Lois luxembourgeoises sur l'enregistrement : consentement de toutes les parties, sanctions et règles IA (2026)

Le Luxembourg exige le consentement de toutes les parties pour enregistrer un appel téléphonique ou une conversation privée ; enregistrer une conversation à l'insu d'un des participants constitue une infraction pénale au titre à la fois de la loi du 11 août 1982 et de la loi du 30 mai 2005, passible de peines pouvant aller jusqu'à un an d'emprisonnement et 125 000 euros d'amende.
Vue d'ensemble des lois luxembourgeoises sur l'enregistrement
Le Luxembourg traite l'enregistrement non autorisé de communications privées comme une infraction pénale grave. Le système juridique du Grand-Duché superpose des protections constitutionnelles, des lois spécifiques sur la vie privée, des dispositions du Code pénal et des réglementations d'origine européenne pour former un cadre exigeant le consentement de toutes les parties avant tout enregistrement.

Il ne s'agit pas d'une simple formalité que les autorités de poursuite ignoreraient. Les tribunaux luxembourgeois appliquent ces lois en pratique, et l'autorité nationale de protection des données, la Commission Nationale pour la Protection des Données (CNPD), a construit un bilan d'application actif comprenant des enquêtes sur place portant sur des systèmes de vidéosurveillance et des amendes pour des pratiques d'enregistrement non conformes.
Pour toute personne vivant au Luxembourg, y exerçant une activité professionnelle, ou passant simplement un appel téléphonique vers le pays, la règle est claire : obtenez le consentement de toutes les personnes présentes sur la ligne, ou n'appuyez pas sur le bouton d'enregistrement.
Fondement constitutionnel : articles 11 et 28
Les protections luxembourgeoises en matière de vie privée trouvent leur origine au niveau constitutionnel. L'article 11, paragraphe 3, de la Constitution garantit le droit au respect de la vie privée, sous réserve des exceptions établies par la loi.
L'article 28 va plus loin en affirmant directement que le secret de la correspondance est inviolable. Cette disposition charge le législateur de définir les peines applicables à quiconque viole le secret de la correspondance confiée aux services postaux et d'établir les garanties relatives au secret des communications télégraphiques.
Bien que l'article 28 ait été rédigé à une époque de courrier physique et de télégraphe, les tribunaux et le législateur luxembourgeois ont étendu ses principes aux télécommunications et communications électroniques modernes. Ces dispositions constitutionnelles constituent le socle sur lequel repose toute la législation ultérieure en matière d'enregistrement et de surveillance.
La loi du 11 août 1982 : la loi sur la protection de la vie privée
La loi du 11 août 1982 concernant la protection de la vie privée est la loi pénale principale régissant l'enregistrement des conversations au Luxembourg. Elle est antérieure à l'ère numérique mais demeure pleinement en vigueur et s'applique aux méthodes d'enregistrement tant analogiques que numériques.
Article 1er : le droit au respect de la vie privée
L'article 1er établit que toute personne a droit au respect de sa vie privée. Les tribunaux peuvent ordonner des mesures préventives, y compris la saisie, afin de faire cesser une atteinte en cours à la vie privée. Cette disposition crée à la fois une action pénale et une action civile en cas d'enregistrement non autorisé.
Article 2 : l'enregistrement de conversations privées
L'article 2 est la disposition qui réprime directement l'enregistrement non autorisé. Elle punit quiconque porte volontairement atteinte à l'intimité de la vie privée d'autrui par les actes suivants :
Écouter ou enregistrer des paroles privées. Utiliser un quelconque appareil pour écouter, enregistrer ou transmettre des paroles prononcées à titre privé sans le consentement de celui qui les prononce constitue une infraction pénale. Cela couvre les appels téléphoniques, les conversations en personne et tout autre échange verbal pour lequel les participants peuvent raisonnablement s'attendre au respect de leur vie privée.
Observer ou enregistrer des personnes dans des lieux privés. Capter ou transmettre l'image d'une personne se trouvant dans un lieu non public sans son consentement relève de la même interdiction. Cela s'étend aux enregistrements vidéo captant à la fois l'image et le son.
Intercepter des messages scellés. Ouvrir, lire ou accéder au contenu d'un message scellé adressé à autrui sans autorisation est également couvert.
Peines prévues par la loi de 1982
Les infractions à l'article 2 sont punies d'un emprisonnement de 8 jours à 1 an et d'une amende de 251 à 5 000 euros, ou de l'une de ces deux peines seulement. Il ne s'agit pas de plafonds théoriques : la loi prévoit des poursuites et des condamnations effectives dans ces limites.
L'article 3 étend les mêmes peines à quiconque installe des dispositifs destinés à faciliter les activités d'enregistrement ou de surveillance interdites.
L'article 4 vise l'utilisation ultérieure des enregistrements illégaux. Conserver, détenir ou divulguer sciemment des enregistrements obtenus en violation de la loi est puni des mêmes peines.
L'article 7 prévoit des peines plus lourdes lorsqu'une personne ayant participé à une surveillance autorisée révèle le contenu de ces communications dans un but lucratif ou pour nuire à autrui. Dans ces cas, la peine est portée à 2 mois à 2 ans d'emprisonnement et à une amende de 2 501 à 100 000 euros (montants initialement exprimés en francs et convertis en euros).
Exception limitée pour le personnel des réseaux téléphoniques
La loi de 1982 prévoit une exception étroite. Le personnel chargé de l'entretien ou de la surveillance d'un réseau téléphonique public ou privé peut écouter les communications dans l'exercice de ses fonctions techniques, afin d'assurer le bon fonctionnement de la connexion. Même dans le cadre de cette exception, ce personnel doit conserver la confidentialité de tout ce qu'il a pu entendre.
La loi du 30 mai 2005 : la protection de la vie privée dans les communications électroniques
La loi modifiée du 30 mai 2005 transpose en droit luxembourgeois la directive européenne « vie privée et communications électroniques » (2002/58/CE). Elle traite spécifiquement de la protection de la vie privée dans le secteur des communications électroniques et ajoute une couche de protection supplémentaire à celle de la loi de 1982.
Article 4 : la confidentialité des communications
L'article 4 est la disposition centrale. Il interdit à toute personne autre que l'utilisateur concerné d'écouter, d'intercepter, de stocker ou de soumettre à toute autre forme de surveillance les communications électroniques ou les données relatives au trafic de ces communications, sans le consentement de l'utilisateur concerné.
Il s'agit d'une interdiction large. Elle couvre le contenu des appels et des messages, les métadonnées relatives à ces communications (qui a appelé qui, quand, pendant combien de temps), ainsi que toute forme de surveillance ou d'interception. Les fournisseurs de services, les employeurs, les tiers et les particuliers sont tous soumis à cette règle.
Peines prévues par la loi de 2005
Les infractions à l'article 4 sont punies d'un emprisonnement de 8 jours à 1 an et d'une amende de 251 à 125 000 euros. L'amende maximale prévue ici est nettement plus élevée que celle prévue par la loi de 1982, ce qui reflète la volonté du législateur de tenir compte du risque systémique plus important que représente l'interception des communications électroniques.
L'exception commerciale pour l'enregistrement
L'article 4 de la loi de 2005 prévoit une exception limitée qui permet l'enregistrement d'appels téléphoniques dans un contexte professionnel. Cette exception ne s'applique que si toutes les conditions suivantes sont réunies :
L'enregistrement documente une transaction commerciale. L'enregistrement doit être effectué dans le cadre de pratiques professionnelles licites, dans le but de fournir une preuve d'une transaction commerciale. Cela couvre les commandes, les contrats, les réservations et les opérations commerciales similaires.
Toutes les parties reçoivent une information préalable. Avant le début de tout enregistrement, les parties à la transaction doivent être informées que l'appel peut être enregistré. Une simple tonalité sonore ne suffit pas à satisfaire cette exigence. L'information doit être claire et explicite.
La finalité est précisée. Les parties doivent être informées de la raison de l'enregistrement et de son usage prévu.
Les limites de conservation sont communiquées. La durée maximale de conservation de l'enregistrement doit être communiquée aux parties.
Cette exception est plus étroite que ce que beaucoup d'entreprises supposent. Elle n'autorise pas l'enregistrement systématique de tous les appels professionnels. Elle s'applique spécifiquement aux appels liés à des transactions commerciales, et les exigences d'information et de finalité sont obligatoires. Enregistrer une discussion professionnelle générale, un appel de réclamation ou une réunion interne ne relève pas de cette exception, sauf si ces appels se rattachent directement à une transaction commerciale démontrable.
Code pénal : dispositions pénales complémentaires
Au-delà des lois spécifiques sur la vie privée, le Code pénal luxembourgeois contient des dispositions applicables aux infractions d'enregistrement et d'interception.
Article 460 : la violation de correspondance
L'article 460 punit quiconque est reconnu coupable d'avoir supprimé ou ouvert une lettre confiée aux services postaux dans le but d'en violer le secret. Les peines sont de 8 jours à 1 mois d'emprisonnement et de 251 à 2 000 euros d'amende, ou de l'une de ces deux peines seulement. Bien que cette disposition vise le courrier physique, les tribunaux ont pris en compte ses principes dans le contexte des communications numériques.
Article 509-3 : l'interception non autorisée de données
L'article 509-3 vise l'interception intentionnelle de données lors de transmissions non publiques à destination, en provenance ou à l'intérieur d'un système informatique. Cette disposition couvre les écoutes numériques et l'interception de messages électroniques qui pourraient ne pas relever précisément des lois de 1982 ou de 2005. Les peines sont nettement plus lourdes : de 3 mois à 3 ans d'emprisonnement et de 1 250 à 12 500 euros d'amende.
C'est la disposition la plus susceptible de s'appliquer lorsqu'une personne intercepte des courriels, des messages instantanés ou des transmissions de données plutôt que des appels vocaux. La peine maximale de trois ans d'emprisonnement en fait la sanction pénale la plus sévère prévue au Luxembourg pour les infractions liées à l'enregistrement.
Les écoutes judiciaires : articles 88-1 et 88-2
Le droit luxembourgeois permet aux forces de l'ordre d'intercepter des communications, mais uniquement sous un contrôle judiciaire strict. Les articles 88-1 à 88-4 du Code d'instruction criminelle régissent l'interception licite.
Un juge ne peut autoriser des écoutes que dans le cadre d'enquêtes portant sur des infractions graves punissables de deux ans d'emprisonnement ou plus, et uniquement lorsque les méthodes d'enquête ordinaires se sont révélées inefficaces en raison de la nature des faits et des circonstances particulières de l'affaire.
Les ordonnances d'écoute sont accordées pour des périodes d'un mois. Elles peuvent être renouvelées à plusieurs reprises, mais la durée cumulée ne peut excéder un an. Les modifications de 2018 apportées à ces dispositions, adoptées par la loi du 27 juin 2018, ont étendu le champ d'application à l'enregistrement audio, à la capture d'images et à la collecte de données numériques, tout en limitant ces mesures renforcées aux infractions portant atteinte à la sûreté de l'État et aux actes de terrorisme.
Ces dispositions ont été modifiées ultérieurement par la loi du 30 mai 2005, qui a actualisé les articles 88-2 et 88-4 pour tenir compte des réalités des infrastructures modernes de communications électroniques. Les fournisseurs de services sont tenus de fournir les données techniques et les équipements nécessaires pour aider les autorités compétentes à mettre en œuvre les mesures de surveillance légalement autorisées.
RGPD et application par la CNPD
Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) s'applique directement au Luxembourg. Tout enregistrement de la voix ou de l'image d'une personne constitue un traitement de données à caractère personnel au sens du RGPD, ce qui signifie que les activités d'enregistrement doivent se conformer à la fois aux dispositions pénales décrites ci-dessus et aux exigences du RGPD en matière de traitement licite.
Le rôle de la CNPD
La Commission Nationale pour la Protection des Données (CNPD) est l'autorité nationale de protection des données du Luxembourg. Elle contrôle le respect du RGPD, instruit les plaintes, réalise des inspections sur place et prononce des amendes administratives.
La CNPD a fait de la conformité en matière de surveillance et d'enregistrement un domaine prioritaire de contrôle. En 2022, l'autorité a concentré ses ressources d'enquête sur deux thématiques : la désignation des délégués à la protection des données et la conformité des systèmes de vidéosurveillance au RGPD. Ces enquêtes ont visé des autorités communales, des écoles et des entreprises du secteur privé. Les cycles d'application plus récents ont ajouté le suivi de la géolocalisation des véhicules à la liste des priorités.
Bilan d'application
La CNPD a prononcé des amendes pour des infractions relatives à la surveillance et à l'enregistrement. En juillet 2022, une banque a reçu une amende de 10 000 euros pour avoir exploité un système de vidéosurveillance qui n'informait pas correctement les personnes filmées. L'enquête a révélé que le simple affichage d'un pictogramme représentant une caméra n'était pas suffisant au regard du RGPD. Les responsables de traitement doivent fournir des informations sur la finalité du traitement, l'identité du responsable, et les modalités d'exercice des droits des personnes concernées.
La CNPD a également sanctionné des entreprises pour ne pas avoir informé les personnes de la vidéosurveillance, avec des amendes aussi faibles que 1 000 euros pour les infractions mineures et pouvant atteindre 7 200 euros pour une vidéosurveillance violant les exigences de proportionnalité.
Au sommet du spectre répressif, la CNPD a infligé une amende de 746 millions d'euros à Amazon Europe Core pour des violations du RGPD relatives au traitement des données et à la transparence de son système publicitaire. Le tribunal administratif luxembourgeois a confirmé cette amende le 13 mars 2025. Bien que cette affaire concernait la publicité ciblée plutôt que l'enregistrement, elle a démontré la volonté de la CNPD d'exercer pleinement son pouvoir de sanction.
La CNPD, autorité nationale au titre du règlement sur l'IA
Le projet de loi luxembourgeois n° 8476, déposé au Parlement le 23 décembre 2024, désigne la CNPD comme l'autorité nationale de contrôle principale pour le respect du règlement européen sur l'IA. Étant donné que la plupart des pratiques d'IA couvertes par ce règlement impliquent des données à caractère personnel, la CNPD en est le superviseur naturel par défaut. Les autorités sectorielles conservent leurs rôles respectifs : la Commission de Surveillance du Secteur Financier (CSSF) supervise l'IA dans les services financiers, et l'Institut Luxembourgeois de Régulation (ILR) supervise l'IA à haut risque déployée dans les infrastructures critiques. Le projet de loi propose des sanctions administratives pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions relatives à des pratiques d'IA interdites. Au mois de mai 2026, le projet de loi reste en attente d'approbation parlementaire.
Plafonds des amendes RGPD
Pour les infractions à l'enregistrement et à la surveillance qui constituent une violation du RGPD, la CNPD peut prononcer des amendes administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Ces sanctions administratives s'appliquent en sus des sanctions pénales prévues par les lois nationales luxembourgeoises.
Appels téléphoniques et conversations en personne
Le droit luxembourgeois n'établit pas de distinction significative entre l'enregistrement des appels téléphoniques et l'enregistrement des conversations en face à face. Les deux sont couverts, et les deux exigent le consentement de toutes les parties.
Appels téléphoniques
La loi du 30 mai 2005 régit l'enregistrement des appels téléphoniques et des autres communications électroniques. Aucun appel téléphonique ne peut être enregistré à l'insu ou sans le consentement de la personne appelée. La seule exception est l'exception commerciale étroite décrite ci-dessus, qui exige elle-même une information préalable plutôt qu'un simple consentement.
Conversations en personne
La loi du 11 août 1982 couvre l'enregistrement de paroles privées prononcées dans tout contexte. Utiliser un quelconque appareil pour écouter, enregistrer ou transmettre des paroles prononcées à titre privé, sans le consentement de celui qui les prononce, constitue une infraction pénale. Cela s'applique que la conversation se déroule dans un domicile, un bureau, un restaurant, ou tout autre lieu dans lequel les participants pourraient raisonnablement s'attendre au respect de leur vie privée.
Espaces publics
La distinction déterminante au Luxembourg est celle entre contextes publics et privés. La loi de 1982 protège spécifiquement les « paroles prononcées en privé ». Les conversations tenues dans un cadre véritablement public, où les personnes qui parlent ne peuvent raisonnablement s'attendre à un respect de leur vie privée, peuvent échapper à la protection de la loi. Il s'agit toutefois d'une exception étroite. Une conversation entre deux personnes à une table tranquille d'un café public peut néanmoins être considérée comme privée selon les circonstances.
L'enregistrement vidéo dans les espaces publics est réglementé séparément par le RGPD et les recommandations de la CNPD. Les caméras installées dans des lieux publics ou semi-publics doivent être visibles, signalées par une signalétique appropriée, et limitées à la captation d'images sans enregistrement sonore. Les données de vidéosurveillance doivent généralement être effacées dans un délai de huit jours, ce délai pouvant être porté à trente jours lorsque cela se justifie.
Enregistrer la police et les agents publics
Enregistrer des policiers ou d'autres agents publics au Luxembourg ne bénéficie d'aucune exception légale spécifique. Les règles générales de consentement de toutes les parties s'appliquent : enregistrer un agent lors d'une interaction privée ou d'une conversation téléphonique requiert toujours le consentement de toutes les parties en vertu des lois de 1982 et de 2005.
L'exception journalistique
La transposition luxembourgeoise du RGPD (loi du 1er août 2018) prévoit une exception journalistique pour le traitement de données à caractère personnel, y compris les enregistrements, lorsque ce traitement sert exclusivement des fins journalistiques, universitaires, artistiques ou littéraires. En vertu de cette exception, un journaliste ou un organe de presse peut enregistrer un agent public exerçant ses fonctions publiques sans violer les règles de protection des données, à condition que l'enregistrement porte sur le rôle public de cet agent et non sur sa vie privée.
Cette exception est interprétée de manière restrictive. Elle ne s'applique pas lorsque la finalité première de l'enregistrement est de nuire à la personne plutôt que d'informer le public sur une question d'intérêt général véritable. Utiliser l'exception journalistique comme prétexte à une surveillance ou un harcèlement personnel échappe à son champ d'application.
L'exception liée à la vie publique
L'article 11, paragraphe 3, de la Constitution, ainsi que la jurisprudence qui l'applique, reconnaissent que les personnes qui entrent volontairement dans la vie publique acceptent une réduction de leur attente de respect de la vie privée s'agissant de leurs activités publiques. Un homme politique prononçant un discours public, un policier réglant la circulation, ou un agent public assistant à une conférence de presse peuvent être enregistrés et faire l'objet d'un compte rendu sans violer les lois sur la vie privée, car ces activités se déroulent dans des contextes véritablement publics, où il n'existe aucune attente raisonnable de conversation privée.
Remarque pratique
Enregistrer un policier lors d'une arrestation ou d'une opération d'ordre public sur la voie publique relève d'une catégorie différente de l'enregistrement clandestin d'une conversation privée avec un agent. Le premier cas ne suppose généralement aucune attente raisonnable de respect de la vie privée de la part de l'agent. Le second implique un échange verbal privé et déclenche l'exigence du consentement de toutes les parties. Il est conseillé de consulter un avocat luxembourgeois avant de se fonder sur l'exception journalistique ou sur l'exception liée à la vie publique dans une situation donnée, car la frontière entre conduite publique et conversation privée dépend étroitement des faits.
Enregistrement et surveillance sur le lieu de travail
Le Luxembourg dispose de règles spécifiques encadrant la surveillance en entreprise, qui se superposent aux lois générales sur l'enregistrement.
Article L.261-1 du Code du travail
L'article L.261-1 du Code du travail luxembourgeois réglemente le traitement des données à caractère personnel à des fins de surveillance des salariés. Les employeurs ne peuvent mettre en œuvre des systèmes de surveillance que sur l'un des fondements légaux énumérés à l'article 6, paragraphe 1, points a) à f), du RGPD.
Le Code du travail autorise la surveillance des salariés pour trois finalités spécifiques :
- La santé et la sécurité des salariés. Des caméras de surveillance dans des zones de travail dangereuses, par exemple.
- Le contrôle de la production ou de la performance. Mais uniquement lorsque la surveillance constitue l'unique moyen de déterminer précisément la rémunération ou le salaire.
- Les aménagements de travail flexibles. La surveillance liée à l'organisation des horaires mobiles.
Procédure d'information obligatoire
Avant de mettre en place tout système de surveillance des salariés, l'employeur doit fournir une information collective à la délégation du personnel et une information individuelle à chaque salarié concerné. L'information doit comprendre une description détaillée de la finalité de la surveillance, du processus de mise en œuvre, de la durée et des critères de conservation des données, ainsi qu'un engagement formel que les données collectées ne seront utilisées à aucune autre fin que celle annoncée.
Examen par la CNPD et effet suspensif
Dans un délai de 15 jours à compter de la réception de l'information de l'employeur, la délégation du personnel ou les salariés concernés peuvent demander un avis de conformité à la CNPD. Cette demande a un effet suspensif : l'employeur ne peut activer le système de surveillance tant que la CNPD n'a pas rendu son avis, lequel doit intervenir dans un délai d'un mois.
Les salariés qui déposent une plainte auprès de la CNPD concernant une surveillance au travail sont protégés contre les représailles. Le Code du travail précise expressément que le dépôt d'une telle plainte ne peut constituer un motif de licenciement.
Surveillance téléphonique au travail
Les employeurs qui souhaitent enregistrer les appels téléphoniques de leurs salariés doivent respecter simultanément les exigences de la loi de 2005 et du Code du travail. L'enregistrement d'appel doit répondre à l'exception commerciale prévue par la loi de 2005, la surveillance doit satisfaire l'une des finalités autorisées par le Code du travail, et la procédure d'information complète doit être suivie. En pratique, cela signifie que la plupart des employeurs ne peuvent enregistrer que les appels directement liés à des transactions commerciales, et seulement après avoir achevé le processus d'information et de consultation. Pour en savoir plus sur les obligations des employeurs en matière d'enregistrement, consultez notre guide sur l'enregistrement par l'employeur.
Secteur financier : les obligations d'enregistrement de MiFID II
Une exception importante au cadre général de consentement s'applique au secteur financier. La loi du 30 mai 2018 relative aux marchés d'instruments financiers transpose MiFID II en droit luxembourgeois, créant des obligations d'enregistrement contraignantes pour les entreprises d'investissement supervisées par la Commission de Surveillance du Secteur Financier (CSSF).
En vertu de l'article 16, paragraphe 7, de MiFID II, les entreprises d'investissement doivent enregistrer toutes les conversations téléphoniques et communications électroniques se rapportant aux ordres de clients ou pouvant conduire à une transaction. Cela inclut les consultations d'investissement par téléphone, visioconférence ou messagerie instantanée, ainsi que les communications par courriel ou tout autre canal électronique.
Ces enregistrements doivent être conservés pendant au moins cinq ans. La CSSF peut exiger une conservation prolongée pouvant aller jusqu'à sept ans. Les archives doivent être inviolables, chaque modification devant être traçable, et les données accessibles à tout moment.
Les clients doivent être informés au début de chaque conversation que l'appel est enregistré. Le cadre MiFID II supplante en pratique l'exigence générale de consentement pour ces communications spécifiquement liées à des transactions, en la remplaçant par un modèle d'information suivi d'un enregistrement obligatoire. C'est l'un des rares contextes du droit luxembourgeois où l'enregistrement n'est pas seulement autorisé, mais requis.
Le projet de loi 8498, déposé au Parlement le 12 février 2025, actualise le cadre MiFID II et MiFIR du Luxembourg à la suite de l'adoption du règlement (UE) 2024/791 et de la directive (UE) 2024/790. Les modifications proposées modernisent les règles applicables aux plateformes de négociation et les exigences de transparence des marchés, mais ne modifient pas substantiellement les obligations d'enregistrement prévues à l'article 16, paragraphe 7, de MiFID II.
Voyeurisme et enregistrement d'images intimes
Le Code pénal luxembourgeois traite d'une catégorie d'infractions d'enregistrement qui recoupe les règles générales de consentement tout en allant au-delà : l'enregistrement d'images intimes sans consentement.
Article 385ter du Code pénal
L'article 385ter du Code pénal, adopté le 9 mars 2021, définit le voyeurisme comme le fait d'utiliser un quelconque moyen pour observer les parties intimes ou les sous-vêtements d'une personne. Cette disposition couvre l'enregistrement, la prise de photographies et toute forme de captation d'images intimes sans le consentement de la personne concernée.
Peines de base. Une personne reconnue coupable de voyeurisme au titre de l'article 385ter encourt une peine d'emprisonnement de 2 mois à 1 an et une amende de 251 à 15 000 euros.
Peines aggravées. La peine est portée à 2 mois à 2 ans d'emprisonnement et à une amende pouvant atteindre 30 000 euros lorsque l'une des circonstances aggravantes suivantes s'applique :
- La victime est mineure ou une personne particulièrement vulnérable (en raison d'une maladie, d'un handicap, d'une déficience physique ou psychologique, ou d'un état de grossesse).
- L'infraction a été commise dans les transports en commun ou à bord d'un aéronef.
- Les images ont été enregistrées, diffusées ou transmises, y compris via les réseaux sociaux ou les plateformes de messagerie.
La circonstance aggravante liée à l'enregistrement ou à la transmission est particulièrement significative. Une personne qui filme sous les vêtements d'autrui dans un espace public, puis partage les images, encourt la tranche de peine la plus lourde, et non uniquement la fourchette de base. Les tribunaux ont traité la diffusion par voie numérique comme une circonstance aggravante sérieuse.
Le « upskirting » et les comportements assimilés
La loi sur le voyeurisme couvre explicitement le « upskirting » (filmer sous les vêtements dans des espaces publics), ainsi que l'enregistrement au moyen de caméras cachées dans des vestiaires, des toilettes et d'autres lieux où une personne peut s'attendre au respect de sa vie privée. Des poursuites ont eu lieu au Luxembourg pour ces deux types de comportement.
Une personne qui filme secrètement une autre personne dans une chambre d'hôtel, un vestiaire de salle de sport ou un logement partagé encourt des poursuites potentielles à la fois au titre de la loi de 1982 (enregistrement d'activités privées sans consentement) et de l'article 385ter du Code pénal (si l'enregistrement capte des parties intimes). Ces textes peuvent s'appliquer de manière concurrente.
Deepfakes et contenus générés par IA
Le Luxembourg applique à la fois le droit pénal existant et les règles européennes émergentes aux enregistrements générés par IA et aux médias de synthèse.
Le cadre pénal existant
La loi du 11 août 1982 et le Code pénal n'utilisent pas le terme « deepfake », mais leur formulation neutre sur le plan technologique couvre l'utilisation de systèmes d'IA pour fabriquer des enregistrements. Utiliser l'IA pour synthétiser un enregistrement vocal d'apparence réaliste faisant dire à une personne des propos qu'elle n'a jamais tenus, ou pour générer des images intimes d'une personne identifiable, peut constituer une violation du droit à la vie privée au titre de l'article 1er de la loi de 1982. Si le contenu synthétique est ensuite diffusé, l'article 4 de la loi de 1982 (divulgation d'enregistrements obtenus illégalement) peut s'appliquer, les tribunaux interprétant la notion d'« enregistrement » de manière fonctionnelle plutôt que technologique.
Obligations de transparence du règlement européen sur l'IA
Le règlement européen sur l'IA (règlement (UE) 2024/1689), entré en vigueur le 1er août 2024, introduit des obligations de transparence qui touchent directement les contenus générés par IA au Luxembourg. L'article 50 du règlement sur l'IA impose aux fournisseurs et aux déployeurs de systèmes d'IA de signaler qu'un contenu audio ou vidéo a été généré ou manipulé artificiellement, au moyen d'un marquage ou d'un filigrane lisible par machine. Ces obligations de transparence relatives aux deepfakes s'appliquent à compter du 2 août 2026.
Le règlement européen sur l'IA interdit également certaines pratiques d'IA de manière absolue, à compter du 2 février 2025. Parmi les pratiques interdites figurent les systèmes d'IA qui génèrent ou manipulent la voix ou l'image d'une manière portant atteinte aux droits d'une personne physique sans autorisation, ainsi que les systèmes d'IA utilisés pour l'identification biométrique en temps réel de personnes physiques dans des espaces accessibles au public (avec des exceptions étroites pour les forces de l'ordre sous autorisation judiciaire).
La mise en œuvre luxembourgeoise du règlement sur l'IA (projet de loi 8476)
Le Luxembourg a désigné la CNPD comme autorité nationale de surveillance du marché pour le respect du règlement sur l'IA, par le biais du projet de loi n° 8476, déposé au Parlement le 23 décembre 2024. Une fois adopté, ce texte conférera à la CNPD des pouvoirs de sanction pour les infractions au règlement sur l'IA impliquant un traitement de données à caractère personnel, avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les opérateurs de pratiques d'IA interdites. Au mois de mai 2026, le projet de loi reste en attente d'approbation parlementaire.
Projet de loi sur les cyberviolences (avril 2026)
Le 15 avril 2026, le gouvernement luxembourgeois a approuvé un projet de loi transposant la directive (UE) 2024/1385 relative à la lutte contre la violence à l'égard des femmes et la violence domestique. Ce projet de loi propose d'ajouter de nouvelles infractions au Code pénal visant :
- La diffusion non consentie de contenus à caractère sexuel, y compris les contenus créés ou manipulés par intelligence artificielle (images intimes de type deepfake).
- L'envoi non sollicité d'images intimes (cyberflashing).
- Le harcèlement en ligne et le harcèlement collectif.
Au mois de mai 2026, ce projet de loi a été approuvé par le gouvernement et soumis à l'examen parlementaire, mais n'a pas encore été adopté. La législation proposée créerait des sanctions pénales explicites pour la diffusion sans consentement de contenus intimes générés par IA, en complément du cadre existant du Code pénal.
Attention : tant que le projet de loi sur les cyberviolences d'avril 2026 n'est pas adopté, aucun texte luxembourgeois ne mentionne explicitement les deepfakes. Les praticiens et les victimes s'appuient sur les dispositions neutres sur le plan technologique de la loi de 1982 et sur les articles existants du Code pénal. Les obligations de transparence du règlement européen sur l'IA s'appliquent séparément, en tant qu'obligation réglementaire pesant sur les fournisseurs et les déployeurs de systèmes d'IA, et non comme une interdiction pénale visant la création individuelle de deepfakes.
Enregistrements transfrontaliers : le Luxembourg comme plaque tournante européenne
La position du Luxembourg en tant que grand centre financier et technologique européen crée des enjeux d'enregistrement transfrontalier particuliers, qui ne se posent pas dans la plupart des autres juridictions.
Le Luxembourg, autorité de contrôle chef de file au titre du RGPD
En vertu de l'article 56 du RGPD, lorsqu'une entreprise a son établissement principal dans l'Union européenne au Luxembourg, la CNPD agit en tant qu'autorité de contrôle chef de file pour le respect du RGPD par cette entreprise dans l'ensemble de l'Union européenne. Nombre des plus grandes entreprises technologiques, fonds d'investissement et institutions financières du monde ont établi leur siège social européen ou leurs opérations principales au Luxembourg, notamment pour cette raison réglementaire.
Cela signifie que les décisions de la CNPD relatives aux pratiques d'enregistrement, aux durées de conservation des données et aux exigences de consentement peuvent affecter la manière dont ces entreprises opèrent en France, en Allemagne, aux Pays-Bas et dans tous les autres États membres de l'Union européenne. Une décision de la CNPD relative aux normes d'enregistrement des appels au sein d'une institution financière ayant son siège au Luxembourg peut avoir un effet potentiel à l'échelle de l'Union européenne.
Portée extraterritoriale : article 3 du RGPD
L'article 3, paragraphe 2, du RGPD s'applique aux responsables de traitement et sous-traitants établis hors de l'Union européenne qui offrent des biens ou des services à des personnes situées dans l'Union, ou qui suivent le comportement de ces personnes. Une entreprise établie hors de l'Union européenne qui enregistre des appels avec des clients résidant au Luxembourg doit néanmoins appliquer des procédures de consentement et d'information conformes au RGPD pour le traitement de ces enregistrements. L'exigence de consentement de toutes les parties prévue par les lois de 1982 et de 2005 s'applique à l'enregistrement lui-même en vertu du droit pénal luxembourgeois ; le RGPD s'y superpose et régit le traitement des données enregistrées.
Implications pratiques pour les appels internationaux
Lorsqu'un appel est passé entre une partie se trouvant au Luxembourg et une partie se trouvant dans un pays appliquant le consentement d'une seule partie (comme les États-Unis ou le Royaume-Uni), deux régimes juridiques peuvent s'appliquer simultanément :
- Les règles luxembourgeoises de consentement de toutes les parties régissent l'enregistrement de la communication au sein de la juridiction territoriale du Luxembourg.
- Le RGPD régit le traitement de toute donnée à caractère personnel issue de l'enregistrement, quel que soit le lieu où se trouve le serveur d'enregistrement, dès lors que les personnes concernées résident dans l'Union européenne ou que le responsable de traitement y est établi.
Une entreprise américaine appelant sa filiale ou son partenaire commercial basé au Luxembourg ne peut pas enregistrer unilatéralement l'appel en vertu d'une règle américaine de consentement d'une seule partie, sans violer la loi luxembourgeoise du 30 mai 2005. L'approche la plus sûre consiste à traiter l'appel comme soumis à l'exigence luxembourgeoise du consentement de toutes les parties, et à obtenir une information explicite ainsi qu'un consentement avant le début de l'enregistrement.
Place financière luxembourgeoise et MiFID II
Le Luxembourg accueille la plus importante place de domiciliation de fonds d'investissement d'Europe après les États-Unis, ainsi que des filiales importantes de banques et de groupes d'assurance mondiaux. Bon nombre de ces entités sont soumises aux obligations d'enregistrement obligatoire de MiFID II décrites ci-dessus. L'interaction entre l'enregistrement obligatoire au titre de MiFID II et les règles générales luxembourgeoises de consentement de toutes les parties est résolue par le modèle d'information : les entreprises d'investissement doivent informer les clients au début de chaque appel que celui-ci sera enregistré, ce qui satisfait à l'exigence d'information et crée en pratique un cadre de consentement par poursuite de la conversation.
Récapitulatif des sanctions
Le Luxembourg applique un système gradué de sanctions selon le texte violé :
| Infraction | Texte | Emprisonnement | Amende |
|---|---|---|---|
| Enregistrement de conversations privées sans consentement | Loi de 1982, art. 2 | 8 jours à 1 an | 251 à 5 000 € |
| Installation de dispositifs d'enregistrement facilitant des infractions | Loi de 1982, art. 3 | 8 jours à 1 an | 251 à 5 000 € |
| Détention ou divulgation d'enregistrements illégaux | Loi de 1982, art. 4 | 8 jours à 1 an | 251 à 5 000 € |
| Révélation de communications surveillées à des fins de profit | Loi de 1982, art. 7 | 2 mois à 2 ans | 2 501 à 100 000 € |
| Interception de communications électroniques | Loi de 2005, art. 4 | 8 jours à 1 an | 251 à 125 000 € |
| Violation du secret de la correspondance | Code pénal, art. 460 | 8 jours à 1 mois | 251 à 2 000 € |
| Interception non autorisée de données | Code pénal, art. 509-3 | 3 mois à 3 ans | 1 250 à 12 500 € |
| Voyeurisme (infraction simple) | Code pénal, art. 385ter | 2 mois à 1 an | 251 à 15 000 € |
| Voyeurisme (aggravé : enregistrement/diffusion, victime mineure) | Code pénal, art. 385ter | 2 mois à 2 ans | Jusqu'à 30 000 € |
| Violations du RGPD (sanction administrative) | RGPD, art. 83 | S/O | Jusqu'à 20 M€ ou 4 % du chiffre d'affaires |
Les tribunaux peuvent également ordonner la destruction des enregistrements réalisés en violation de la loi. Les enregistrements obtenus illégalement sont généralement irrecevables comme preuve dans les procédures luxembourgeoises.
Liste de conformité pour les entreprises
Les entreprises opérant au Luxembourg devraient suivre les étapes suivantes afin de se conformer aux lois sur l'enregistrement :
Auditer les pratiques d'enregistrement existantes. Recenser tous les systèmes qui enregistrent des appels, des réunions ou des activités sur le lieu de travail. Cela inclut les systèmes téléphoniques, les plateformes de centres d'appels, les outils de visioconférence, les caméras de vidéosurveillance et le suivi GPS des véhicules.
Vérifier la base légale de chaque enregistrement. L'exception commerciale prévue par la loi de 2005 est étroite. L'enregistrement général des appels requiert un consentement. La vidéosurveillance requiert une base légale conforme au RGPD et une évaluation de proportionnalité.
Mettre en place des procédures d'information préalable. Pour tout enregistrement relevant de l'exception commerciale, intégrez l'information requise dans le déroulement de l'appel. Les appelants doivent entendre une mention claire concernant l'enregistrement, sa finalité et la durée de conservation, avant que la conversation ne commence.
Respecter les exigences de consultation en entreprise. Si une surveillance concerne des salariés, suivez la procédure d'information prévue par le Code du travail : informer la délégation du personnel, fournir des informations individuelles, et respecter le délai de 15 jours permettant de solliciter un avis de la CNPD.
Tenir un registre des traitements conforme au RGPD. Documentez chaque activité d'enregistrement dans votre registre des traitements au titre de l'article 30 du RGPD. Indiquez la finalité, la base légale, les catégories de données, les durées de conservation et les mesures de sécurité.
Fixer et respecter des limites de conservation. Ne conservez pas les enregistrements plus longtemps que nécessaire. Pour les enregistrements liés à des transactions commerciales, définissez et communiquez la durée maximale de conservation. Pour la vidéosurveillance, la durée par défaut est de huit jours, avec un maximum justifié de trente jours.
Réaliser une analyse d'impact relative à la protection des données (AIPD). Pour une surveillance systématique des salariés ou une surveillance à grande échelle des espaces publics, une AIPD est probablement requise en vertu de l'article 35 du RGPD.
Afficher des mentions visibles pour les caméras de surveillance. Un simple pictogramme représentant une caméra ne suffit pas. Les panneaux doivent identifier le responsable de traitement, la finalité, et les modalités d'exercice des droits des personnes concernées.
Vérifier la conformité des systèmes d'IA au règlement européen sur l'IA. Si votre organisation déploie des systèmes d'IA traitant des données biométriques, générant des contenus audio ou vidéo synthétiques, ou utilisant l'identification en temps réel, les interdictions et obligations de transparence du règlement européen sur l'IA s'appliquent respectivement à compter de février 2025 et d'août 2026.
Sources and References
- Loi du 11 août 1982 concernant la protection de la vie privée(legilux.public.lu).gov
- Loi modifiée du 30 mai 2005 (transposition de la directive vie privée et communications électroniques)(legilux.public.lu).gov
- Texte coordonné en anglais de la loi du 30 mai 2005 (CNPD)(cnpd.public.lu).gov
- Code pénal du Luxembourg (version consolidée au 19 décembre 2025)(legilux.public.lu).gov
- Code d'instruction criminelle (articles 88-1 à 88-4)(legilux.public.lu).gov
- CNPD - Commission nationale pour la protection des données(cnpd.public.lu).gov
- CNPD - Aperçu de la législation nationale(cnpd.public.lu).gov
- CNPD - Recommandations relatives à la vidéosurveillance(cnpd.public.lu).gov
- CNPD - Article L.261-1 du Code du travail(cnpd.public.lu).gov
- CNPD - Dispositions relatives à la vie privée dans les communications électroniques(cnpd.public.lu).gov
- Décision de la CNPD concernant Amazon Europe Core (746 M€ confirmés le 13 mars 2025)(cnpd.public.lu).gov
- CNPD - Règlement sur l'IA : nouvelles obligations en vigueur à compter du 2 août 2025(cnpd.public.lu).gov
- CSSF - Marchés d'instruments financiers (MiFID II/MiFIR)(cssf.lu).gov
- CSSF - Loi du 30 mai 2018 (transposition de MiFID II, consolidée)(cssf.lu).gov
- CIRCL TR-44 - Législation sur la sécurité de l'information au Luxembourg(circl.lu).gov
- Gouvernement luxembourgeois - Communiqué relatif au projet de loi sur les cyberviolences d'avril 2026(gouvernement.lu).gov
- Règlement européen sur l'IA, article 50 - Obligations de transparence(artificialintelligenceact.eu)
- Pinsent Masons - La loi luxembourgeoise sur l'application du règlement européen sur l'IA (projet de loi 8476)(pinsentmasons.com)
- BSP Luxembourg - Projet de loi 8498 relatif à MiFID II / MiFIR (2025)(bsp.lu)
- White and Case - Guide de mise en œuvre nationale du RGPD : Luxembourg(whitecase.com)