Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.
🟠 1 – Le principe de proportionnalité : un élément clé du contrôle de la CNIL
Le 19 décembre 2024, la CNIL a infligé une amende de 40.000 euros à une société pour avoir mis en place un dispositif de surveillance jugé excessif. L’entreprise utilisait un logiciel permettant de comptabiliser les périodes d’« inactivité » supposée de ses salariés et réalisait des captures d’écran régulières de leurs ordinateurs. De plus, les employés étaient filmés en permanence, un dispositif que la CNIL a considéré comme disproportionné au regard des objectifs poursuivis.
Le principe de proportionnalité impose en effet que les moyens de surveillance mis en œuvre soient adaptés à la finalité recherchée et ne portent pas une atteinte excessive aux droits des salariés. Une surveillance intrusive et permanente, sans justification légitime, est donc contraire au RGPD.
🟠 2 – L’obligation d’information des salariés : un impératif du RGPD
Le RGPD exige que les employés soient informés de manière claire et transparente sur les finalités et modalités de leur surveillance. Dans cette affaire, la CNIL a relevé que l’information fournie aux salariés était insuffisante, en violation des articles 12 et 13 du RGPD. En particulier, l’entreprise ne disposait pas d’un document écrit attestant de l’information donnée aux employés.
L’obligation d’information permet aux salariés de comprendre comment leurs données personnelles sont traitées et de faire valoir leurs droits. En l’absence de cette communication, la surveillance mise en place devient illicite et expose l’employeur à des sanctions.
🟠 3 – L’AIPD et la sécurité des données : des obligations souvent négligées
Lorsqu’un dispositif de surveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés, l’employeur doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD), conformément à l’article 35 du RGPD. Dans cette affaire, l’entreprise sanctionnée par la CNIL n’avait pas effectué cette analyse, ce qui a été considéré comme un manquement supplémentaire.
Par ailleurs, la CNIL a constaté un défaut de sécurité des données. L’accès aux informations issues du logiciel de surveillance se faisait via un compte administrateur partagé, empêchant une traçabilité fiable des accès et des actions effectuées. Ces mesures de sécurités insuffisantes constituent une violation de l’article 32 du RGPD, qui impose aux entreprises de garantir la sécurité des données traitées. En cas de cyberattaque ou d’accès non autorisé, l’absence de mesures de protection suffisantes peut avoir de lourdes conséquences.
🟠 4 – Des sanctions financières en cas de non-conformité
Cette décision de la CNIL rappelle que toute violation du RGPD expose les employeurs à des sanctions financières importantes, mais aussi à un risque lié à la réputation de l’entreprise. L’amende de 40.000 euros infligée à l’entreprise concernée illustre l’importance de respecter les principes de proportionnalité et de transparence. Une surveillance excessive ou mal encadrée peut non seulement être illégale, mais aussi nuire à la relation de confiance entre employeur et salariés.
🟠 Conclusion
Si un employeur peut surveiller ses salariés pour des raisons légitimes (sécurité, prévention des fraudes, contrôle du temps de travail), il doit veiller à ce que ces dispositifs soient proportionnés, transparents et sécurisés. L’information des employés, la réalisation d’une AIPD et la mise en place de mesures de protection des données sont des obligations incontournables pour éviter des sanctions de la CNIL et assurer une conformité au RGPD. À défaut, les entreprises s’exposent à des amendes conséquentes et à une remise en cause de leurs pratiques par les autorités.
Pour en savoir plus / sources : |
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.
Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur …
Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.