Surveillance des salariés : jusqu’où un employeur peut-il aller sans violer le RGPD ?

Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.

🟠 1 – Le principe de proportionnalité : un élément clé du contrôle de la CNIL   

Le 19 décembre 2024, la CNIL a infligé une amende de 40.000 euros à une société pour avoir mis en place un dispositif de surveillance jugé excessif. L’entreprise utilisait un logiciel permettant de comptabiliser les périodes d’« inactivité » supposée de ses salariés et réalisait des captures d’écran régulières de leurs ordinateurs. De plus, les employés étaient filmés en permanence, un dispositif que la CNIL a considéré comme disproportionné au regard des objectifs poursuivis.

Le principe de proportionnalité impose en effet que les moyens de surveillance mis en œuvre soient adaptés à la finalité recherchée et ne portent pas une atteinte excessive aux droits des salariés. Une surveillance intrusive et permanente, sans justification légitime, est donc contraire au RGPD.

🟠 2 – L’obligation d’information des salariés : un impératif du RGPD

Le RGPD exige que les employés soient informés de manière claire et transparente sur les finalités et modalités de leur surveillance. Dans cette affaire, la CNIL a relevé que l’information fournie aux salariés était insuffisante, en violation des articles 12 et 13 du RGPD. En particulier, l’entreprise ne disposait pas d’un document écrit attestant de l’information donnée aux employés.

L’obligation d’information permet aux salariés de comprendre comment leurs données personnelles sont traitées et de faire valoir leurs droits. En l’absence de cette communication, la surveillance mise en place devient illicite et expose l’employeur à des sanctions.

🟠 3 – L’AIPD et la sécurité des données : des obligations souvent négligées  

Lorsqu’un dispositif de surveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés, l’employeur doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD), conformément à l’article 35 du RGPD. Dans cette affaire, l’entreprise sanctionnée par la CNIL n’avait pas effectué cette analyse, ce qui a été considéré comme un manquement supplémentaire.

Par ailleurs, la CNIL a constaté un défaut de sécurité des données. L’accès aux informations issues du logiciel de surveillance se faisait via un compte administrateur partagé, empêchant une traçabilité fiable des accès et des actions effectuées. Ces mesures de sécurités insuffisantes constituent une violation de l’article 32 du RGPD, qui impose aux entreprises de garantir la sécurité des données traitées. En cas de cyberattaque ou d’accès non autorisé, l’absence de mesures de protection suffisantes peut avoir de lourdes conséquences.

🟠 4 – Des sanctions financières en cas de non-conformité    

Cette décision de la CNIL rappelle que toute violation du RGPD expose les employeurs à des sanctions financières importantes, mais aussi à un risque lié à la réputation de l’entreprise. L’amende de 40.000 euros infligée à l’entreprise concernée illustre l’importance de respecter les principes de proportionnalité et de transparence. Une surveillance excessive ou mal encadrée peut non seulement être illégale, mais aussi nuire à la relation de confiance entre employeur et salariés.

🟠 Conclusion

Si un employeur peut surveiller ses salariés pour des raisons légitimes (sécurité, prévention des fraudes, contrôle du temps de travail), il doit veiller à ce que ces dispositifs soient proportionnés, transparents et sécurisés. L’information des employés, la réalisation d’une AIPD et la mise en place de mesures de protection des données sont des obligations incontournables pour éviter des sanctions de la CNIL et assurer une conformité au RGPD. À défaut, les entreprises s’exposent à des amendes conséquentes et à une remise en cause de leurs pratiques par les autorités.

 

Pour en savoir plus / sources :

https://www.cnil.fr/fr/surveillance-excessive-des-salaries-sanction-de-40-000-euros-entreprise-secteur-immobilier

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051120331

https://info.haas-avocats.com/droit-digital/un-employeur-peut-il-filmer-en-continu-ses-salaries-sans-violer-le-rgpd

 

Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).

L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.