En décembre 2024, la Commission Nationale de l'Informatique et des Libertés (CNIL) a rendu une décision relative à la surveillance des salariés par les employeurs (délibération SAN-2024-021). Elle permet de mettre en lumière les missions de la CNIL dans la protection des données personnelles. En parallèle, le rôle du CSE est essentiel pour encadrer la mise en place de dispositifs de surveillance.
Article extrait de Décodage n° 40 | Avril 2025
La CNIL peut sanctionner un employeur pour des pratiques de surveillance disproportionnée des salariés
La décision de la CNIL concerne une agence immobilière qui a mis en place un logiciel de mesure de l'activité et de la productivité de ses salariés en télétravail. Ce logiciel, installé sur les ordinateurs des salariés non cadres des départements marketing/communication, chasse, gestion locative et tech, permettait aux responsables de consulter les données collectées via une application web.
Le logiciel comptabilisait les temps d'inactivité des salariés à travers leurs mouvements de souris et leur activité sur leurs claviers. La société effectuait alors un décompte journalier des heures de travail considérées comme effectives et celles jugées comme ne l'étant pas, ces dernières étant identifiées au travers de ces périodes d'absences de frappe sur un clavier ou de mouvement de la souris. Le logiciel permettait ainsi d'analyser toutes les actions – ou absences d'actions – effectuées par les salariés sur leur ordinateur et d'en conclure que certaines périodes correspondaient à du temps travaillé, et d'autres non. Les temps "d'inactivité" comptabilisés, que la société considérait comme non travaillés, à défaut d'être justifiés par le salarié ou rattrapés, pouvaient faire l'objet d'une retenue sur salaire.
D'autre part, le logiciel visait à mesurer la productivité des salariés en capturant régulièrement leurs écrans d'ordinateur. La direction paramétrait la fréquence des captures, entre 3 et 15 minutes, et comptabilisait le temps passé sur certains sites web qu'elle définissait comme productifs ou non.
Par ailleurs, la société a également installé un dispositif de vidéosurveillance pour prévenir les vols.
Une délégation de la CNIL a effectué un contrôle dans les locaux de cet établissement pour vérifier le respect des lois sur la protection des données personnelles, à la suite de plaintes. À l'issue de ce contrôle, la formation restreinte de la CNIL (organe de la CNIL qui prononce les sanctions) a relevé plusieurs manquements.
Concernant le dispositif de vidéosurveillance, elle a constaté que celui-ci captait en continu les images et le son des salariés, y compris pendant leurs pauses, ce qui a été jugé excessif et disproportionné par rapport à la finalité de prévention des vols.
La société n'a pas pu justifier de circonstances exceptionnelles pour une telle surveillance permanente.
La CNIL a donc considéré qu'un tel dispositif porte une atteinte excessive aux droits des salariés et est donc contraire au principe de minimisation des données (les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées).
En ce qui concerne le logiciel, la CNIL a noté que ce dernier était utilisé non seulement pour mesurer le temps de travail des salariés, mais aussi pour évaluer leur productivité.
Elle considère que ce dispositif ne constitue pas un système fiable de décompte des heures de travail car des périodes pendant lesquelles le salarié n'utilise pas son matériel informatique peuvent également correspondre à du temps de travail effectif au cours duquel il peut effectuer diverses tâches, dans le cadre de ses missions comme, par exemple, des réunions, du travail manuel à la demande d'un responsable, ou encore des appels téléphoniques.
La CNIL considère également que le logiciel constitue une surveillance particulièrement intrusive des salariés car sa mise en œuvre peut conduire à la captation d'éléments d'ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels).
Ce dispositif porte dès lors une atteinte disproportionnée aux droits des salariés, notamment à leur vie privée, et ne repose sur aucune base juridique.
En outre, la CNIL a relevé :
- Un manquement à l'obligation d'information des personnes concernées: la société a affirmé que les salariés étaient informés oralement du fonctionnement du logiciel et pouvaient refuser son utilisation sans conséquence négative mais la CNIL a estimé que cette information était insuffisante et incomplète ;
- Un manquement à l'obligation d'assurer la sécurité des données: les données issues du logiciel étaient accessibles via un compte administrateur partagé entre plusieurs responsables. Pour la CNIL, afin d'assurer la sécurité des données, il aurait été nécessaire de mettre en place des comptes administrateurs individuels ou, à défaut, des mesures complémentaires ;
- Un manquement à l'obligation de réaliser une analyse d'impact relative à la protection des données – AIPD : dans certaines situations, il est obligatoire d'élaborer une analyse d'impact en cas de traitements de données personnelles susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
En conséquence, la société a été sanctionnée par une amende administrative d'un montant de 40 000 €. La CNIL a également décidé de rendre la décision publique sans nommer la société car elle a une taille réduite et a immédiatement retiré le logiciel lors du contrôle.
Qu'est-ce que le Règlement Général pour la Protection des Données (RGPD) ?Le RGPD s'est imposé depuis mai 2018, à tous les organismes ou entreprises publics ou privés, situés sur le territoire de l'Union européenne. Ce texte est relatif à la protection des données personnelles des personnes physiques et à leur libre circulation. L'objectif du RGPD est de responsabiliser les organismes ou entreprises publics ou privés qui manipulent des données à caractère personnel afin d'éviter les risques de fuite et toutes les conséquences qui peuvent en découler (usurpation d'identité, perte de confiance en l'organisme, etc.). Le RGPD définit les données à caractère personnel comme toute information permettant d'identifier une personne physique par des éléments comme un nom, un numéro d'immatriculation, un numéro de téléphone, un numéro de carte bancaire, des éléments spécifiques à l'identité sociale, génétique, etc. Le RGPD s'applique aux traitements de données à caractère personnel. Le traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement ou destruction). Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés. Il peut alors s’agir de tous documents sur support papier contenus ou appelés à figurer dans un fichier. En appliquant le RGPD, les organismes ou entreprises publics ou privés doivent respecter un certain nombre de principes afin d'assurer la protection des données des personnes concernées :
Les personnes concernées par le traitement de données personnelles détiennent un certain nombre de droits (recevoir des informations sur le traitement de leurs données à caractère personnel, obtenir l'accès aux données à caractère personnel détenues à leur sujet, demander que leurs données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées, etc.). Ainsi, les personnes concernées par le traitement des données personnelles de l'organisme ou de l'entreprise peuvent leur opposer leurs droits. |
Les missions de la CNIL
La CNIL veille au respect des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires français et européens.
À ce titre, elle dispose d'un pouvoir d'enquête et de contrôle qui peut, notamment, être enclenché à la suite d'une plainte ou d'un signalement.
En cas de manquements avérés, la CNIL dispose d'un pouvoir de sanction et peut prendre des mesures correctrices telles que des rappels à l'ordre, des mises en demeure ou des sanctions financières.
Les violations du RGPD peuvent être sanctionnées par une amende administrative allant jusqu'à 20 millions d'euros ou, pour une entreprise, 4 % du chiffre d'affaires annuel mondial de l'exercice précédent.
La CNIL peut décider de rendre publique la décision qu'elle adopte au regard de la gravité des manquements et afin d'informer toute personne soumise aux dispositifs litigieux. Elle peut également ordonner que la décision soit insérée dans des publications, journaux et supports qu'elle désigne, aux frais des organismes sanctionnés.
En outre, la CNIL conseille et informe les personnes et organismes qui effectuent du traitement de données personnelles.
Elle établit et publie des lignes directrices, recommandations et référentiels pour faciliter la mise en conformité des traitements de données personnelles avec les textes européens et nationaux. Elle aide aussi à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants.
Les implications en Droit du travail de la surveillance disproportionnée des salariés
Si une telle affaire était portée devant le juge judiciaire. Il pourrait estimer que la mesure du temps de travail à travers les mouvements de souris et l'activité sur les claviers ne respecte pas les exigences légales en matière de décompte des heures de travail car des périodes sans utilisation du matériel informatique peuvent correspondre à du temps de travail effectif. Il pourrait alors se référer à l'article L. 3121-1 du Code du travail qui définit le temps de travail effectif comme "le temps pendant lequel le salarié est à la disposition de l'employeur et se conforme à ses directives sans pouvoir vaquer librement à des occupations personnelles".
Le juge pourrait également estimer que la captation continue des images et du son, ainsi que la capture régulière des écrans d'ordinateur, porte atteinte à la vie privée des salariés, au regard de l'article 9 du Code civil. En effet, la mise en œuvre d'un tel dispositif peut conduire à la captation d'éléments d'ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels). Il pourrait alors juger que ces pratiques sont disproportionnées et non justifiées par la nature de la tâche à accomplir, en violation de l'article L. 1121-1 du Code du travail.
Par ailleurs, dans cette affaire, l'employeur procédait à des retenues sur salaire en fonction des périodes d'inactivité des salariés, jugées comme non travaillées. Le juge judiciaire pourrait considérer ces retenues comme des sanctions pécuniaires déguisées, au regard de l'article L. 1331-2 du Code du travail. Or de telles sanctions sont interdites.
Les salariés concernés par un dispositif de contrôle de leur activité doivent être préalablement informés de leur mise en place (article L. 1222-4 du Code du travail). Ce qui n'a pas été respecté pour le système de vidéosurveillance.
Aucune information écrite ni orale n'a été réalisée auprès des salariés relativement au dispositif de vidéosurveillance. L'unique signalétique affichée consistait en un panonceau présent sur la porte de service, sur lequel figurait un pictogramme de caméra, ainsi que la mention "espace sous vidéosurveillance".
L'employeur doit également porter à leur connaissance un certain nombre d'informations relatives à la mise en place d'un dispositif de surveillance et de mesure du temps de travail collectant des données personnelles. Cette exigence résulte du RGPD.
Le rôle du CSE en cas de contrôle de l'activité des salariés par l'employeur
Nous ne savons pas si, dans le cas présent, l'entreprise dispose de représentants du personnel. En tout état de cause, lorsque l'employeur décide de surveiller l'activité de ses salariés par des caméras de vidéosurveillance et des logiciels de mesure du temps de travail, il doit en informer et consulter le CSE.
Selon l'article L. 2312-38 du Code du travail, le CSE doit être informé et consulté avant toute décision de mise en œuvre dans l'entreprise, sur les moyens ou techniques permettant un contrôle de l'activité des salariés.
