CNIL | SAN-2024-021 | 19 décembre 2024 | Affaire [...] | FAQ

1. LA MISE EN PLACE D’UN LOGICIEL COMME TIME DOCTOR EST‑ELLE COMPATIBLE AVEC LE RGPD ?

L’affaire SAN‑2024‑021 montre qu’un logiciel de suivi de l’activité des salariés tel que TIME DOCTOR, lorsqu’il est paramétré pour mesurer nominativement les temps d’« inactivité », déclencher des retenues sur salaire et réaliser des captures d’écran régulières toutes les 3 à 15 minutes, n’est pas compatible avec le RGPD. La formation restreinte a considéré que ce dispositif, tel que paramétré, constitue « une surveillance particulièrement intrusive » et « porte une atteinte disproportionnée à la vie privée, aux intérêts et aux droits fondamentaux des salariés ».

Même si la finalité annoncée (mesure du temps de travail, suivi de la productivité) est légitime en soi, la base légale (intérêt légitime de l’employeur) ne peut être invoquée lorsque les moyens techniques dépassent ce qui est strictement nécessaire et captent des données sans lien direct avec la finalité poursuivie. La CNIL a conclu en l’espèce que les traitements ne reposaient sur aucune base légale valable au sens de l’article 6 du RGPD.

---

2. UN EMPLOYEUR PEUT‑IL UTILISER UN TEL LOGICIEL POUR RETENIR DES SOMMES SUR LE SALAIRE DES SALARIÉS ?

Non, pas dans les conditions constatées dans cette affaire. Le logiciel TIME DOCTOR avait été paramétré de telle sorte que les périodes d’absence de frappe clavier ou de mouvement de souris, paramétrées entre 3 et 15 minutes, étaient automatiquement comptabilisées comme des temps d’« inactivité ». Ces temps, à défaut de justification ou de rattrapage, « pouvaient faire l’objet d’une retenue sur salaire par la société ».

La formation restreinte a relevé que les périodes sans utilisation de l’ordinateur peuvent pourtant correspondre à du temps de travail effectif (réunions téléphoniques, appels clients, tâches ne nécessitant pas l’usage immédiat de l’ordinateur). Elle a donc jugé que le dispositif ne permettait pas un décompte fiable des heures de travail et qu’il portait une atteinte disproportionnée aux droits des salariés.

Au regard du RGPD, l’employeur ne peut fonder des retenues de rémunération sur des données issues d’un dispositif de suivi dont la fiabilité est contestable et qui viole les principes de minimisation et de proportionnalité.

---

3. QUELS TYPES DE DONNÉES UN LOGICIEL DE SUIVI D’ACTIVITÉ PEUT‑IL LÉGALEMENT COLLECTER ?

En principe, un employeur peut collecter des données relatives à l’organisation du travail (horaires de connexion/déconnexion, temps de présence déclarés, indicateurs agrégés de performance) dès lors que ces données sont limitées à ce qui est nécessaire, clairement expliquées aux salariés et encadrées par des mesures de sécurité appropriées.

En revanche, la CNIL considère comme problématiques les dispositifs qui collectent :

—-des captures d’écran intégrales et régulières (screencast), susceptibles de révéler des éléments d’ordre privé (courriels personnels, messageries, mots de passe) ;
—-des flux continus de données permettant une reconstitution quasi exhaustive du comportement du salarié minute par minute ;
—-des indicateurs inférés (temps d’« inactivité ») directement utilisés pour sanctionner financièrement le salarié.

Tout paramétrage qui aboutit à une surveillance permanente ou quasi permanente, individualisée et nominative, est susceptible d’être jugé disproportionné au sens de l’article 5, §1, c) (minimisation) et de l’article 6 (base légale) du RGPD.

---

4. UN EMPLOYEUR PEUT‑IL FILMER EN CONTINU SES SALARIÉS SUR LEUR LIEU DE TRAVAIL ?

La délibération SAN‑2024‑021 rappelle que la vidéosurveillance des salariés doit être strictement proportionnée. Dans cette affaire, le système mis en place comportait deux caméras qui « captaient en continu les images et le son des salariés présents dans les locaux, qui leur servaient à la fois de lieu de travail et d’espace de pause, dans un objectif de prévention des vols ».

La CNIL a estimé que « la société ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo » et que de tels agissements portaient « une atteinte excessive aux droits des salariés », en violation du principe de minimisation de l’article 5, §1, c) du RGPD.

Filmer en continu des salariés sur leur poste de travail, et a fortiori dans des espaces de pause ou de détente, avec captation du son, est donc en principe interdit, sauf circonstances exceptionnelles dûment démontrées (par exemple, risques avérés de sécurité dans une zone spécifique, impossibilité de recourir à des moyens moins intrusifs).

---

5. COMMENT LES SALARIÉS DOIVENT‑ILS ÊTRE INFORMÉS DE L’EXISTENCE D’UN SYSTÈME DE SURVEILLANCE ?

Les articles 12 et 13 du RGPD imposent que les salariés soient informés, de manière claire, compréhensible et accessible, des traitements mis en œuvre par leur employeur, en particulier lorsqu’il s’agit de dispositifs de surveillance. Cette information doit être fournie par écrit, au moment de la collecte des données ou avant la mise en œuvre du dispositif.

Dans l’affaire SAN‑2024‑021, la CNIL a constaté que « ni les documents d’information internes à la société, ni les contrats de travail et les contrats d’alternance des salariés, ne permettaient une information écrite suffisante concernant les traitements mis en œuvre par le logiciel de surveillance des postes de travail ». L’employeur faisait valoir une information orale, mais la formation restreinte a jugé qu’en l’absence de trace écrite, le caractère complet de cette information n’était pas établi et que, en tout état de cause, une information orale ne remplit pas les conditions d’accessibilité dans le temps prévues par l’article 12.

En pratique, l’information doit donc figurer dans un document remis au salarié (contrat de travail, charte informatique, note d’information) et être aisément consultable à tout moment (intranet, affichage, etc.).

---

6. L’EMPLOYEUR PEUT‑IL PARTAGER UN COMPTE ADMINISTRATEUR POUR ACCÉDER AUX DONNÉES DE SURVEILLANCE ?

Non. L’article 32 du RGPD impose de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Dans l’affaire SAN‑2024‑021, la CNIL a relevé que « la société permettait l’accès partagé à un compte administrateur permettant de consulter les données issues du logiciel de surveillance des postes de travail ».

La formation restreinte a rappelé que « seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système, notamment lors d’investigation en cas d’incident de sécurité ou de violation de données » et que cette exigence est « d’autant plus importante lorsqu’il s’agit de comptes administrateur ».

En conséquence, un compte administrateur partagé est incompatible avec les exigences de l’article 32 du RGPD, car il empêche d’identifier précisément qui a consulté quelles données, à quel moment, et avec quelles finalités.

---

7. DANS QUELS CAS UNE ANALYSE D’IMPACT (AIPD) EST‑ELLE OBLIGATOIRE POUR UN DISPOSITIF DE SURVEILLANCE DES SALARIÉS ?

L’article 35 du RGPD prévoit qu’une analyse d’impact relative à la protection des données (AIPD) doit être réalisée lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les lignes directrices du CEPD et la liste publiée par la CNIL incluent notamment :

—-la surveillance systématique de personnes dans un contexte de travail ;
—-le traitement à grande échelle de données relatives à des personnes vulnérables (les travailleurs sont considérés comme tels en raison du lien de subordination).

Dans l’affaire SAN‑2024‑021, la CNIL souligne que le logiciel de surveillance des postes de travail « permettait, selon les paramètres définis par la société, d’effectuer une surveillance systématique de ses salariés et […] était, dès lors, susceptible d’engendrer un risque élevé pour leurs droits et libertés ». La société aurait donc dû réaliser une AIPD avant de mettre en œuvre ce traitement ; le fait de ne pas l’avoir fait constitue un manquement à l’article 35 du RGPD.

---

8. QUE DOIVENT FAIRE LES RESPONSABLES DE TRAITEMENT QUI UTILISENT DÉJÀ UN OUTIL DE SUIVI JUGÉ INTRUSIF ?

Les responsables de traitement qui utilisent un outil de suivi comparable à TIME DOCTOR doivent, à la lumière de cette décision, entreprendre sans délai un audit de leurs pratiques. Ils doivent notamment :

—-évaluer la nécessité et la proportionnalité de chaque fonctionnalité (mesure d’« inactivité », captures d’écran, enregistrement de flux détaillés d’activité) ;
—-désactiver ou reconfigurer les fonctionnalités manifestement disproportionnées (screencast régulier, seuils d’« inactivité » trop courts, usage des données à des fins disciplinaires ou de retenue de salaire) ;
—-mettre à jour l’information fournie aux salariés et, le cas échéant, réaliser une AIPD.

À défaut, ils s’exposent à des contrôles et à des sanctions analogues à celles prononcées dans l’affaire SAN‑2024‑021 : amende administrative, injonctions, et publication de la décision.

---

9. QUELS SONT LES RECOURS DONT DISPOSENT LES SALARIÉS EN CAS DE SURVEILLANCE JUGÉE ABUSIVE ?

Les salariés disposent de plusieurs voies de recours complémentaires :

—-exercer leurs droits d’accès, de rectification, d’effacement ou de limitation auprès de leur employeur, afin d’obtenir communication des données collectées et, le cas échéant, en demander la suppression ou la limitation ;
—-saisir le délégué à la protection des données (DPO) de l’entreprise, lorsque celui‑ci existe, pour signaler les pratiques qu’ils estiment contraires au RGPD ;
—-déposer une plainte auprès de la CNIL, sur le fondement de l’article 77 du RGPD, en décrivant précisément le dispositif et les atteintes subies ;
—-contester devant le conseil de prud’hommes les preuves recueillies via un dispositif de surveillance illicite, en en demandant l’exclusion des débats.

La décision SAN‑2024‑021, en caractérisant la surveillance excessive via TIME DOCTOR et la vidéosurveillance continue, fournit un précédent utile pour étayer de telles démarches.

---

10. LA TAILLE DE L’ENTREPRISE OU SA SITUATION FINANCIÈRE PEUVENT‑ELLES ATTÉNUER LA SANCTION ?

Oui, mais uniquement au stade de la détermination du montant de l’amende, non au stade de la qualification des manquements. Dans l’affaire SAN‑2024‑021, la CNIL a prononcé une amende de 40 000 euros, en indiquant que le montant avait été fixé « au regard des manquements retenus ainsi qu’en tenant compte de la situation financière de la société et de sa petite taille, pour retenir une amende dissuasive mais proportionnée ».

Elle a également décidé de ne pas nommer la société dans la délibération, « compte tenu de sa taille réduite et du retrait immédiat du logiciel lors du contrôle ». En revanche, la petite taille de l’entreprise n’a pas empêché la constatation de manquements graves au RGPD, ni la publication de la décision, précisément pour informer l’ensemble des employeurs et des salariés sur l’illicéité de tels dispositifs de surveillance.

---

 
 
 

---

POINTS ESSENTIELS

---

Une petite société immobilière a été sanctionnée de 40 000 € pour avoir soumis ses salariés à une double surveillance numérique particulièrement invasive : d’une part, un logiciel de suivi, TIME DOCTOR, installé en version « interactive » sur les ordinateurs personnels et en version « silencieuse » sur les postes fournis par l’employeur, paramétré pour comptabiliser comme temps d’« inactivité » toute absence de frappe clavier ou de mouvement de souris pendant 3 à 15 minutes, temps susceptibles de donner lieu à des retenues sur salaire, et pour réaliser des captures d’écran régulières de l’intégralité du poste de travail ; d’autre part, un dispositif de vidéosurveillance captant en continu l’image et le son dans des locaux servant à la fois de lieu de travail et d’espace de pause.

La formation restreinte de la CNIL retient une chaîne de manquements graves : violation du principe de minimisation (art. 5 §1 c RGPD) pour la captation permanente image + son, absence de base légale (art. 6 RGPD) pour des traitements qualifiés de « surveillance particulièrement intrusive » et jugés disproportionnés au regard de l’article L. 1121‑1 du code du travail, défaut d’information écrite des salariés (art. 12 et 13 RGPD) en l’absence de documentation accessible et traçable, insuffisances de sécurité (art. 32 RGPD) avec un compte administrateur partagé ne permettant pas la traçabilité des accès, et absence d’analyse d’impact (art. 35 RGPD) alors que le dispositif réalise une surveillance systématique des travailleurs ;

dans le droit fil de la décision SAN‑2023‑021 sur le suivi des préparateurs logistiques, la CNIL confirme qu’aucun intérêt légitime ne peut justifier des outils de contrôle qui transforment le télétravail en télésurveillance permanente, et fait de cette affaire un cas d’école pour l’ensemble des employeurs et éditeurs d’outils de monitoring des salariés.