La surveillance des salariés, au cœur de la transformation numérique des entreprises, pose aujourd’hui d’importantes questions quant au respect de la vie privée et des droits fondamentaux. Le 19 décembre 2024, la CNIL a marqué un tournant en sanctionnant une société pour surveillance disproportionnée. À travers la Délibération SAN-2024-021, l’autorité de contrôle a infligé une amende de 40 000 euros pour manquements aux dispositions du RGPD, notamment en ce qui concerne la collecte excessive de données, la captation d’images et de sons en continu, ainsi que l’utilisation d’un logiciel de suivi (TIME DOCTOR) pour mesurer le temps d’inactivité et la productivité des salariés. Cet article revient sur les faits, les motifs de la sanction et les enseignements à tirer pour les entreprises.
Un Dispositif de Surveillance Intrusif et Problématique
Des Pratiques de Contrôle Excessives
La société sanctionnée a déployé un dispositif de surveillance jugé excessif par la CNIL. Concrètement, elle utilisait :
- Un logiciel de suivi (TIME DOCTOR) : Ce logiciel comptabilisait les périodes d’inactivité des salariés en détectant l’absence de frappes sur le clavier ou de mouvements de souris sur une durée comprise entre 3 et 15 minutes. Ces "idle minutes" étaient utilisées pour déduire des retenues sur salaire si elles n’étaient pas justifiées par le salarié.
- Des captures d’écran régulières : Le logiciel effectuait des captures d’écran à intervalles rapprochés, avec l’option "screencast" activée en permanence, même en version "silencieuse" sur les ordinateurs professionnels. Ce paramétrage permettait de surveiller en détail l’activité numérique des employés.
- Un système de vidéosurveillance continu : En parallèle, la société filmait en continu ses salariés, captant non seulement les images mais aussi le son, dans des espaces de travail et des zones de pause. Cette captation permanente était réalisée sans dispositif de « cache » ou limitation adaptée aux horaires, portant ainsi atteinte à l’intimité des salariés.
Un Cadre d’Information Insuffisant
Outre la collecte massive de données, la société a failli à informer correctement ses salariés :
- Manque d’information écrite : Les documents internes, contrats de travail et autres supports n’expliquaient pas de manière complète et accessible les modalités du traitement des données par le logiciel TIME DOCTOR.
- Absence d’analyse d’impact : La société n’a pas réalisé d’Analyse d’Impact Relative à la Protection des Données (AIPD) pour évaluer le risque élevé induit par ces dispositifs de surveillance.
Les Motifs de la Sanction de la CNIL
Non-Respect des Principes du RGPD
La Délibération SAN-2024-021 met en évidence plusieurs manquements aux articles essentiels du RGPD :
- Article 5 (Minimisation des données) : Le dispositif collectait des informations au-delà de ce qui était strictement nécessaire à la mesure du temps de travail.
- Article 6 (Licéité du traitement) : L’usage de ces outils ne reposait que sur l’intérêt légitime de l’employeur, sans contrepartie suffisante pour protéger les droits des salariés, notamment au regard du droit au respect de la vie privée prévu par l’article L.1121-1 du Code du travail.
- Articles 12 et 13 (Information et transparence) : Les salariés n’ont pas reçu d’information complète, claire et accessible sur les traitements mis en œuvre.
- Article 32 (Sécurité des données) : Des défaillances dans la gestion des accès, comme le partage du compte administrateur du logiciel, ont compromis la traçabilité et la sécurité des données collectées.
- Article 35 (AIPD) : L’absence d’analyse d’impact a été considérée comme un manquement grave, particulièrement en raison du risque élevé pour les droits et libertés des personnes surveillées.
Une Surveillance Disproportionnée
La CNIL a relevé que le dispositif de vidéosurveillance, couplé à l’utilisation intensive du logiciel TIME DOCTOR, constituait une surveillance systématique et quasi-permanente. Cette surveillance, qui s’étendait aussi bien aux temps de travail qu’aux moments de pause, n’était pas justifiée par des circonstances exceptionnelles et dépassait largement la finalité déclarée de contrôle du temps de travail.
Enjeux et Conséquences pour les Entreprises
Des Sanctions Financières et Réputationales
La sanction de 40 000 euros imposée par la CNIL rappelle que la protection des données personnelles est un impératif juridique. Outre l’impact financier, une telle sanction peut ternir la réputation de l’entreprise, notamment dans un contexte où la transparence et le respect de la vie privée sont des critères essentiels pour les partenaires et les employés.
Bonnes Pratiques à Adopter
Pour éviter de telles sanctions, il est recommandé aux entreprises de :
- Réviser leurs dispositifs de surveillance pour s’assurer qu’ils sont proportionnés aux objectifs visés.
- Fournir une information complète et écrite aux salariés, précisant notamment les finalités des traitements, la durée de conservation des données et les droits dont ils disposent.
- Réaliser une AIPD avant la mise en œuvre de tout nouveau dispositif de surveillance susceptible d’engendrer un risque élevé pour les droits et libertés des salariés.
- Mettre en place des mesures de sécurité renforcées, notamment en utilisant des comptes individuels pour l’accès aux systèmes de suivi et en assurant une traçabilité rigoureuse des accès.
Conclusion
La Délibération SAN-2024-021 du 19 décembre 2024 est un signal fort envoyé par la CNIL : la surveillance excessive des salariés, notamment via des dispositifs intrusifs comme le logiciel TIME DOCTOR et une vidéosurveillance continue, ne peut être tolérée. L’amende de 40 000 euros infligée à la société sanctionnée met en lumière les risques juridiques et réputationnels encourus en cas de non-respect des principes du RGPD.
Les entreprises se doivent de trouver un équilibre entre la nécessité de contrôler l’activité professionnelle et le respect de la vie privée des salariés. La mise en œuvre de dispositifs de surveillance doit être strictement encadrée, transparente et proportionnée aux objectifs légitimes poursuivis. En adoptant des pratiques responsables et en informant correctement leurs salariés, les entreprises pourront non seulement se conformer à la réglementation, mais également instaurer un climat de confiance propice à une meilleure performance collective.
'/%3e%3cdefs%3e%3cpattern%20id='pattern0_5103_3421'%20patternContentUnits='objectBoundingBox'%20width='1'%20height='1'%3e%3cuse%20xlink:href='%23image0_5103_3421'%20transform='scale(0.00990099%200.0208333)'/%3e%3c/pattern%3e%3cimage%20id='image0_5103_3421'%20width='101'%20height='48'%20xlink:href='data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAGUAAAAwCAYAAAAIP7SLAAAJl0lEQVR4Ae1aCYylRRF+HjFeCLjHvL9qvRXFG0UERRkTRZHdmb9qGERx47kqKEQJiYrILkYh8coiXmBEjeKxicDr/mfYDZGNB6sYIyoCiqggouiK4LLjJkT3ydf91/96/n0jw8xjZ2D+l7xUd3VVdf/V3VXV1d1qNb9GA40GGg00Gmg00Gig0UCjgUWkgYnRoRfjv4iGtHSH0hF6lRP6jVfu4u+E/tFReunS1cgCf3lnhJ5uk+GFCyf0CS/0L6d058T4ivYCD29pdu+EP1bujm+aBjbr8swp/85p9nbDeeFfWDmFLudjvWTHT8NpthYygJscbT8zbWvKs9CAFzo/7BShj6fkTvijXrJ1wLk1Q09yynek7Vb2Qud4pfVWD/TKd/i8fQjKXummYjR7WdqelrEbtw63Hp7ilnzZCY1W5qtUZF0pTrO1TuiPdTzqXqnjc/qItXnhw+Ik82HAOeHveaGvWnsdOqXvO6UTgfdKr/NC33JKJ8GnXZzvt1+dfsnUvdLmaML4FjM76cc7pc855V+mOCvfrcjrpk2K0nrIskDBK33SK+/ya+iRxmPQCa8G7cRIdjBwXvjqMKFlwBHHRNc4oQ+E9rx9CMxhZ2Q59ZNnch8Q8LLx/ff1ytcHhQhtd8qHph/mlH7khX6Y4qxcKu6MXj1OcKVopTcEmsQ/GS38lhe+weqhf+VuoXx0oe1XFELHOaFTizx7I2iw47zyzUYXoPBfnNKvvdJll4zS40xWCr22j/HCX0hx94uyX72MvdBVQYHCt0/mK59iA/fKf3ZCl1rdoBtrPyvS06kVDv5EuXtp3n4icFV0J/QDowGEiYpKpbNR92OrnhbqyrtSun7lCeEDnPKbndJn4OtKvmrH1XnCbsbuK31k2o4FuXV8xaNT3KIqhx0jfEP8SHI2OC+02wldYnWDTultoHWavRM4rFRT0KbxVY8wOi80BXxnZOUQcGjzSn8PuDE6CLgJyV4TeIWvNr57ghVPUPj0QCXlRYhfjuv3KR5lTK6vBTlG44Wfh7/V9xqsD6gYpZeUH9DdcuTQozAQ1OGQ64Pywl8LbTkfi7aJnJ8feWlnSgvTEvBCJwPvhN8X670wG84+yBKeTHlnKkd/RDtLudtmots03npIoDE/NdZ+bUrrlT7vNftgisN3OKU/GF9qNVK6+6yM7Q8Tk3Zgg/FraDnw8cP5nylNt9V6kBO+HW2FDD070OV0ZEl7ZUrrhD8U8dGEeaHtgS/nE4wuHFpLxYXsgvDG+rgqWuVDQ/AQd8h2OH5rq0OE86FvmxShLSmNF77SdjrwhWQHOqEd8F3wadjVhfCbLNgw3knlVVaeDXRChztpH2EL/f/yOOFJr3SF0+wFnbGVz0VIWirwKmO0qAhCe7hsHegwMQnu+IBTPs9wgBiQKSacf6IypyaPeuxjjM4JfSfS0HUIKpzQrYVmp1m7wXCwFfpboBWasoACZ52422i9Fz7FTGUVoitdYWPwY/QMyNs63HqoV74LobjJxyEZdC5vH2U4l2djOG9ZHRALp1/GI5hDpXONFgELgpmqb0SiyRHC6KZBhJhe+baEqRt8QN4eNkKvfFbZfn0hmTqhMxL6s4yuyLN3AA9fYzjA0oTsSnjQx5dSGqf8U7QXSiMpvl42OtDCp1g7FJTm70Jfkn3K55THMp2MxRfKpdLM3BZKr4ScoMC4YKoFGfCSHRj74wNQv0h4GerWdwqhcKf8ReAQtpvvRLDhhM70Qr+N45meBUllhDI6iQql9TgoTo63V6REnZHl+1TCzAyEwfOviqP33d9o4yrhbt+zDg6RCW+RZy80PkBEeGhHRJfi07IXuiCRcXraZmVkD7BowsLJ28NFzieAB4rHtwV+oSmYJRsvJgf8Tvm8MAbhT5s8QIsgbcFgop3yv1MaK4ewXeh81L2Zc6Wb0qwFrIIT8sYzZwhTg1VQHjQvx0fXT9ywwV7o2n6deKUNlUL75NGsrR8vcIVm7zUaL7xpJro6Hikg8CGyRFsViUm2zgudjTbzSU7p56inOT/wWOhvOT7wwbzW+wq0yj9B6gplnK+CPKFrUtqwQ4UuSHH3WRl2HKujXwdYqRhg+Au/K6UxcxCz09lan7eHp6+s9hHG65R/nPLeU9krneuEbzE6m4joO+hiyK3alP6KOky04QB9eQC2ScEqh6lMaayM7DoyIKhPaPaEatxCZxrNooJO6StQUn1QMIE2eIMIIJzwdztjdFCVbQirOKzEc+B8Z3Poi4ELdazPkKKpFgdNeelFlRZNwjwZPWCZSaj8HVJOXuhnKQ3K1SQk5x7bqXGy6bg6z6Kuh8gPNlj4lGjqYO5oA0JUBAUx20A3VuanVCxMDiK6mT4uRpc8zf844a/3Jr+34i2Fs4f5KqM983fB/wntcTaqfJZO788mxin9F98301jv9/hCh548odnLYVK80Ftm+iAvtC2N0kA3MTr0HJsUL7zVeL3SRcA7oepuCXm4ErejokN+UOhPVjcYFk/0SSHDYXhAn9N7rE8n9P60bcmVkYiEz6p/ODIUUUn0bWtLVnpw9oXwuC/9DO6NenRIgPbSRsCnh2m7SzJ6gzZpOHLUgySjWdIQwUS5A8K1gCmjN1llUBLN5M12GAUdJrrkrVZ8ofzhOMl8m8mCqXLafpHV4QPt3FIPJoymgTNowCufXua+dsGU1a8EkP0oJ6CLg6KZvYjr3cIG3yW8Me3GC20BXTMpqVYGVA6ZDaU7bXICFC5S8YXQW8MEaHZa2JkhiAk+a8cDxnwVY9mr049e6DIOpGW+bcNMY0sjPUwQkp0up9cv9NgH0r8X3gi7PRBhe1lIjPaQwqIT0yTsXh7GYLsLL2aEtiGxOVjJjbR7rQHcPSClgSy25afutZCGYXAaCHf2QtciG4v7mMFJbiTNSQPh9YnSTmRikX6Zk5CGaTAa6IyseCrOBSFKwaXX6mU8GMmNlD00gFtBr3ThHg0lwq2mx3uhLzul/8R4nz67abz1sJnoG/w8NYBDUngsV7tDgVjsDLyICdnTkM6gG9O78Xl23bD30wBWe/m6cnv6igNxezBTQrvLA9WtSG+nF1v95DW4eWqg22o92HJCSDfgnr88/dqrkrswMUiNN+ePeSp7tux4Uhr8Axy20De80s74VIkuvPvd17vtzny28hq6AWigfNDW9Xm22eVDJxWH9169DEB8I2IuGvDKl5c7pXwsQbvD1W3YQe1jYN7mIrfhmacGEArjrVR8Oxzv3MN9dU45burmKb5hbzTQaKDRQKOBhdPA/wCid6golEdnEQAAAABJRU5ErkJggg=='/%3e%3c/defs%3e%3c/svg%3e)