employee Rights Under Monitoring

Even when monitoring is entirely lawful, employees retain rights that you must respect:

description de l'image

Right of access: Employees can submit a Data Subject Access Request (DSAR) to obtain copies of footage and data in which they appear. You must respond within one month. If the footage includes other individuals, you may need to blur or redact them before disclosure.

Right to erasure: When the purpose of monitoring has been fulfilled and there is no ongoing legal basis for retention, employees can request deletion.

Right to object: Employees can raise objections to monitoring they consider disproportionate. You must be able to demonstrate that the monitoring is necessary and proportionate — if you cannot, you may need to modify or remove the monitoring.

Right to be heard: In disciplinary proceedings that rely on monitoring evidence, employees have the right to see the evidence against them and to respond.

Consequences of Getting It Wrong

Enforcement action by data protection authorities across the EU has increased substantially since the GDPR came into force, and employee monitoring cases represent a significant share of enforcement activity.

description de l'image

The most common violations that lead to regulatory action:

– Caméras placées dans des zones interdites (toilettes, vestiaires)

– Séquences conservées au-delà de ce qui est nécessaire

– Les employés ne sont pas informés de la surveillance.

– Surveillance secrète utilisée comme un outil général plutôt qu'une exception ciblée

– Systèmes de surveillance déployés sans évaluation préalable de la proportionnalité

Fines under the GDPR can reach up to €20 million or 4% of global annual turnover, whichever is higher. More practically, data protection complaints from employees can trigger investigations that are expensive to resolve and damaging to employer reputation.

Perhaps most significantly, evidence obtained through unlawful monitoring may be inadmissible in employment tribunal proceedings. An employer who dismissed an employee based on secretly recorded footage that the tribunal finds was obtained disproportionately will face not just a wrongful dismissal claim, but reputational damage that extends well beyond the legal proceedings.

Building a Compliant Monitoring Programme

A lawful employee monitoring programme is not built after the cameras are installed — it is designed before. Here is the sequence:

description de l'image

1. Define the problem you are solving. Les objectifs vagues (“productivité”, “sécurité”) ne sont pas suffisants. Soyez précis : “prévenir le vol de stocks dans l'entrepôt”, “assurer la conformité aux protocoles de santé et de sécurité dans la zone de production”.

2. Choose the least intrusive method that achieves the purpose. If a fence, better lighting, and better inventory controls can address theft, you cannot jump straight to cameras.

3. Conduct a balancing test. Document why your legitimate interest outweighs employee privacy. The more intrusive the monitoring, the stronger the justification must be.

4. Carry out a DPIA before deploying the monitoring system.

5. Inform employees in writing before monitoring begins.

6. Configure automatic deletion to enforce retention limits.

7. Restrict access to footage and monitoring data to those who genuinely need it.

8. Review periodically. Is the monitoring still necessary? Has the balance changed?

Country-Specific Checklist

Before deploying any monitoring tool in a new EU country, verify:

– [ ] Allemagne : Works council consultation required; BDSG Section 26 proportionality test; secret monitoring only with documented suspicion

– [ ] France : Works council consultation; CNIL notification; internal policy published; remote monitoring has specific restrictions

– [ ] Poland: Closed statutory list of permissible purposes; works council agreement; CCTV max 3-month retention; mandatory in work regulations

– [ ] Netherlands: Each monitoring use case individually assessed; remote monitoring especially restricted; high threshold for productivity monitoring

– [ ] Belgium: Distinction entre métadonnées et surveillance du contenu ; consultation du comité d'entreprise pour la surveillance électronique

– [ ] Royaume-Uni (post-Brexit) : ICO Employment Practices Code; DPIA avant déploiement; liste de contrôle d'auto-évaluation CCTV disponible sur le site Web de l'ICO

Pour les entreprises opérant dans plusieurs juridictions de l'UE, il est fortement recommandé de faire appel à un avocat spécialisé en droit du travail ou à un consultant en protection des données avant d'introduire des systèmes de surveillance. Le coût de ces conseils ne représente qu'une fraction du coût d'une enquête réglementaire.

Prêt à examiner vos systèmes de surveillance actuels ou à en mettre en œuvre de nouveaux de manière conforme ? comment choisir la meilleure caméra cachée en 2026 pour explorer notre gamme de caméras de sécurité pour lieux de travail certifiées CE — conçues pour les entreprises qui prennent à la fois la sécurité et la protection des données au sérieux.

Questions fréquemment posées

Does GDPR apply to employee monitoring in the EU?

Oui, complètement. Les images de vidéosurveillance, les données de suivi GPS, les journaux de courriels, les historiques de navigation internet et toute autre information pouvant identifier un employé individuel sont des données personnelles selon le RGPD. Toute activité de surveillance nécessite une base juridique (généralement l'intérêt légitime), doit être proportionnée et doit être accompagnée d'une divulgation transparente aux employés.

description de l'image

Where can I legally place workplace CCTV cameras in the EU?

Les caméras sont généralement autorisées dans les zones de production, les entrepôts, les points d'entrée et de sortie, les espaces ouverts aux clients et les parkings. Elles sont interdites dans les toilettes, les vestiaires, les salles de pause, les zones fumeurs et tout espace où les employés ont une attente raisonnable de vie privée. Les lois nationales en Allemagne, en France et en Pologne ajoutent des restrictions supplémentaires, et certains pays exigent une consultation du comité d'entreprise ou du représentant des employés avant l'installation de caméras.

How long can I retain CCTV footage under GDPR?

Le RGPD exige que les images ne soient pas conservées plus longtemps que nécessaire. Pour la plupart des entreprises, 30 jours constituent la norme pratique et défendable. Conserver des images pendant 6 à 12 mois sans raison documentée spécifique est probablement considéré comme excessif et non conforme. La suppression automatique sur un cycle continu est le moyen le plus fiable de démontrer la conformité.

Do I need employee consent to monitor them at work?

Le consentement n'est généralement pas recommandé comme base légale pour la surveillance des employés. Dans un contexte d'emploi, le consentement peut ne pas être donné librement car les employés peuvent estimer qu'ils ne peuvent pas refuser sans conséquences. Utilisez plutôt les intérêts légitimes, soutenus par un test d'équilibre documenté. Lorsque le consentement est pertinent — par exemple, la surveillance d'appareils personnels dans le cadre de politiques BYOD — il doit être authentique et librement donné.

What is a DPIA and when is it required for employee monitoring?

Une évaluation d'impact sur la protection des données est une évaluation documentée des risques qu'un système de surveillance fait peser sur la vie privée des employés. Elle est requise chaque fois que la surveillance est susceptible d'entraîner un risque élevé pour les droits et libertés des individus. Pour la plupart des déploiements de surveillance importants — nouveaux systèmes de vidéosurveillance, logiciels de surveillance des courriels, programmes de suivi GPS — une DPIA doit être réalisée avant le début de la surveillance.

Can I use covert (secret) cameras to monitor employees?

Dans la plupart des pays de l’UE, la surveillance secrète nécessite une justification exceptionnelle : un soupçon concret de faute grave, la constatation que des alternatives moins intrusives ne fonctionneront pas, et une portée limitée dans le temps. La surveillance générale du lieu de travail menée secrètement échoue presque toujours au test de proportionnalité. Même lorsque la surveillance secrète est justifiée, elle doit être examinée régulièrement et interrompue dès que l’enquête est terminée.

Can employees access CCTV footage of themselves?

Oui. Les employés peuvent soumettre une demande d'accès aux données personnelles (DSAR) pour obtenir les images dans lesquelles ils apparaissent. Vous devez répondre dans un délai d'un mois. Si les images incluent d'autres personnes identifiables, vous devez flouter ou masquer leurs images avant la divulgation. Refuser ou retarder une DSAR légitime constitue en soi une violation du RGPD.