ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier

Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier

04 février 2025

Le 19 décembre 2024, la CNIL a sanctionné une société d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’écran régulières de leurs ordinateurs. En outre, les salariés étaient filmés en permanence.

Le contexte

Une société intervenant dans le secteur immobilier avait installé sur les ordinateurs de certains de ses salariés un logiciel de suivi de leur activité dans le cadre du télétravail. Elle avait également recours à un système de vidéosurveillance dans ses locaux pour la prévention des atteintes aux biens (vols).

À la suite de plaintes, la CNIL a procédé à un contrôle. Lors de ses investigations, la CNIL a notamment constaté que la société filmait en permanence ses salariés, en captant l’image et le son, et qu’elle mesurait leur temps de travail et évaluait leur performance de manière très précise par le biais du logiciel installé sur leurs ordinateurs.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 40 000 euros à l’encontre de la société. Elle a décidé de publier sa délibération au regard de la gravité des manquements et afin d’informer toute personne soumise à de tels dispositifs. Toutefois, elle a décidé de ne pas nommer la société, compte tenu de sa taille réduite et du retrait immédiat du logiciel lors du contrôle. 

Le montant de cette amende a été décidé au regard des manquements retenus ainsi qu’en tenant compte de la situation financière de la société et de sa petite taille, pour retenir une amende dissuasive mais proportionnée.

Les manquements sanctionnés

Des manquements relatifs à la surveillance excessive des salariés

Un manquement relatif à la mise en œuvre du système de vidéosurveillance

Le système de vidéosurveillance, composé de deux caméras, captait en continu les images et le son des salariés présents dans les locaux, qui leur servaient à la fois de lieu de travail et d’espace de pause, dans un objectif de prévention des vols. Ces captations étaient consultables par les encadrants en temps réel via une application mobile.

La société ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo. De tels agissements portent une atteinte excessive aux droits des salariés et sont donc contraires au principe de minimisation des données (article 5.1.c du RGPD).

Un manquement relatif à la mise en œuvre du logiciel de surveillance des postes de travail

La société a indiqué mettre en œuvre un logiciel de suivi de l'activité de ses salariés, à des fins de mesure de leur temps de travail d’une part, et de mesure de leur productivité d’autre part.

Concernant la mesure du temps de travail, outre le décompte des horaires de travail, la société avait paramétré  le logiciel de manière à pouvoir mesurer nominativement les temps qu’elle considérait comme des temps « d’inactivité » des salariés.

Le logiciel détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes. Ces temps « d’inactivité » comptabilisés, à défaut d’être justifiés par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société.

Or, les périodes pendant lesquelles le salarié n’utilise pas son ordinateur peuvent également correspondre à du temps de travail effectif dans le cadre de ses missions (réunions ou appels téléphoniques par exemple). Un tel dispositif ne permet pas un décompte fiable des heures de travail, contrairement à sa finalité annoncée. En outre, l’atteinte portée par le dispositif, ainsi paramétré, aux droits des salariés était, en tout état de cause, disproportionnée. Par conséquent, ces traitements ne reposent sur aucune base légale.

Concernant la mesure de la performance des salariés, le logiciel permettait, sur la base d’une liste de sites web et de programmes préalablement identifiés et paramétrés par la société comme « productifs » ou non, de déterminer le temps passé sur des sites web jugés non productifs durant leur temps de travail.

En outre, le logiciel était paramétré par la société pour effectuer des captures régulières des écrans (« screencast ») des ordinateurs des salariés, selon une récurrence déterminée individuellement par la société entre 3 et 15 minutes.

Ce dispositif, tel que paramétré, constitue une surveillance particulièrement intrusive, d’autant qu’il peut conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou mots de passe confidentiels par exemple). Ce dispositif porte ainsi une atteinte disproportionnée à la vie privée, aux intérêts et aux droits fondamentaux des salariés, et ne repose sur aucune base légale (article 6 du RGPD).

Un manquement à l’obligation d’information des personnes concernées (articles 12 et 13 du RGPD)

S’agissant de l’information écrite des salariés, ni les documents d’information internes à la société, ni les contrats de travail et les contrats d’alternance des salariés, ne permettaient une information écrite suffisante concernant les traitements mis en œuvre par le logiciel de surveillance des postes de travail, ce qui constitue un manquement à l’article 13 du RGPD.

L’information orale des salariés était mise en avant par la société comme permettant de combler ces lacunes. Cependant, en l’absence de conservation par la société d’une trace écrite de celle-ci, le caractère complet de l’information n’est pas établi. En tout état de cause, cette information orale ne remplit pas, par nature, les conditions d’accessibilité dans le temps prévues par les dispositions de l’article 12 du RGPD.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

La société permettait l’accès partagé à un compte administrateur permettant de consulter les données issues du logiciel de surveillance des postes de travail. Or, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système, notamment lors d’investigation en cas d’incident de sécurité ou de violation de données.

Cette exigence d’individualisation est d’autant plus importante lorsqu’il s’agit de comptes administrateur, qui disposent de droits très étendus sur les données personnelles traitées par le système, et sont ainsi des cibles privilégiées d’attaques informatiques. Un manquement à l’article 32 du RGPD est donc constitué.

Un manquement à l’obligation de réaliser une AIPD (article 35 du RGPD

La société n'a pas réalisé d'analyse d’impact relative à la protection des données (AIPD) pour les traitements qu’elle a mis en œuvre via le logiciel de surveillance des postes de travail, qui permettent pourtant, selon les paramètres définis par la société, d’effectuer une surveillance systématique de ses salariés et qui sont, dès lors, susceptibles d’engendrer un risque élevé pour leurs droits et libertés. Pour ces raisons, elle était dans l’obligation de réaliser une AIPD avant de mettre en œuvre ces traitements via ce logiciel.

Texte reference

Délibération

Texte reference

Textes de référence

Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Le droit d’accès des salariés à leurs données et aux courriels professionnels
31 janvier 2025
Travail
Les sanctions prononcées par la CNIL
Les sanctions prononcées par la formation restreinte de la CNIL depuis l'entrée en vigueur de...
02 janvier 2025
Sanction
Aspiration de données : sanction de 240 000 euros à l’encontre de la société KASPR
19 décembre 2024
Sanction