Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.
🟠 1 – Le principe de proportionnalité : un élément clé du contrôle de la CNIL
Le 19 décembre 2024, la CNIL a infligé une amende de 40.000 euros à une société pour avoir mis en place un dispositif de surveillance jugé excessif. L’entreprise utilisait un logiciel permettant de comptabiliser les périodes d’« inactivité » supposée de ses salariés et réalisait des captures d’écran régulières de leurs ordinateurs. De plus, les employés étaient filmés en permanence, un dispositif que la CNIL a considéré comme disproportionné au regard des objectifs poursuivis.
Le principe de proportionnalité impose en effet que les moyens de surveillance mis en œuvre soient adaptés à la finalité recherchée et ne portent pas une atteinte excessive aux droits des salariés. Une surveillance intrusive et permanente, sans justification légitime, est donc contraire au RGPD.
🟠 2 – L’obligation d’information des salariés : un impératif du RGPD
Le RGPD exige que les employés soient informés de manière claire et transparente sur les finalités et modalités de leur surveillance. Dans cette affaire, la CNIL a relevé que l’information fournie aux salariés était insuffisante, en violation des articles 12 et 13 du RGPD. En particulier, l’entreprise ne disposait pas d’un document écrit attestant de l’information donnée aux employés.
L’obligation d’information permet aux salariés de comprendre comment leurs données personnelles sont traitées et de faire valoir leurs droits. En l’absence de cette communication, la surveillance mise en place devient illicite et expose l’employeur à des sanctions.
🟠 3 – L’AIPD et la sécurité des données : des obligations souvent négligées
Lorsqu’un dispositif de surveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés, l’employeur doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD), conformément à l’article 35 du RGPD. Dans cette affaire, l’entreprise sanctionnée par la CNIL n’avait pas effectué cette analyse, ce qui a été considéré comme un manquement supplémentaire.
Par ailleurs, la CNIL a constaté un défaut de sécurité des données. L’accès aux informations issues du logiciel de surveillance se faisait via un compte administrateur partagé, empêchant une traçabilité fiable des accès et des actions effectuées. Ces mesures de sécurités insuffisantes constituent une violation de l’article 32 du RGPD, qui impose aux entreprises de garantir la sécurité des données traitées. En cas de cyberattaque ou d’accès non autorisé, l’absence de mesures de protection suffisantes peut avoir de lourdes conséquences.
🟠 4 – Des sanctions financières en cas de non-conformité
Cette décision de la CNIL rappelle que toute violation du RGPD expose les employeurs à des sanctions financières importantes, mais aussi à un risque lié à la réputation de l’entreprise. L’amende de 40.000 euros infligée à l’entreprise concernée illustre l’importance de respecter les principes de proportionnalité et de transparence. Une surveillance excessive ou mal encadrée peut non seulement être illégale, mais aussi nuire à la relation de confiance entre employeur et salariés.
🟠 Conclusion
Si un employeur peut surveiller ses salariés pour des raisons légitimes (sécurité, prévention des fraudes, contrôle du temps de travail), il doit veiller à ce que ces dispositifs soient proportionnés, transparents et sécurisés. L’information des employés, la réalisation d’une AIPD et la mise en place de mesures de protection des données sont des obligations incontournables pour éviter des sanctions de la CNIL et assurer une conformité au RGPD. À défaut, les entreprises s’exposent à des amendes conséquentes et à une remise en cause de leurs pratiques par les autorités.
Pour en savoir plus / sources : |
Le Comité européen de la protection des données (CEPD) a récemment tenu une réunion importante, les 2 et 3 décembre 2025, pour discuter de l’avenir du cadre juridique européen en matière de protection des données. À l’ordre du jour figuraient l’adoption de nouvelles lignes directrices sur la création de comptes en ligne ainsi que des bonnes pratiques sur son fonctionnement.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé une sanction de 1,5 million d’euros contre American Express Carte France. Cette décision illustre la vigilance accrue de l’autorité française en matière de protection des données personnelles et de respect du cadre légal sur les traceurs numériques.
La Commission nationale de l’informatique et des libertés (CNIL) poursuit son action de contrôle sur le respect des droits numériques des citoyens. Le 20 novembre 2025, elle a infligé une amende de 750 000 euros à la société Les Publications Condé Nast, éditrice du magazine Vanity Fair en France, pour non-conformité aux règles relatives aux cookies. Cette décision illustre la vigilance accrue de l’autorité française face aux pratiques en ligne qui menacent la transparence et la protection des données personnelles.
La cybercriminalité n’est plus un sujet réservé aux experts en informatique, elle touche désormais chacun d’entre nous. Derrière ce terme se cachent des pratiques variées tels que : vols de données, piratages de comptes, escroqueries en ligne qui peuvent avoir des conséquences bien réelles sur notre vie quotidienne.