32 millions d'euros d'amende pour surveillance "excessivement intrusive" des employés : quels enseignements en tirer ?

Les moyens permettant aux employeurs de surveiller leur personnel sur le lieu de travail ne cessent de se perfectionner. Toutefois, cette surveillance doit s'effectuer dans le respect de la législation locale et un équilibre minutieux doit être trouvé entre l'objectif de performance commerciale de l'employeur et la protection des droits et des intérêts de l'employé en matière de protection de la vie privée.

La récente sanction prononcée par la CNIL relative à l'utilisation abusive de données RH en est un exemple marquant. Bien que la surveillance effectuée ait été assez extrême, elle met en lumière quelques rappels importants pour tous les employeurs qui surveillent leurs employés sur le lieu de travail.

La décision

À la suite d'articles de presse et de plaintes déposées par des salariés, les autorités françaises ont procédé à des vérifications ponctuelles et ont ouvert une enquête sur le système de surveillance du personnel utilisé dans les entrepôts français d'un célèbre acteur du e-commerce international. La CNIL (Commission nationale de l'informatique et des libertés) a condamné la filiale logistique de cette société à une amende de 32 millions d'euros pour :

1. un système de surveillance "excessivement intrusif" utilisé pour contrôler l'activité et les performances du personnel ; et
2. une vidéosurveillance mise en œuvre sans information ni sécurité suffisantes.

La surveillance

La société visée, filiale de ce groupe de e-commerce, fournit des services de soutien logistique dans le cadre de ses activités de livraison de colis en France. Elle gère les grands entrepôts du groupe en France. Le personnel des entrepôts effectue des tâches telles que la réception et le stockage des articles provenant des fournisseurs (inventaire) et la préparation des colis pour la livraison aux clients. Chacun des milliers d'employés des entrepôts dispose d'un lecteur de codes-barres portatif (scanner) qui lui permet de s'identifier et de recevoir des instructions pour gérer les stocks et les commandes en temps réel. Le scanner collectait et enregistrait en permanence les données relatives à l'activité des salariés. Ces données ont été stockées pendant 31 jours dans des outils informatiques de suivi de l'activité et utilisées pour :

1. évaluer les performances, en se concentrant sur la qualité, la productivité et les périodes d'inactivité de chaque salarié ;
2. planifier les horaires de travail ; et
3. identifier les besoins de formation.

Un système de vidéosurveillance était également déployé dans certains entrepôts.

Violations du RGPD

Les manquements suivants au règlement général sur la protection des données de l'UE, règlement (UE) 2016/679 ("RGPD de l'UE") ont été identifiés par la CNIL :

1. Manquement à l'obligation d'assurer un traitement licite (article 6 du RGPD de l'UE) : la société a utilisé 43 "indicateurs de qualité" pour identifier les erreurs potentielles ou réelles commises par les salariés dans le processus d'acheminement des articles. Il a été constaté que le traitement des trois indicateurs - détaillés ci-dessous - utilisés pour évaluer l'activité du personnel, n'avait pas de fondement légal. Ils ne pouvaient être fondés sur les intérêts légitimes proposés par la société :         

• I) le "Stow Machine Gun" : il traite les données brutes relatives à la vitesse d'exécution d'une tâche. Une erreur est signalée lorsqu'un salarié scanne un article trop rapidement (en moins de 1,25 secondes après avoir scanné un article précédent). Ce traitement a été jugé disproportionné, car il conduit à une surveillance informatique excessive du salarié par rapport aux objectifs poursuivis. Il porte atteinte aux droits et intérêts des salariés, notamment ceux relatifs à la protection de leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Il a été constaté qu'une surveillance aussi précise dépasse les attentes raisonnables des salariés : s'ils peuvent s'attendre à ce que leur travail soit soumis à un certain degré d'examen, ils ne peuvent raisonnablement pas s'attendre à ce qu'ils soient surveillés à la seconde près.
• II) le "temps d'inactivité" : périodes d'interruption du scanner de dix minutes ou plus ; et
• III) la "latence inférieure à dix minutes" : périodes d'interruption du scanner comprises entre une et dix minutes.

Il a été constaté que les indicateurs II) et III) étaient disproportionnés par rapport aux objectifs de la société, à savoir la gestion des stocks et des commandes en temps réel. Il a été noté que la société avait déjà accès à de nombreux indicateurs de données agrégées sur la qualité et la productivité pour gérer suffisamment les entrepôts et leurs flux de travail.

Il a été constaté que les salariés de l'entrepôt faisaient l'objet d'une surveillance continue. La CNIL a estimé que ce niveau de surveillance soumettait les salariés à une "pression constante", avec des répercussions potentiellement négatives. Le fait qu'ils devraient éventuellement justifier toute période d'inactivité de leur scanner, telle qu'une courte pause, a été jugé très intrusif. Le traitement de ces données a été jugé disproportionné par rapport aux droits et intérêts fondamentaux des salariés, en particulier leur droit à la protection de leur vie privée et personnelle ainsi que leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité.

2. Non-respect du principe de minimisation des données (article 5. 1. a) et c) du RGPD) :

a) La société a déclaré qu'elle utilisait les données collectées par les scanners concernant la performance des salariés pour faciliter la gestion des stocks et des commandes en temps réel. Cependant, la CNIL a constaté que chaque détail de la qualité et de la productivité du salarié collecté par les scanners au cours du dernier mois n'était pas nécessaire pour atteindre cet objectif.

b) La société a également indiqué qu'elle utilisait les données et les indicateurs de performance des salariés pour planifier les horaires de travail dans les entrepôts et pour évaluer et former les salariés. Là encore, la CNIL a constaté que chaque détail des données de performance du dernier mois n'était pas nécessaire pour planifier le travail, évaluer et former le personnel.

La CNIL a estimé que, outre les données en temps réel, une sélection de données agrégées, par exemple sur une base hebdomadaire, serait suffisante pour les finalités décrites. La conservation des données de qualité et de productivité et des indicateurs statistiques qui en découlent, pour l'ensemble des salariés et des intérimaires, pendant 31 jours, a été jugée excessive au regard des intérêts économiques et commerciaux poursuivis par la société. Par ailleurs, la granularité et les modalités de consultation des indicateurs collectés ont été jugées inappropriées. Il a été constaté une atteinte disproportionnée à la vie privée et familiale des salariés ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité.

3. Manquement à l'obligation d'information et de transparence (articles 12 et 13 du RGPD) : ni les salariés ni les visiteurs extérieurs n'ont été correctement informés des systèmes de vidéosurveillance. La CNIL a constaté que plusieurs informations requises par le RGPD, telles que l'indication de la durée de conservation des données, le droit d'introduire une réclamation auprès de la CNIL et les coordonnées du délégué à la protection des données, n'ont pas été fournies par la société.
4. Manquement à l'obligation d'assurer la sécurité des données à caractère personnel (article 32 du RGPD) : le mot de passe d'accès au logiciel de vidéosurveillance, composé de deux séries de caractères, a été jugé insuffisamment robuste. La CNIL recommande que le mot de passe comporte au moins douze caractères et quatre catégories de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux). Le compte était également partagé entre plusieurs utilisateurs, ce qui signifie que l'accès à la vidéosurveillance n'était pas suffisamment sécurisé.

Quels ont été les facteurs pertinents pour déterminer le montant de l'amende ?

L'amende équivaut à près de 3 % du chiffre d'affaires annuel brut de la société en 2021. Pour déterminer le montant de l'amende, la CNIL a pris en compte les critères énoncés à l'article 83 du RGPD de l'UE, y compris les facteurs suivants :

1. le traitement des données des employés à l'aide de scanners, qui était différent des méthodes traditionnelles de suivi des activités ;
2. l'ampleur et la large portée du contrôle ;
3. la nature très étroite et détaillée de la surveillance ;
4. la surveillance précise et constante qui soumettait les salariés à une pression permanente disproportionnée ;
5. le manque d'informations sur le contrôle des données fournies aux salariés temporaires, qui se trouvent souvent dans une situation professionnelle précaire ;
6. le grand nombre de personnes surveillées - plus de 6 000 employés permanents et un nombre important de salariés temporaires ;
7. les failles de sécurité concernant l'accès au logiciel de vidéosurveillance et la robustesse insuffisante du mot de passe pour l'accès au compte, qui ont été considérées comme démontrant une négligence dans la mise en œuvre des principes de base du RGPD ; et
8. les contraintes imposées aux salariés contribuant directement au succès économique de la société et lui donnant un avantage concurrentiel par rapport à d'autres entreprises du secteur de la vente en ligne.

En revanche, la conformité partielle adoptée par la société concernant l'information des salariés temporaires et la mise en œuvre de mesures de sécurité après les inspections initiales a permis d'atténuer, dans une certaine mesure, la sanction.

Quelles sont les principales leçons à tirer pour les employeurs internationaux ?

Les principaux points à prendre en considération :

1. Se conformer à la législation et aux directives locales : Toute donnée personnelle collectée dans le cadre d'un contrôle devra être traitée, stockée et conservée conformément à la législation locale en matière de protection des données. Une base légale de traitement devra être établie, une transparence totale et une notification devront être fournies avant tout contrôle et les principes de protection des données devront être respectés. Les employeurs qui envisagent de mettre en place un système de contrôle sur le lieu de travail doivent s'assurer non seulement qu'ils respectent la législation applicable, mais aussi qu'ils examinent et respectent les recommandations pertinentes, telles que celles de la CNIL sur le contrôle sur le lieu de travail. Comme le montre cette décision, le non-respect du cadre applicable en matière de protection des données fait encourir un risque de sanction substantielle.
2. Analyse d'impact sur la protection des données (AIPD) : Une analyse d'impact relative à la protection des données doit être effectuée avant la mise en œuvre d'un système de surveillance des employés. Cela permettra d'évaluer la proportionnalité et la nécessité de la forme de surveillance et de minimiser les risques potentiels. Cette décision montre l'importance de la proportionnalité : il faut éviter d'être excessif ou intrusif, et au contraire ne surveiller qu'à un niveau qui réponde aux attentes raisonnables des salariés.
3. Traitement licite : Une base de licéité doit être déterminée avant la mise en œuvre de tout système de contrôle des employés. En règle générale, il s'agira des "intérêts légitimes". Une mise en balance de l'intérêt de l'employeur et des "intérêts ou libertés et droits fondamentaux des personnes" doit être opérée, en intégrant les "attentes raisonnables" des salariés. L’intérêt légitime ne peut donc être considéré comme une base légale "par défaut".
4. Minimisation des données : Le contrôle sur le lieu de travail doit être limité au strict nécessaire et il convient de réfléchir à la manière de limiter l'ampleur et la portée des données obtenues. Si un employeur souhaite utiliser le contrôle sur le lieu de travail pour évaluer les performances d'un employé, il doit d'abord envisager d'autres méthodes moins invasives qui pourraient permettre d'atteindre cet objectif. Avant de mettre en place un système de surveillance rapprochée, il convient de se demander si l'obtention d'informations plus détaillées ou plus précises apportera quelque chose de nouveau, ou si les données existantes sont déjà suffisantes.
5. Transparence : Avant que le contrôle des employés ne soit mis en œuvre, ces derniers (et tout personnel intérimaire, visiteur ou autre personne qui sera contrôlée) doivent être informés du contrôle et recevoir des informations détaillées, notamment sur la nature et l'étendue du traitement des données, quand et comment les données seront obtenues, pourquoi et comment elles seront utilisées, à qui elles seront divulguées, qui est le délégué à la protection des données, les périodes de conservation, le droit de déposer une plainte et la manière dont les informations confidentielles ou sensibles seront gérées. Ces éléments doivent être clairement décrits dans les avis de confidentialité accessibles sur le lieu de travail et dans les politiques internes pertinentes, telles que les politiques d'utilisation acceptable et de communication informatique.
6. Périodes de conservation : il faut en outre veiller à ce qu'il y ait une période de conservation stricte, qui ne soit pas plus longue que ce qui est nécessaire pour l'objectif spécifié.
7. Sécurité des données : une sécurité insuffisante et des mots de passe faibles seront considérés comme des infractions très graves au RGPD et auront une incidence sur le montant de l'amende.
8. Considérations relatives au droit du travail :

• Santé et sécurité : Lors de la mise en œuvre d'un système de surveillance du lieu de travail, il est important de prendre en compte l'impact potentiel sur un employé. Si ce système est susceptible d'exercer une "pression constante" sur un employé ou de l'obliger à justifier chacune de ses courtes pauses, il convient d'examiner comment le traitement peut être minimisé. Cette décision montre qu'il ne sera pas nécessaire ou proportionné de mesurer avec précision toutes les pauses/interruptions de travail des employés et de les transmettre en temps réel au supérieur hiérarchique. Une surveillance aussi étroite et précise pourrait entraîner des absences pour cause de maladie et des problèmes de santé et de sécurité tels que des plaintes ou des réclamations liées au stress sur le lieu de travail. Le principal enseignement de cette décision est que toute surveillance permanente des employés est interdite. La CNIL a déjà établi ce principe qui s'applique à tous les systèmes de surveillance des employés sur le lieu de travail mais aussi à domicile dans le cadre du télétravail. Dans un "questions-réponses" publié le 12 novembre 2020, la CNIL avait déjà interdit l'utilisation de keyloggers, qui enregistrent les frappes au clavier, le partage permanent d'écran et les logiciels qui prennent des photos des salariés derrière leur écran toutes les cinq minutes pour s'assurer de leur présence.
• Évaluation des salariés : l'employeur doit être prudent dans la définition des données utilisées pour évaluer les salariés et les mesures qui en découlent (évolution de carrière, rétrogradation, licenciement, etc.). Si les évaluations sont basées sur un enregistrement disproportionné de données relatives à la productivité et à la qualité du travail de l'employé, l'employeur encourt un risque de contestation par le salarié.
• Rupture du contrat de travail aux torts de l'employeur : Des pratiques disproportionnées de contrôle des employés peuvent également susciter la méfiance sur le lieu de travail et entraîner des plaintes ou des réclamations supplémentaires en matière de droit du travail. Par exemple, en France, les salariés pourraient prendre acte de la rupture de leur contrat de travail ou demander la résiliation judiciaire aux torts de l'employeur s'ils étaient en mesure de démontrer que l'employeur a violé ses obligations en matière de surveillance.
• Utilisation abusive d'informations privées : Les employés pourraient intenter une action en responsabilité civile pour "utilisation abusive d'informations privées" s'ils peuvent prouver une utilisation abusive de leurs informations et qu'il y a eu une ingérence disproportionnée dans cette vie privée.

Que s'est-il passé ensuite ?

Le groupe de e-commerce a publié un communiqué dans lequel il a nié toute faute, contesté les conclusions de la CNIL et s'est réservé le droit de faire appel. La décision peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois à compter de sa notification.

Cette décision s'inscrit dans la continuité d'une tendance à protéger les salariés contre des pratiques excessives de vidéosurveillance. En effet, la CNIL avait annoncé le 7 novembre 2023 qu'elle avait prononcé dix nouvelles sanctions dans le cadre de sa nouvelle procédure de sanction simplifiée, en réponse à des préoccupations récurrentes liées à la vidéosurveillance des employés et à la minimisation des données.