🕵️‍♀️ 40 000€ d'amende pour surveillance excessive des salariés

🕵️‍♀️ 40 000€ d'amende pour surveillance excessive des salariés

Le 19 décembre 2024, une entreprise immobilière a été sanctionnée par la CNIL avec une amende de 40 000 euros pour surveillance excessive de ses salariés via un logiciel de suivi et un système de vidéosurveillance.


🕵️‍♀️ Surveillance excessive des salariés, l’entreprise utilisait deux dispositifs intrusifs :

  • Un système de vidéosurveillance enregistrant en continu l'image et le son des salariés, dans leurs espaces de travail et de pause.

  • Un logiciel de suivi de l'activité des salariés, enregistrant notamment les périodes sans frappe au clavier ou mouvement de souris et capturant régulièrement les écrans des employés ("screencast").

Ces dispositifs ont été jugés excessifs et injustifiés par la CNIL, constituant une atteinte disproportionnée aux droits fondamentaux des salariés (article 5.1c du RGPD).


📅 Décompte inadapté du temps de travail :

Le logiciel détecte les périodes d’inactivité (à partir de 3 à 15 minutes sans interaction avec le clavier ou la souris) et les considère comme des pauses non justifiées, pouvant entraîner une retenue sur salaire. 
La CNIL a rappelé que cette méthode est inadaptée car les temps sans interaction sur l'ordinateur peuvent correspondre à des activités professionnelles (réunions, appels téléphoniques, etc.).

📃 Manque d’information des salariés (Articles 12 et 13 du RGPD) :

Les documents internes et les contrats de travail ne mentionnent pas suffisamment les dispositifs de surveillance mis en place. De plus, l'entreprise n'a pas conservé de trace de l'information orale apportée aux salariés, ce qui ne satisfait pas les exigences du RGPD.

🔒 Défaut de sécurité des données (Article 32 du RGPD) :

L’entreprise utilisait un compte administrateur partagé pour accéder aux données collectées via le logiciel de surveillance, rendant impossible une traçabilité fiable des actions effectuées. Ce dispositif a été considéré comme insuffisant pour garantir la sécurité des données.

🔧 Absence d’AIPD (Article 35 du RGPD) :
Notes
Pour rappel, L'AIPD (ou PIA) est un outil qui aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer votre conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
L’entreprise n’a pas réalisé d’analyse d’impact relative à la protection des données (AIPD), pourtant requise pour des dispositifs de surveillance systématique présentant des risques élevés pour les droits et libertés des salariés.


Info

💡 Comment éviter ces erreurs ?

  1. Se poser la question de la nécessité d'utiliser un dispositif de surveillance. Pour vous aider dans votre réflexion et identifier les mesures de protection nécessaire, réalisez une analyse d'impact (AIPS/PIA) dans Mission RGPD (onglet "Se conformer").

  2. S'il est nécessaire, choisir un dispositif adapté et le moins intrusif possible.

  3. Prévoir une information claire et écrite des salariés sur les dispositifs de contrôle. Pour cela, un modèle d'affiche pour la videosurveillance et videoprotection, ainsi qu'une Politique de protection des données à destination des collaborateurs sont disponibles sur Mission RGPD.

  4. Mettre en place des comptes administrateurs individualisés pour améliorer la sécurité des données.


Tom Pujade-Lauraine

Juriste protection des données personnelles - Mission RGPD