CNIL | SAN-2024-021 | 19 décembre 2024 | Affaire [...] | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT (EMPLOYEURS)

---

A. RENONCER À TOUTE SURVEILLANCE SYSTÉMATIQUE ET PERMANENTE DES SALARIÉS

 

La délibération SAN-2024-021 constitue un avertissement sans équivoque : le déploiement d’un logiciel de suivi de l’activité des salariés en mode « silencieux », avec paramétrage de mesures d’inactivité nominatives et captures d’écran régulières, est incompatible avec le RGPD. Il ne s’agit pas d’une question de forme ou de procédure, mais d’une incompatibilité de fond avec les principes de minimisation des données (art. 5, §1, c) RGPD) et de licéité du traitement (art. 6 RGPD), lus à la lumière de l’article L. 1121-1 du code du travail.

L’employeur qui souhaite s’assurer du bon accomplissement du travail à distance dispose d’outils légitimes : la fixation d’objectifs mesurables et documentés, le recours à des réunions d’équipe régulières, la mise en place de comptes-rendus d’activité, ou encore l’utilisation d’outils collaboratifs dont les journaux d’activité restent accessibles dans un cadre proportionné. En revanche, toute surveillance technique ayant pour objet ou pour effet de mesurer le comportement du salarié en continu, minute par minute, au moyen de captures d’écran ou de comptage de frappes clavier, est présumée disproportionnée et dépourvue de base légale valide. La formation restreinte a en outre souligné que le comptage des temps sans interaction avec l’ordinateur ne constitue pas un indicateur fiable du temps de travail effectif, ce qui prive le dispositif de toute légitimité même sur le terrain de la finalité annoncée.

---

B. ENCADRER STRICTEMENT LA VIDÉOSURVEILLANCE DANS LES LOCAUX PROFESSIONNELS

 

La mise en place d’un système de vidéosurveillance dans les locaux de l’entreprise est soumise à des conditions strictes, rappelées par la délibération. La finalité doit être précise, proportionnée et documentée. La captation du son est présumée excessive sauf justification exceptionnelle dûment établie. Les espaces de pause, détente ou restauration ne sauraient être filmés sans violation caractérisée du droit des salariés à la vie privée. L’employeur doit également s’assurer que les images ne sont pas accessibles en temps réel à tous les encadrants sans restriction d’habilitation, et que les durées de conservation sont strictement limitées à ce qui est nécessaire à la finalité poursuivie.

En pratique : avant tout déploiement d’un système de vidéosurveillance, l’employeur doit documenter la nécessité du dispositif, vérifier qu’aucun moyen moins intrusif ne permettrait d’atteindre le même objectif, informer les instances représentatives du personnel (art. L. 2312-38 du code du travail), informer individuellement les salariés, et inscrire le traitement dans le registre des activités de traitement ainsi que dans une AIPD si le traitement est susceptible d’engendrer un risque élevé.

---

C. METTRE EN PLACE UNE INFORMATION CLAIRE ET ACCESSIBLE DES SALARIÉS

 

L’article 13 du RGPD impose une information complète au moment de la collecte des données. Une information orale, aussi complète soit-elle dans son contenu, ne saurait satisfaire aux exigences du RGPD : elle ne permet pas d’assurer l’accessibilité dans le temps de l’information requise par l’article 12, et ne peut être prouvée en cas de litige. L’information doit être remise par écrit, conservée, et intégrée aux contrats de travail ou à un document d’information formellement joint à ceux-ci, remis contre signature ou accusé de réception.

Le contenu de l’information doit couvrir : l’identité et les coordonnées du responsable de traitement, les finalités et bases légales de chaque traitement, les destinataires des données, les durées de conservation, les droits des personnes concernées et les modalités de leur exercice, ainsi que l’existence d’éventuels transferts hors de l’Union européenne. Lorsque le traitement met en œuvre des outils de surveillance des postes de travail, l’information doit décrire précisément les catégories de données collectées (captures d’écran, temps d’inactivité, classification des applications utilisées, etc.), la fréquence de collecte, et les personnes ayant accès à ces données.

---

D. INDIVIDUALISER LES ACCÈS AUX DONNÉES DE SURVEILLANCE

 

L’utilisation d’un compte administrateur partagé pour consulter les données issues d’un logiciel de surveillance des salariés constitue une violation de l’article 32 du RGPD. Chaque accès aux données personnelles doit être traçable et imputable à une personne physique identifiée. Cette règle est d’autant plus impérieuse pour les comptes administrateurs, qui disposent de droits étendus sur l’ensemble des données du système. L’employeur doit donc :

—-attribuer des identifiants et mots de passe individuels à chaque utilisateur autorisé à accéder aux données de surveillance ;
—-définir des habilitations précises selon le principe du moindre privilège (accès limité aux seules données nécessaires à la mission de chaque utilisateur) ;
—-tenir et conserver un journal des accès permettant de reconstituer, en cas d’incident ou de violation, l’historique des opérations réalisées sur le système.

---

E. RÉALISER UNE AIPD AVANT TOUT DÉPLOIEMENT D’OUTIL DE SURVEILLANCE

 

Tout traitement impliquant une surveillance systématique des salariés — qu’il s’agisse d’un logiciel de suivi d’activité, d’un système de vidéosurveillance ou de tout autre dispositif de monitoring — entre dans les catégories de traitements pour lesquels une AIPD est obligatoire au titre de l’article 35 du RGPD, tel qu’interprété par les lignes directrices du Comité européen de la protection des données (CEPD) et les listes établies par la CNIL. L’AIPD doit être réalisée avant le déploiement du traitement, ce qui implique d’en documenter les risques, d’identifier les mesures permettant de les atténuer, et le cas échéant de consulter la CNIL si les risques résiduels demeurent élevés.

Une AIPD correctement conduite aurait, en l’espèce, permis à la société d’identifier ab initio le caractère disproportionné du paramétrage retenu pour le logiciel TIME DOCTOR, et d’y renoncer ou de le reconfigurer avant tout déploiement. L’absence d’AIPD n’est donc pas seulement un manquement autonome : elle est le symptôme d’une absence de réflexion préalable sur les droits et libertés des personnes, qui aggrave l’ensemble des autres manquements.

---

F. CONSULTER ET INFORMER LE CSE AVANT TOUT DÉPLOIEMENT

 

Indépendamment des obligations découlant du RGPD, l’article L. 2312-38 du code du travail impose à l’employeur de consulter le comité social et économique (CSE) préalablement à la décision de mise en œuvre dans l’entreprise de moyens ou de techniques permettant un contrôle de l’activité des salariés. Cette consultation doit être réelle et effective, et non une simple formalité accomplie a posteriori. Le non-respect de cette obligation est constitutif d’une entrave aux prérogatives du CSE et expose l’employeur à des sanctions pénales, en sus des sanctions administratives prononcées par la CNIL.

---

CONSEILS AUX PERSONNES CONCERNÉES (SALARIÉS)

---

A. IDENTIFIER ET EXERCER SES DROITS EN CAS DE SURVEILLANCE NUMÉRIQUE AU TRAVAIL

 

Les salariés dont les données personnelles font l’objet d’un traitement dans le cadre de leur activité professionnelle — y compris via un logiciel de suivi d’activité ou un système de vidéosurveillance — bénéficient de l’ensemble des droits reconnus par le RGPD : droit d’accès (art. 15), droit de rectification (art. 16), droit à l’effacement dans les conditions prévues par l’article 17, droit à la limitation du traitement (art. 18) et droit d’opposition (art. 21).

Le droit d’accès est d’une importance pratique primordiale : il permet au salarié de demander à son employeur une copie des données le concernant collectées via le logiciel de surveillance, les captures d’écran réalisées, les rapports d’inactivité établis à son nom, ainsi que les données issues du système de vidéosurveillance. Cette demande doit être adressée par écrit, de préférence par lettre recommandée avec accusé de réception ou par courriel conservé, en désignant précisément les catégories de données dont la communication est demandée. L’employeur dispose d’un délai d’un mois pour y répondre (art. 12, §3 RGPD), prorogeable d’un mois supplémentaire en cas de complexité.

---

B. DÉPOSER UNE PLAINTE AUPRÈS DE LA CNIL EN CAS D’ATTEINTE CARACTÉRISÉE

 

Tout salarié qui estime que les traitements mis en œuvre par son employeur méconnaissent les dispositions du RGPD peut adresser une plainte à la CNIL, sur le fondement de l’article 77 du RGPD. Cette plainte peut être déposée en ligne via le téléservice dédié accessible sur le site de la CNIL (cnil.fr), ou par courrier. La plainte doit décrire avec précision les traitements litigieux, les droits dont le salarié entend se prévaloir, et les démarches préalablement accomplies auprès de l’employeur.

Il convient de souligner que la plainte CNIL peut être déposée indépendamment de toute procédure prud’homale, et que les deux voies ne sont pas exclusives l’une de l’autre. La décision de la CNIL, si elle prononce une sanction, peut constituer un élément de preuve utile dans le cadre d’un contentieux judiciaire, notamment pour établir le caractère illicite d’une preuve obtenue via un dispositif de surveillance contraire au RGPD.

---

C. CONTESTER DEVANT LE JUGE PRUD’HOMAL LES PREUVES OBTENUES DE MANIÈRE DÉLOYALE

 

La jurisprudence de la Cour de cassation est claire : une preuve obtenue de manière déloyale, notamment via un dispositif de surveillance non déclaré, non soumis à consultation du CSE ou contraire au RGPD, est irrecevable en justice (Cass. soc., 2 avril 2014, n° 13-10.061 ; Cass. soc., 25 novembre 2020, n° 17-19.523). Si un employeur entend invoquer, dans le cadre d’une procédure disciplinaire ou de licenciement, des preuves obtenues grâce à un logiciel de surveillance non conforme aux exigences légales, le salarié est fondé à en contester la recevabilité devant le conseil de prud’hommes, en sollicitant leur rejet des débats.

La délibération SAN-2024-021 constitue à cet égard un précédent utile : elle documente les conditions dans lesquelles un logiciel du type TIME DOCTOR peut être qualifié d’outil de surveillance disproportionné, de nature à entacher d’illicéité toute preuve recueillie par son intermédiaire.

---

D. ALERTER LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) DE L’ENTREPRISE

 

Lorsque l’entreprise a désigné un délégué à la protection des données (DPO), le salarié peut l’alerter directement des pratiques de surveillance qui lui semblent contraires au RGPD. Le DPO est, en vertu de l’article 38, §4 du RGPD, « un point de contact pour les personnes concernées en ce qui concerne toutes les questions relatives au traitement de leurs données à caractère personnel ». Il est tenu à la confidentialité sur l’identité de ses interlocuteurs et ne peut faire l’objet d’aucune sanction pour l’exercice de ses missions. En l’absence de DPO, le salarié peut solliciter les représentants du personnel (CSE, délégués syndicaux) qui disposent eux-mêmes de prérogatives d’information et de consultation en matière de surveillance des salariés.

---

 
 
 

---

POINTS ESSENTIELS

---

Une petite société immobilière a été sanctionnée de 40 000 € pour avoir soumis ses salariés à une double surveillance numérique particulièrement invasive : d’une part, un logiciel de suivi, TIME DOCTOR, installé en version « interactive » sur les ordinateurs personnels et en version « silencieuse » sur les postes fournis par l’employeur, paramétré pour comptabiliser comme temps d’« inactivité » toute absence de frappe clavier ou de mouvement de souris pendant 3 à 15 minutes, temps susceptibles de donner lieu à des retenues sur salaire, et pour réaliser des captures d’écran régulières de l’intégralité du poste de travail ; d’autre part, un dispositif de vidéosurveillance captant en continu l’image et le son dans des locaux servant à la fois de lieu de travail et d’espace de pause.

La formation restreinte de la CNIL retient une chaîne de manquements graves : violation du principe de minimisation (art. 5 §1 c RGPD) pour la captation permanente image + son, absence de base légale (art. 6 RGPD) pour des traitements qualifiés de « surveillance particulièrement intrusive » et jugés disproportionnés au regard de l’article L. 1121‑1 du code du travail, défaut d’information écrite des salariés (art. 12 et 13 RGPD) en l’absence de documentation accessible et traçable, insuffisances de sécurité (art. 32 RGPD) avec un compte administrateur partagé ne permettant pas la traçabilité des accès, et absence d’analyse d’impact (art. 35 RGPD) alors que le dispositif réalise une surveillance systématique des travailleurs ;

dans le droit fil de la décision SAN‑2023‑021 sur le suivi des préparateurs logistiques, la CNIL confirme qu’aucun intérêt légitime ne peut justifier des outils de contrôle qui transforment le télétravail en télésurveillance permanente, et fait de cette affaire un cas d’école pour l’ensemble des employeurs et éditeurs d’outils de monitoring des salariés.