Un logiciel de suivi des salariés intrusif
L’entreprise avait déployé un logiciel destiné à mesurer le temps de travail et la productivité des salariés. Ce programme enregistrait des périodes d’« inactivité » supposée, en fonction de l’absence de mouvement de souris ou de frappe clavier, sur des durées allant de 3 à 15 minutes. Ces périodes pouvaient donner lieu à des retenues sur salaire, bien que des interruptions de saisie puissent correspondre à du travail effectif (réunions, appels téléphoniques, etc.).
En parallèle, le logiciel effectuait des captures d’écran régulières, paramétrées selon une fréquence choisie par l’entreprise, entre 3 et 15 minutes. Ce dispositif présentait un risque important de captation d’informations personnelles et confidentielles, ce qui a conduit la CNIL à estimer qu’il portait une atteinte excessive aux droits fondamentaux des salariés.
Une vidéosurveillance permanente dans les locaux
L’entreprise utilisait également un système de vidéosurveillance pour prévenir les vols. Toutefois, la CNIL a constaté que ce dispositif captait en continu l’image et le son des salariés, y compris dans les espaces de pause.
Ces enregistrements étaient accessibles en temps réel via une application mobile consultable par les encadrants. Or, la captation systématique et permanente des images et du son sans justification particulière constitue une atteinte disproportionnée à la vie privée des employés, contrevenant ainsi au principe de minimisation des données prévu par le RGPD.
Une information insuffisante des salariés
Les obligations d’information des salariés sur les dispositifs de surveillance n’étaient pas respectées. Aucune mention écrite détaillée n’apparaissait dans les documents internes, les contrats de travail ou les contrats d’alternance. L’entreprise invoquait une information orale, mais en l’absence de preuve tangible, la CNIL a considéré que cette approche ne remplissait pas les exigences légales des articles 12 et 13 du RGPD.
En matière de vidéosurveillance, la seule signalisation présente était un pictogramme de caméra accompagné d’une mention générique, insuffisante pour informer les salariés de manière claire et détaillée sur l’étendue du dispositif mis en place.
Des failles en matière de sécurité des données
L’accès aux informations collectées par le logiciel de surveillance se faisait via un compte administrateur partagé entre plusieurs utilisateurs. Une telle pratique empêchait d’identifier précisément qui accédait aux données et quelles actions étaient réalisées. Ce manque de traçabilité augmentait les risques en cas d’incident de sécurité ou de violation de données personnelles.
En vertu de l’article 32 du RGPD, les responsables du traitement doivent garantir un niveau de sécurité adapté aux risques. Dans ce cas, l’utilisation d’un compte unique compromettait la confidentialité et l’intégrité des informations collectées.
Absence d’analyse d’impact sur la protection des données
Avant de mettre en œuvre un dispositif de surveillance aussi intrusif, l’entreprise aurait dû réaliser une analyse d’impact relative à la protection des données (AIPD). Cette démarche est obligatoire dès lors qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
L’omission de cette analyse a constitué un manquement supplémentaire, aggravant la décision de sanction prise par la CNIL.
Le communiqué de la CNIL : urlr.me/uk6db5