Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.
🟠 1 – Le principe de proportionnalité : un élément clé du contrôle de la CNIL
Le 19 décembre 2024, la CNIL a infligé une amende de 40.000 euros à une société pour avoir mis en place un dispositif de surveillance jugé excessif. L’entreprise utilisait un logiciel permettant de comptabiliser les périodes d’« inactivité » supposée de ses salariés et réalisait des captures d’écran régulières de leurs ordinateurs. De plus, les employés étaient filmés en permanence, un dispositif que la CNIL a considéré comme disproportionné au regard des objectifs poursuivis.
Le principe de proportionnalité impose en effet que les moyens de surveillance mis en œuvre soient adaptés à la finalité recherchée et ne portent pas une atteinte excessive aux droits des salariés. Une surveillance intrusive et permanente, sans justification légitime, est donc contraire au RGPD.
🟠 2 – L’obligation d’information des salariés : un impératif du RGPD
Le RGPD exige que les employés soient informés de manière claire et transparente sur les finalités et modalités de leur surveillance. Dans cette affaire, la CNIL a relevé que l’information fournie aux salariés était insuffisante, en violation des articles 12 et 13 du RGPD. En particulier, l’entreprise ne disposait pas d’un document écrit attestant de l’information donnée aux employés.
L’obligation d’information permet aux salariés de comprendre comment leurs données personnelles sont traitées et de faire valoir leurs droits. En l’absence de cette communication, la surveillance mise en place devient illicite et expose l’employeur à des sanctions.
🟠 3 – L’AIPD et la sécurité des données : des obligations souvent négligées
Lorsqu’un dispositif de surveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés, l’employeur doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD), conformément à l’article 35 du RGPD. Dans cette affaire, l’entreprise sanctionnée par la CNIL n’avait pas effectué cette analyse, ce qui a été considéré comme un manquement supplémentaire.
Par ailleurs, la CNIL a constaté un défaut de sécurité des données. L’accès aux informations issues du logiciel de surveillance se faisait via un compte administrateur partagé, empêchant une traçabilité fiable des accès et des actions effectuées. Ces mesures de sécurités insuffisantes constituent une violation de l’article 32 du RGPD, qui impose aux entreprises de garantir la sécurité des données traitées. En cas de cyberattaque ou d’accès non autorisé, l’absence de mesures de protection suffisantes peut avoir de lourdes conséquences.
🟠 4 – Des sanctions financières en cas de non-conformité
Cette décision de la CNIL rappelle que toute violation du RGPD expose les employeurs à des sanctions financières importantes, mais aussi à un risque lié à la réputation de l’entreprise. L’amende de 40.000 euros infligée à l’entreprise concernée illustre l’importance de respecter les principes de proportionnalité et de transparence. Une surveillance excessive ou mal encadrée peut non seulement être illégale, mais aussi nuire à la relation de confiance entre employeur et salariés.
🟠 Conclusion
Si un employeur peut surveiller ses salariés pour des raisons légitimes (sécurité, prévention des fraudes, contrôle du temps de travail), il doit veiller à ce que ces dispositifs soient proportionnés, transparents et sécurisés. L’information des employés, la réalisation d’une AIPD et la mise en place de mesures de protection des données sont des obligations incontournables pour éviter des sanctions de la CNIL et assurer une conformité au RGPD. À défaut, les entreprises s’exposent à des amendes conséquentes et à une remise en cause de leurs pratiques par les autorités.
Pour en savoir plus / sources : |
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.
Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?
Alors que le Règlement général sur la protection des données (RGPD) fêtera bientôt ses sept ans d’application, des voix s’élèvent pour adapter le texte aux réalités économiques des très petites et moyennes entreprises (TPE – PME). L’objectif : réconcilier protection des données et compétitivité, tout en tenant compte des moyens limités de ces structures.
L’Autorité de la concurrence a récemment sanctionné Apple pour avoir abusé de sa position, en raison de la manière dont la firme californienne a mis en œuvre sa fonctionnalité « App Tracking Transparency » (ATT). Introduite en avril 2021 avec iOS 14.5, cette fonctionnalité visait à renforcer la transparence sur le suivi publicitaire, mais sa mise en œuvre a soulevé de vives critiques.