Surveillance des salariés : la CNIL sanctionne lourdement les manquements au RGPD

Le 19 décembre 2024, la Commission nationale de l'informatique et des libertés (CNIL) a sanctionné une entreprise du secteur immobilier à une amende de 40 000 euros en raison d’une surveillance disproportionnée de ses salariés, constatant plusieurs manquements au RGPD.

Elle a également procédé à la publication de la sanction le 4 février 2025, “au regard de la gravité des manquements et afin d’informer toute personne soumise à de tels dispositifs”.

Retour sur les démarches à éviter.

Si votre pouvoir de direction à l’égard des salariés vous autorise à les contrôler pendant leur temps et sur leur lieu de travail, les dispositifs de contrôle doivent respecter le RGPD (Règlement général sur la protection des données).

Ainsi, vous ne pouvez pas installer des caméras dans les locaux de votre entreprise sans définir un objectif, qui doit être légitime et qui ne peut pas être raisonnablement atteint par un autre moyen. 

Pour ce faire, un système de vidéosurveillance :

• doit être limité à un objectif de protection des personnes, des biens et de prévention ;

• doit être adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités poursuivies ;

• ne doit pas porter une atteinte excessive au respect de la vie privée des salariés filmés.

Vous devez donc veiller au nombre de caméras, à leur orientation, aux heures de fonctionnement, ou encore à la nature des tâches accomplies par les personnes filmées.

 En effet, comme le précise la CNIL, les caméras :

• ne doivent pas filmer les employés sur leur poste de travail sauf circonstances particulières (ex : manipulation d’argent mais la caméra doit davantage filmer la caisse que le caissier, entrepôt stockant des biens de valeurs) ;

• ne doivent pas filmer les zones de pause, ni les toilettes ;

• ne doivent pas filmer les locaux des représentants du personnel, ni leur accès lorsqu'il ne mène qu’à ces seuls locaux. 

Ainsi, sauf cas exceptionnels, justifiés notamment au regard de la nature de la tâche, vous ne pouvez pas réaliser un contrôle permanent et systématique de vos salariés.

En l’espèce :

• les salariés sur site étaient filmés dans les locaux en continu (pendant leur temps de travail comme pendant leur temps de pause), avec un captage permanent de l’image et du son ;

• le dispositif était visualisable par les encadrants en temps réel via une application mobile.

L'argument avancé par l’employeur de la prévention des risques de vols  n’a pas convaincu la CNIL qui a retenu que de tels agissements portaient une atteinte excessive aux droits des salariés et était contraire au principe de minimisation des données.

De surcroît, la CNIL rappelle que :

• la possibilité de regarder les images sur tablette ou téléphone ne doit pas conduire à surveiller ses employés ;

• l’accès à distance doit être sécurisé ;

• l’enregistrement du son, en plus des images, est réservé à des situations particulières et ne doit pouvoir être déclenché qu’à l’initiative d’un employé en cas d’événement le justifiant (en cas d’agression par exemple).

Même lorsque vos salariés sont en distanciel, vous conservez votre pouvoir d’encadrer et contrôler l’exécution des tâches que vous leur avez confiées, à la condition, toujours, que ce contrôle soit strictement proportionné à l’objectif poursuivi et qu’il ne porte pas atteinte aux droits et libertés de vos salariés.

En l’espèce, l'activité des salariés en télétravail était surveillée au moyen d’un logiciel dont la finalité était de mesurer leur temps de travail et d’évaluer leur productivité. 

Le logiciel était notamment paramétré : 

• pour comptabiliser des périodes « d’inactivité », qui, à défaut  d’être justifiées par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société ;

• pour effectuer des captures d’écran régulières des ordinateurs, en comptabilisant le temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société.

Pour la CNIL, ce logiciel, tel que paramétré, constituait une surveillance particulièrement intrusive, d’autant qu’il pouvait conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou mots de passe confidentiels par exemple). 

Aucune information écrite des salariés n’avait, ici encore, été réalisée par l’entreprise sur les traitements mis en œuvre par le logiciel de surveillance des postes de travail. L’information orale des salariés prétendue par l’entreprise n'était pas établie et ne remplissait en tout état de cause pas les conditions d’information légales.

Rappelons qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance (Code du travail, art. L1222-4).

Enfin, en permettant un accès partagé à un compte administrateur pour consulter les données issues du logiciel de surveillance, via une application web, la société a violé ses obligations en matière de sécurité des données.

Les traitements de surveillance de l’activité des salariés n’ont pas à faire l’objet d’une formalité préalable auprès de la CNIL, cependant nous ne pouvons que vous rappeler de les inscrire au registre des activités de  traitement.

CNIL, Délibération SAN-2024-021 du 19 décembre 2024