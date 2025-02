HAAS Avocats, a French law firm, defends and protects national and international clients in the fields of French intellectual property, new information and communication technologies, data protection, e-commerce, e-marketing and business law.

Le 19 décembre 2024, la CNIL a sanctionné une société exerçant ses activités dans l'immobilier (société)1. Dans le cadre de la mise en place du télétravail, la société avait mis en place un logiciel « TIME DOCTOR » (logiciel) pour le suivi des activités des salariés2.

De plus, la société avait mis en place un dispositif vidéo de deux caméras afin de prévenir les atteintes aux biens.

Dans cette délibération, la CNIL met en exergue le fait que si l'employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis. Aussi, si l'employeur en a la possibilité et pour être conforme aux exigences du RGPD, il doit notamment recourir à des moyens moins intrusifs, de sorte que l'atteinte ne soit pas disproportionnée aux droits des salariés à la vie privée.

La CNIL sanctionne ladite société d'une amende de 40 000 euros compte tenu de la taille de la société et du faible nombre de personne concernées ainsi que la coopération de la société lors du contrôle 3. Comme quoi, coopérer avec la CNIL peut s'avérer payant !

Vidéosurveillance et logiciel de suivi : des moyens disproportionnés selon la CNIL

La CNIL rappelle dans un premier temps les fondements juridiques et principes juridiques permettant d'apprécier la proportionnalité du dispositif et du logiciel.

Concernant le dispositif de vidéosurveillance, la CNIL précise que le dispositif est disproportionné du fait de la surveillance en continu des salariés sur leur poste de travail y compris pendant leur temps de pause.

y compris pendant leur temps de pause. Concernant le logiciel, la rapporteure indique que le « logiciel était utilisé à des fins de mesure du temps de travail du fait que ce dernier « comptabilisait les temps d'inactivité des salariés à travers leurs mouvements de souris et leur activité sur leurs claviers» et qu'il visait également à mesurer la productivité des salariés « en procédant à des captures régulières de leurs écrans d'ordinateur4. Fait à souligner, la CNIL souligne qu'il « Il résulte de ce qui précède que le temps de travail effectif ne se limite pas à la réalisation d'une action continue, circonscrite à une activité de frappe sur un clavier ou un mouvement de souris. ».

Devant une telle surveillance (peut-on dire flicage ?) et malgré le fait que la société explique qu'elle n'a pas utilisé ce logiciel longtemps et qu'elle avait procédé immédiatement à la suppression des contenus, c'est sans surprise que la CNIL estime que ces traitements étaient disproportionnés par rapport aux finalités poursuivies.

Non respect de l'information des salariés : un manquement au RGPD selon la CNIL

Après de longs développements, et après avoir indiqué que « (…)en l'absence de conservation par la société d'une trace écrite de l'information orale fournie, le caractère complet de l'information n'est pas établi (…)5» la CNIL considère que l'information fournie aux salariés relative au dispositif de vidéosurveillance n'était pas conforme aux dispositions des articles 12 et 13 du RGPD.

Ce point rappelle bien entendu l'importance de l'accountability6 dans la sécurisation juridique des entreprises.

La CNIL sanctionne l'absence d'AIPD et de sécurité des données

Cerise sur le gâteau, après avoir analysé, entre autres, les modalités de partage du compte administrateur du logiciel, la CNIL considère que la société a méconnu les dispositions de l'article 32 du RGPD.

En ne réalisant pas une AIPD préalablement à la mise en œuvre de ce traitement, la société a commis un manquement à l'article 35 du RGPD.

Cette affaire illustre parfaitement l'importance du respect des principes de proportionnalité et de transparence dans la mise en place de dispositifs de surveillance en entreprise. Si l'employeur dispose d'un droit de contrôle sur l'activité de ses salariés, celui-ci doit s'exercer dans le cadre strict défini par le RGPD et la CNIL. L'usage en entreprise de technologies intrusives, comme les logiciels de surveillance poussée ou la vidéosurveillance continue, expose les entreprises à des sanctions lourdes si leur déploiement n'est pas suffisamment encadré.

Footnotes

1. L'enquête de la CNIL a débuté en 2022.

2. Deux versions du logiciel ont été installées, une dite « interactive » (avec accord verbal du salarié) et une dite « silencieuse ».

3. « Néanmoins, la formation restreinte considère que, compte tenu du nombre limité des personnes concernées eu égard à la taille réduite de la société, laquelle a de surcroît indiqué en cours d'instruction avoir, depuis les opérations de contrôle, réduit sa masse salariale, et du retrait immédiat du logiciel par cette dernière lors de ces contrôles, une publicité de la décision sans que la société y soit nommément identifiée, est suffisante à cette fin. »

4. « La rapporteur relève qu'il ressort des indications données par la société lors des opérations de contrôle que le logiciel TIME DOCTOR a été mis en œuvre par cette dernière non seulement à des fins de mesure du temps de travail des salariés, mais également à des fins d'évaluation de leur productivité.(…) « Ainsi, d'une part, ce logiciel comptabilisait les temps d'inactivité des salariés à travers leurs mouvements de souris et leur activité sur leurs claviers (" idle minutes "). D'autre part, il visait également à mesurer la productivité des salariés en procédant à des captures régulières de leurs écrans d'ordinateur (" screencast ") et en comptabilisant leur temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société. »

5. « La formation restreinte considère que la société n'a pas satisfait à son obligation de fournir une information complète, transparente et aisément accessible aux personnes concernées en méconnaissance des articles 12 et 13 du RGPD »

6. Article 5 du RGPD

