Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.
🟠 1 – Le principe de proportionnalité : un élément clé du contrôle de la CNIL
Le 19 décembre 2024, la CNIL a infligé une amende de 40.000 euros à une société pour avoir mis en place un dispositif de surveillance jugé excessif. L’entreprise utilisait un logiciel permettant de comptabiliser les périodes d’« inactivité » supposée de ses salariés et réalisait des captures d’écran régulières de leurs ordinateurs. De plus, les employés étaient filmés en permanence, un dispositif que la CNIL a considéré comme disproportionné au regard des objectifs poursuivis.
Le principe de proportionnalité impose en effet que les moyens de surveillance mis en œuvre soient adaptés à la finalité recherchée et ne portent pas une atteinte excessive aux droits des salariés. Une surveillance intrusive et permanente, sans justification légitime, est donc contraire au RGPD.
🟠 2 – L’obligation d’information des salariés : un impératif du RGPD
Le RGPD exige que les employés soient informés de manière claire et transparente sur les finalités et modalités de leur surveillance. Dans cette affaire, la CNIL a relevé que l’information fournie aux salariés était insuffisante, en violation des articles 12 et 13 du RGPD. En particulier, l’entreprise ne disposait pas d’un document écrit attestant de l’information donnée aux employés.
L’obligation d’information permet aux salariés de comprendre comment leurs données personnelles sont traitées et de faire valoir leurs droits. En l’absence de cette communication, la surveillance mise en place devient illicite et expose l’employeur à des sanctions.
🟠 3 – L’AIPD et la sécurité des données : des obligations souvent négligées
Lorsqu’un dispositif de surveillance est susceptible d’engendrer un risque élevé pour les droits et libertés des salariés, l’employeur doit réaliser une Analyse d’Impact sur la Protection des Données (AIPD), conformément à l’article 35 du RGPD. Dans cette affaire, l’entreprise sanctionnée par la CNIL n’avait pas effectué cette analyse, ce qui a été considéré comme un manquement supplémentaire.
Par ailleurs, la CNIL a constaté un défaut de sécurité des données. L’accès aux informations issues du logiciel de surveillance se faisait via un compte administrateur partagé, empêchant une traçabilité fiable des accès et des actions effectuées. Ces mesures de sécurités insuffisantes constituent une violation de l’article 32 du RGPD, qui impose aux entreprises de garantir la sécurité des données traitées. En cas de cyberattaque ou d’accès non autorisé, l’absence de mesures de protection suffisantes peut avoir de lourdes conséquences.
🟠 4 – Des sanctions financières en cas de non-conformité
Cette décision de la CNIL rappelle que toute violation du RGPD expose les employeurs à des sanctions financières importantes, mais aussi à un risque lié à la réputation de l’entreprise. L’amende de 40.000 euros infligée à l’entreprise concernée illustre l’importance de respecter les principes de proportionnalité et de transparence. Une surveillance excessive ou mal encadrée peut non seulement être illégale, mais aussi nuire à la relation de confiance entre employeur et salariés.
🟠 Conclusion
Si un employeur peut surveiller ses salariés pour des raisons légitimes (sécurité, prévention des fraudes, contrôle du temps de travail), il doit veiller à ce que ces dispositifs soient proportionnés, transparents et sécurisés. L’information des employés, la réalisation d’une AIPD et la mise en place de mesures de protection des données sont des obligations incontournables pour éviter des sanctions de la CNIL et assurer une conformité au RGPD. À défaut, les entreprises s’exposent à des amendes conséquentes et à une remise en cause de leurs pratiques par les autorités.
Pour en savoir plus / sources : |
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.