CNIL | SAN-2024-021 | 19 décembre 2024 | Affaire [...] | SAN-2024-021-ESSENTIELS

Point 1 — Une surveillance permanente sans base légale valable

La formation restreinte a considéré que ni le logiciel TIME DOCTOR ni le dispositif de vidéosurveillance ne pouvaient reposer sur la base légale de l’intérêt légitime, faute de satisfaire au test de proportionnalité. Si la société disposait bien d’un intérêt légitime à mesurer le temps de travail, à évaluer la productivité de ses salariés et à prévenir les atteintes aux biens, cet intérêt ne saurait justifier des traitements portant une atteinte disproportionnée aux droits fondamentaux des personnes concernées. Le logiciel TIME DOCTOR opérait une surveillance automatisée permanente — enregistrant minute par minute les frappes clavier, les mouvements de souris et procédant à des captures d’écran à intervalles de 3 à 15 minutes — et la vidéosurveillance captait en continu les images et le son des salariés, y compris pendant leurs temps de pause. La Cour de cassation (Cass. Soc., 23 juin 2021, n° 19-13.856), le Conseil d’État (CE, 18 novembre 2015, Société PS Consulting, n° 371196) et la jurisprudence constante de la CNIL (SAN-2023-021 du 27 décembre 2023) convergent pour considérer qu’une telle surveillance permanente ne peut intervenir que dans des circonstances exceptionnelles que la société n’a pas su établir. La formation restreinte a en outre retenu que le télétravail ne constitue pas, en soi, une circonstance exceptionnelle justificative, dès lors que des moyens alternatifs moins intrusifs — badgeuse électronique, plannings prévisionnels, échanges réguliers avec l’encadrant, outils de gestion CRM déjà utilisés par la société — permettaient d’atteindre les mêmes finalités.

Point 2 — La vulnérabilité aggravée des personnes concernées

Un élément factuel a joué un rôle central dans l’appréciation portée par la formation restreinte sur la gravité des manquements et sur l’obligation de réaliser une AIPD : 60 % des salariés concernés par le logiciel TIME DOCTOR étaient des alternants, dépendants de leur employeur non seulement pour leur rémunération mais aussi pour la validation de leur diplôme. À ce titre, ils constituent des personnes vulnérables au sens des lignes directrices du Groupe de travail Article 29 sur l’AIPD (4 octobre 2017), c’est-à-dire des personnes placées dans un déséquilibre de pouvoirs tel qu’elles se trouvent dans l’incapacité pratique de s’opposer aisément au traitement de leurs données ou d’exercer leurs droits. Cette vulnérabilité structurelle, inhérente au lien de subordination juridique caractérisant la relation de travail et aggravée par la dépendance académique propre aux alternants, renforçait l’obligation pour la société d’adopter des dispositifs de suivi proportionnés et de réaliser une AIPD préalable. Elle a également pesé dans l’appréciation de la gravité des manquements au titre de l’article 83, paragraphe 2, a du RGPD. La délibération ancre ainsi fermement la notion de vulnérabilité des salariés dans le raisonnement de la formation restreinte, en faisant du lien de subordination un facteur d’aggravation systématique dans l’évaluation de la proportionnalité des dispositifs de surveillance.

Point 3 — L’information des salariés : l’insuffisance de l’oral et la lacunarité de l’écrit

La formation restreinte a constaté un manquement aux articles 12 et 13 du RGPD aussi bien pour le logiciel TIME DOCTOR que pour le dispositif de vidéosurveillance. La société avait mis en avant une information orale délivrée lors de la remise du matériel informatique ou lors de l’entrée dans l’entreprise, et des mentions figurant dans le règlement intérieur, la charte informatique et les contrats de travail. Ces deux modalités ont été rejetées. Sur l’information écrite : les documents communiqués omettaient, entre autres, la durée de conservation des données, le droit d’accès, de rectification, d’effacement, d’opposition, de limitation et de portabilité, ainsi que le droit de réclamation auprès d’une autorité de contrôle. Aucune de ces mentions ne figurait dans les contrats d’alternance. Sur l’information orale : l’article 12 du RGPD ne l’admet, selon ses termes exprès, qu’à la condition qu’elle ait été expressément sollicitée par la personne concernée, ce que la société n’établissait pas. À défaut de trace écrite de l’information orale alléguée, son caractère complet ne peut être établi, et une information orale ne garantit pas, par nature, l’accessibilité dans le temps. Pour la vidéosurveillance, le simple pictogramme de caméra affiché sur la porte de service était radicalement insuffisant au regard des exigences du RGPD.

Point 4 — La sécurité informatique : la mutualisation du compte administrateur comme manquement élémentaire

Le manquement à l’article 32 du RGPD retenu par la formation restreinte porte sur un fait précis et techniquement simple : un encadrant et trois associés de la société accédaient aux données nominatives d’activité des salariés collectées par le logiciel TIME DOCTOR en utilisant le compte administrateur d’un seul d’entre eux, partageant ainsi le même identifiant et le même mot de passe. La formation restreinte a rappelé la règle élémentaire selon laquelle tout accès à un système d’information contenant des données à caractère personnel doit s’effectuer via un compte individuel, auquel l’utilisateur se connecte par un identifiant et un facteur d’authentification propres. Seuls les comptes individuels permettent une traçabilité correcte des accès, une imputabilité des opérations effectuées dans le système et une investigation efficace en cas d’incident de sécurité ou de violation de données. Cette exigence revêt une acuité particulière pour les comptes administrateurs, qui disposent de droits étendus sur les données personnelles et constituent des cibles privilégiées d’attaques informatiques. La défaillance est d’autant plus préjudiciable que ces données portaient sur des traitements déjà jugés attentatoires à la vie privée des salariés. Lorsque l’individualisation n’est pas techniquement possible, des mesures compensatoires — bastion, main courante — doivent obligatoirement être mises en place.

Point 5 — L’AIPD absente : une obligation préalable méconnue pour une surveillance systématique caractérisée

La société n’avait réalisé aucune analyse d’impact relative à la protection des données préalablement à la mise en œuvre du logiciel TIME DOCTOR, en méconnaissance de l’article 35 du RGPD. Elle avait tenté d’invoquer l’exemption prévue par la délibération CNIL n° 2019-118 du 12 septembre 2019, relative aux traitements de contrôle des horaires pour les organismes de moins de 250 personnes, pour s’exonérer de cette obligation. La formation restreinte a fermement écarté cette tentative de qualification. Les traitements opérés par le logiciel TIME DOCTOR ne se limitaient pas au contrôle des accès et au calcul du temps de travail à l’instar d’une badgeuse : ils conduisaient à une surveillance systématique de l’activité des salariés, ce qui les fait entrer dans le champ de la liste positive des traitements requérant une AIPD, établie par la délibération CNIL n° 2018-327 du 11 octobre 2018. La formation restreinte a souligné que si cette AIPD avait été conduite, elle aurait nécessairement conduit la société à constater la disproportion de ses choix techniques — surveillance minute par minute, captures d’écran régulières sur des personnes vulnérables en situation de subordination — et lui aurait permis d’y renoncer ou d’en réviser substantiellement les paramètres. L’AIPD n’est pas qu’une formalité administrative : elle constitue un instrument de gouvernance interne des risques dont l’omission révèle, en l’espèce, une négligence dans la conception même du dispositif.

POINTS ESSENTIELS