top of page

Surveillance abusive des salariés : la CNIL sanctionne une entreprise pour manquement au RGPD

Le 19 décembre 2024, la CNIL a infligé une amende de 40 000 euros à une entreprise pour avoir mis en place un dispositif de surveillance excessive de ses salariés. L’autorité de protection des données a relevé plusieurs violations du Règlement général sur la protection des données (RGPD), notamment une collecte disproportionnée d’informations et un manque de transparence envers les employés.


Une surveillance intrusive sanctionnée


L’entreprise sanctionnée avait recours à un logiciel de surveillance paramétré pour :

  • Enregistrer les périodes d’« inactivité » supposée des salariés.

  • Effectuer des captures d’écran régulières des ordinateurs professionnels.

  • Filmer en permanence les employés sur leur lieu de travail.

  • Mesurer précisément le temps de travail et évaluer la performance des salariés via un suivi informatique détaillé.


Cette pratique a été jugée disproportionnée et contraire aux principes du RGPD, qui impose que toute collecte de données personnelles soit justifiée, nécessaire et proportionnée à l’objectif poursuivi.


Un défaut d’information des salariés

L’entreprise n’avait pas informé clairement ses salariés de l’existence et des modalités de cette surveillance.


La CNIL a notamment constaté que :

  • Les documents internes, les contrats de travail et les contrats d’alternance ne mentionnaient pas suffisamment l’ampleur du suivi réalisé via le logiciel de surveillance.

  • Les employés n’avaient pas été correctement informés de la nature des données collectées ni de leur finalité, ce qui constitue un manquement au principe de transparence imposé par le RGPD.


Absence d’analyse d’impact sur la protection des données (AIPD)

Une analyse d’impact relative à la protection des données (AIPD) est requise lorsque le traitement de données présente un risque élevé pour les droits et libertés des personnes concernées.

Or, dans cette affaire, la CNIL a constaté que l’entreprise n’avait pas réalisé cette analyse, alors même que le dispositif mis en place exerçait un contrôle permanent et détaillé sur l’activité des salariés.

Cette omission constitue une infraction au RGPD, qui impose aux entreprises d’évaluer les risques liés à la collecte et au traitement des données personnelles, en particulier lorsqu’il s’agit de surveillance en milieu professionnel.


Une sanction justifiée pour rétablir l’équilibre entre contrôle et respect des droits

En sanctionnant cette entreprise, la CNIL rappelle que la surveillance des salariés doit respecter certaines limites :

  • Un employeur peut contrôler l’activité de ses salariés, mais dans le respect du droit à la vie privée et des principes de proportionnalité et de transparence.

  • Les salariés doivent être informés précisément des dispositifs de suivi mis en place et des finalités associées.

  • Les entreprises doivent réaliser une AIPD lorsqu’elles mettent en place des dispositifs de surveillance susceptibles d’avoir un impact significatif sur les employés.


Conclusion

Cette décision illustre une nouvelle fois la vigilance accrue de la CNIL en matière de protection des données personnelles et rappelle aux entreprises leurs obligations légales en matière de surveillance des salariés.

Les employeurs doivent équilibrer leurs besoins de contrôle avec le respect des droits fondamentaux des travailleurs, sous peine de sanctions financières et juridiques importantes.


Référence : Délibération CNIL SAN-2024-021 du 19 décembre 2024


 
Articles récents
bottom of page