CNIL | SAN-2024-021 | 19 décembre 2024 | Affaire [...] | SAN-2024-021-11K

CNIL | SAN-2024-021 | 19 DÉCEMBRE 2024 | AFFAIRE […] |

 

QUAND LE MANAGEMENT CONFOND PILOTAGE ET FLICAGE: LOGICIEL ESPION, CAMÉRA ET MICRO DANS LA SALLE DE PAUSE

ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS

Société anonymisée du secteur immobilier — Surveillance excessive des salariés (logiciel TIME DOCTOR & vidéosurveillance)

I.

 

Le contexte factuel : une architecture de surveillance à double composante

La société en cause, dont la forme juridique est celle d’une société par actions simplifiée, exerce une activité d’agence immobilière et se positionne principalement sur un marché d’acheteurs professionnels à qui elle propose d’identifier les biens présentant la meilleure rentabilité locative. En 2022, elle employait un nombre limité de collaborateurs, majoritairement composé d’alternants — une donnée dont la formation restreinte tirera un enseignement significatif sur la vulnérabilité particulière des personnes concernées. La société disposait d’un établissement secondaire dans lequel les opérations de contrôle de la CNIL ont été conduites.

À compter du mois de septembre 2021, la société a déployé le logiciel TIME DOCTOR dans le cadre de la gestion du télétravail de ses salariés non-cadres des départements marketing/communication, « chasse », gestion locative et tech. Ce logiciel a fonctionné jusqu’au 17 octobre 2022, date de sa désinstallation intervenue immédiatement à l’issue des opérations de contrôle de la CNIL. Les données collectées par le logiciel étaient consultables par les encadrants via une application web dédiée.

Le logiciel était déployé selon deux modalités distinctes. La première, dite version interactive, était installée sur les ordinateurs personnels des salariés : elle nécessitait une activation et une désactivation manuelles pendant les temps de travail et de pause respectivement. La seconde, dite version silencieuse, était installée sur les ordinateurs fournis par la société : son activation et sa désactivation s’opéraient automatiquement lors du démarrage et de l’arrêt des machines, sans action requise de la part du salarié et, surtout, sans que celui-ci puisse en percevoir l’état actif ou inactif à un instant donné.

En complément de ce dispositif logiciel, la société avait mis en place, à partir de juillet 2022 dans les locaux de son établissement secondaire, un système de vidéosurveillance composé de deux caméras, justifié formellement par la finalité de prévention des atteintes aux biens (vols). Ces caméras captaient en continu les images en haute définition ainsi que le son des espaces de travail des salariés, ces mêmes espaces servant également de lieux de pause. Les images et le son étaient consultables en temps réel par les encadrants via une application mobile.

II.

 

Les moyens de défense de la société : un plaidoyer de la nécessité provisoire et de la transparence alléguée

La société a articulé sa défense autour de plusieurs axes principaux, tous rejetés par la formation restreinte.

Sur la procédure, la société a soutenu que le principe du contradictoire et les droits de la défense avaient été méconnus, au motif que les plaintes à l’origine du contrôle ne lui avaient pas été communiquées. Elle a invoqué l’article 6 de la Convention européenne des droits de l’homme. La formation restreinte a écarté ce moyen en relevant que ces plaintes n’avaient pas constitué des éléments de preuve sur lesquels repose l’établissement des manquements retenus — lesquels étaient caractérisés au regard des seuls éléments constatés dans les procès-verbaux de contrôle et des réponses de la société elle-même.

La société a également soutenu que la CNIL aurait dû prononcer un avertissement ou une mise en demeure préalable, dès lors qu’elle avait pleinement coopéré. La formation restreinte a rappelé la jurisprudence du Conseil d’État (CE, 10ème ch., 26 avril 2022, Optical Center, n° 449284) selon laquelle la saisine de la formation restreinte relève des seuls pouvoirs de la présidente de la CNIL, sans être conditionnée au prononcé préalable d’une mise en demeure, et qu’une mesure d’avertissement ne peut, par nature, concerner qu’un traitement non encore déployé.

Sur la compétence de la CNIL à l’égard du code du travail, la société a contesté que la CNIL soit habilitée à apprécier des manquements au regard de dispositions du code du travail ou de la jurisprudence sociale. La formation restreinte a répondu en rappelant que l’article 8, I, 2° de la loi Informatique et Libertés lui confère compétence pour sanctionner tout manquement aux dispositions du RGPD, et que l’examen du manquement à l’article 6 du RGPD à la lumière de l’article L. 1121-1 du code du travail avait déjà été validé par sa propre jurisprudence (SAN-2023-021 du 27 décembre 2023) et confirmé par le Conseil d’État (CE, 15 décembre 2017, Société Odeolis, n° 403776).

Sur le fond du logiciel TIME DOCTOR, la société a soutenu plusieurs arguments : que les salariés avaient été oralement informés, qu’ils pouvaient refuser le logiciel sans conséquence négative, que les données collectées ne constituaient qu’un « simple indice » et n’avaient pas été utilisées à des fins de surveillance permanente, que les captures d’écran n’avaient pas été consultées par les encadrants, et que la liste des sites web visités n’avait pas été exploitée pour évaluer la productivité. Elle a également mis en avant l’urgence et la désorganisation liées au contexte du télétravail en période de crise, ainsi que la durée limitée d’utilisation du logiciel (un an et deux mois) et sa désinstallation immédiate lors du contrôle.

La formation restreinte a méthodiquement écarté chacun de ces arguments. Elle a notamment relevé que le fait que les captures d’écran n’auraient pas été consultées est sans incidence, dès lors que la société les avait sciemment paramétrées en amont pour chaque salarié. Elle a également souligné que la possibilité de justifier a posteriori des temps d’inactivité — dont il ressort qu’un salarié avait été invité à justifier quarante-trois heures dans le mois précédant la paie — ne constitue pas une garantie, mais illustre au contraire le caractère particulièrement intrusif et peu fiable du dispositif. Elle a en outre relevé que le télétravail ne constitue pas une circonstance exceptionnelle susceptible de justifier une surveillance permanente, d’autant que des alternatives moins intrusives existaient et étaient d’ailleurs déjà utilisées par la société elle-même pour certains départements (outil statistique interne, outil CRM, entretiens d’évaluation).

Sur la vidéosurveillance, la société a soutenu que le dispositif avait été paramétré en « mode vie privée » lors de son installation (déclenchant des caches sur les objectifs durant les horaires de travail), que ce mode aurait été désactivé par erreur, et qu’elle l’aurait immédiatement réactivé à la constatation de cette désactivation. La formation restreinte a écarté cet argument en relevant que l’existence de ce « mode vie privée » n’avait pas été constatée par la délégation de contrôle, que la société n’en avait pas fait mention lors des opérations de contrôle (mais seulement en cours d’instruction), et qu’elle n’avait pas précisé la date à laquelle ce mode aurait été désactivé par erreur.

III.

 

Le manquement à l’article 6 du RGPD : l’absence de base légale des traitements opérés par TIME DOCTOR et la vidéosurveillance

La formation restreinte a examiné le manquement à l’article 6 du RGPD à la lumière de l’article L. 1121-1 du code du travail, en faisant application du test de proportionnalité inhérent à la base légale de l’intérêt légitime.

Le cadre normatif de la proportionnalité

L’article 5, paragraphe 1, c du RGPD consacre le principe de minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités. L’article 6, paragraphe 1, f du RGPD pose comme condition de licéité du traitement fondé sur l’intérêt légitime que les intérêts ou libertés fondamentaux de la personne concernée ne priment pas sur ceux du responsable de traitement — appréciés notamment au regard des « attentes raisonnables » des personnes concernées (considérant 47 du RGPD ; CJUE, 11 décembre 2019, Asociatia de Proprietari, C-708/18). L’article L. 1121-1 du code du travail commande que les restrictions apportées aux droits des personnes ne dépassent pas ce qui est justifié par la nature de la tâche et proportionné au but recherché. La Cour de cassation en déduit que l’employeur, qui dispose d’un droit de surveillance de ses salariés, doit l’exercer par des moyens proportionnés (Cass. Soc., 23 juin 2021, n° 19-13.856 ; Cass. Soc., 19 décembre 2018, n° 17-14.631) et que le salarié a droit au respect de son intimité même au temps et sur le lieu de travail (Cass. Soc., 2 octobre 2001, Nikon France).

La formation restreinte a reconnu que la société disposait bien d’un intérêt légitime — prévenir les atteintes aux biens pour la vidéosurveillance, mesurer le temps de travail et évaluer la productivité pour le logiciel — mais a considéré que cet intérêt ne pouvait fonder des traitements portant une atteinte disproportionnée aux droits des salariés.

La disproportion de la vidéosurveillance (article 5.1.c et 6 RGPD)

Le système de vidéosurveillance composé de deux caméras captait en continu les images en haute définition et le son des salariés sur leurs lieux de travail et de repos, consultables en temps réel par les encadrants via une application mobile. La formation restreinte a rappelé sa jurisprudence constante selon laquelle une surveillance permanente des salariés ne peut intervenir que dans des circonstances exceptionnelles tenant à la nature de la tâche accomplie (CNIL, FR, 17 juillet 2014, n° 2014-307 ; CNIL, FR, 14 octobre 2014, n° 2014-051). Elle a rappelé également que la jurisprudence judiciaire (Cass. Soc., 23 juin 2021) et administrative (CE, 18 novembre 2015, Société PS Consulting, n° 371196) considèrent comme attentatoire à la vie personnelle du salarié tout dispositif de vidéosurveillance filmant en permanence. Elle a en outre souligné que la captation du son n’est admissible que dans des circonstances exceptionnelles, et ne devrait en tout état de cause pas être mise en œuvre en continu. Aucune circonstance exceptionnelle n’a été établie en l’espèce. La captation permanente des images et du son était donc contraire au principe de minimisation (article 5.1.c) et ne pouvait reposer sur la base légale de l’intérêt légitime (article 6 du RGPD).

La disproportion du logiciel TIME DOCTOR pour la mesure du temps de travail (article 6 RGPD)

La fonctionnalité time out du logiciel identifiait, pour chaque salarié, les périodes au cours desquelles aucune frappe sur le clavier ni aucun mouvement de souris n’avait été enregistré pendant une durée préalablement paramétrée entre 3 et 15 minutes — ces périodes constituant des « idle minutes ». Sur cette base, le logiciel calculait le pourcentage de temps d’inactivité et, en l’absence de justification par le salarié, ces temps pouvaient donner lieu à une retenue sur salaire.

La formation restreinte a relevé plusieurs vices fondamentaux. D’abord, des périodes d’inactivité informatique peuvent parfaitement correspondre à du temps de travail effectif — réunions, appels téléphoniques, travail manuel sur demande d’un responsable — conformément à la définition légale du temps de travail effectif prévue par l’article L. 3121-1 du code du travail. Ensuite, le système de justification a posteriori est à la fois peu fiable (les salariés peuvent difficilement se souvenir précisément de leurs activités des semaines auparavant) et non fiable comme instrument de décompte au sens de l’article L. 3171-4 du code du travail, qui exige que tout système d’enregistrement automatique soit fiable et infalsifiable. Enfin, l’atteinte portée aux droits des salariés est, en tout état de cause, disproportionnée : les salariés pouvaient certes s’attendre à un dcompte de leur temps de travail, mais non à une surveillance permanente par enregistrement, tout au long de la journée, de leurs mouvements de frappe sur le clavier ou de souris. La version silencieuse du logiciel aggravait encore ce caractère disproportionné, dès lors que les salariés ne pouvaient pas le désactiver pendant leurs temps de pause, ignorant même s’il était actif ou non.

La disproportion du logiciel TIME DOCTOR pour la mesure de la productivité (article 6 RGPD)

Pour la finalité de mesure de la productivité, le logiciel procédait à des captures régulières des écrans des ordinateurs (screencast) à intervalles de 3 à 15 minutes, et enregistrait le temps passé sur des sites web préalablement classés « productifs » ou « non productifs » par la direction. La formation restreinte a relevé le caractère quasi-permanent de cette surveillance. Elle a en outre souligné que ce type de dispositif peut conduire à la captation d’éléments d’ordre privé — courriels personnels, conversations de messagerie instantanée, mots de passe confidentiels — ce qui renforce encore l’intrusion dans la vie privée des salariés. Elle a également noté que la société disposait par ailleurs d’outils alternatifs moins intrusifs pour évaluer la productivité de ses différents départements.

L’argument de la société selon lequel elle n’aurait in fine pas utilisé les données de productivité collectées a été expressément écarté : la société avait sciemment paramétré ces fonctionnalités en amont pour chaque salarié, et la collecte puis conservation de données sans utilité avérée est contraire au principe de finalité de l’article 5 du RGPD.

IV.

 

Le manquement à l’obligation d’information (articles 12 et 13 du RGPD)

Sur le logiciel TIME DOCTOR

L’article 12 du RGPD impose que l’information soit fournie par écrit, de façon concise, transparente, compréhensible et aisément accessible. L’article 13 du RGPD dresse la liste exhaustive des informations devant être fournies lors de la collecte directe des données.

La société soutenait avoir informé oralement ses salariés, et que le règlement intérieur, la charte informatique et les contrats de travail contenaient des mentions suffisantes. La formation restreinte a constaté de multiples lacunes :

  • Dans les documents écrits existants (règlement intérieur, charte informatique) : absence de la durée de conservation des données, du droit d’accès, du droit de rectification ou d’effacement, du droit à la limitation des traitements ou d’y faire opposition, du droit à la portabilité, du droit d’introduire une réclamation auprès d’une autorité de contrôle.

  • Dans les contrats de travail : absence du droit à la limitation du traitement et de l’opposition, du droit à la portabilité, du droit de réclamation auprès de la CNIL. Aucune de ces mentions ne figurait dans les contrats d’alternance.

  • Sur l’information orale : l’article 12 du RGPD n’admet la délivrance orale de l’information que si elle a été expressément demandée par la personne concernée, ce que la société n’établissait pas. En outre, à la lumière des lignes directrices WP260 rev. 01 du Groupe de travail Article 29 sur la transparence (11 avril 2018), l’absence de trace écrite de l’information orale fournie rend impossible l’établissement de son caractère complet. Par nature, une information orale ne garantit pas l’accessibilité dans le temps requise par l’article 12 du RGPD.

La notice d’information complète communiquée par la société à ses salariés en juillet 2024, soit postérieurement au retrait du dispositif TIME DOCTOR et en cours de procédure de sanction, ne purge pas le manquement constitué pour les faits passés.

Sur le dispositif de vidéosurveillance

L’unique signalétique affichée dans les locaux consistait en un panonceau apposé sur la porte de service, comportant un pictogramme de caméra et la mention « espace sous vidéo surveillance », sans autre information. La formation restreinte a constaté que cet affichage ne comportait aucune des mentions obligatoires exigées par le RGPD (identité du responsable de traitement, finalités, base légale, droits des personnes, durée de conservation) et ne renvoyait à aucun document de second niveau qui les contiendrait. Le manquement aux articles 12 et 13 du RGPD est donc constitué pour la vidéosurveillance comme pour le logiciel.

V.

 

Le manquement à l’obligation de sécurité (article 32 du RGPD)

L’article 32, paragraphe 1 du RGPD impose la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, incluant notamment des moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des données, ainsi qu’une procédure d’évaluation régulière de leur efficacité.

Au titre des mesures élémentaires, la formation restreinte a rappelé la nécessité d’individualiser les comptes d’accès, en particulier pour les comptes administrateurs : seuls les comptes individuels permettent une traçabilité correcte des accès et des actions effectuées sur le système, une imputabilité des opérations et une investigation efficace en cas d’incident ou de violation de données. Les comptes partagés rendent beaucoup plus difficile l’imputabilité d’une action et compliquent le travail d’investigation.

En l’espèce, un encadrant et trois associés de la société accédaient aux données nominatives d’activité des salariés issues du logiciel TIME DOCTOR en utilisant le compte administrateur d’un seul d’entre eux, partageant ainsi le même mot de passe. La formation restreinte a relevé que cette pratique ne permet pas, sans mesure complémentaire, de retracer l’auteur des opérations enregistrées dans les fichiers journaux. Cette entrave à l’imputabilité est d’autant plus préjudiciable qu’elle porte sur un compte administrateur, disposant de droits étendus sur des données personnelles dont les traitements portaient atteinte à la vie privée des salariés, et constitue une cible privilégiée d’attaque informatique. Des mesures complémentaires (bastion, main courante) auraient dû pallier cette absence d’individualisation.

La société a fait valoir la cessation de l’utilisation du logiciel et la suppression du compte partagé depuis les opérations de contrôle. La formation restreinte a maintenu le manquement pour les faits passés.

VI.

 

Le manquement à l’obligation de réaliser une AIPD (article 35 du RGPD)

L’article 35, paragraphe 1 du RGPD impose au responsable de traitement de réaliser, avant la mise en œuvre du traitement, une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. La CNIL a établi, dans sa délibération n° 2018-327 du 11 octobre 2018, une liste des types d’opérations pour lesquels une AIPD est requise, incluant expressément les traitements « ayant pour finalité de surveiller de manière constante l’activité des employés ».

La société avait soutenu que ses traitements relevaient de la liste des types d’opérations pour lesquels une AIPD n’est pas requise (délibération CNIL n° 2019-118 du 12 septembre 2019), au titre des traitements mis en œuvre aux seules fins de contrôle des horaires et du calcul du temps de travail pour les organismes employant moins de 250 personnes. La formation restreinte a rejeté cet argument en rappelant que les traitements opérés par le logiciel TIME DOCTOR excédaient largement un simple contrôle des horaires ou des accès à l’instar d’une badgeuse : ils conduisaient à opérer une surveillance systématique des salariés, ce qui les fait entrer dans le champ de la liste positive de la délibération n° 2018-327.

La formation restreinte a relevé plusieurs éléments décisifs : la société opérait une surveillance minute par minute de l’activité de ses salariés, en situation de subordination, pouvant aboutir à une régularisation de salaire ; la société avait sciemment activé l’option screencast et paramétré les durées entre chaque capture d’écran, révélant un choix délibéré allant au-delà du simple contrôle des horaires. Elle a également souligné que 60 % des salariés concernés étaient des alternants, dépendants de leur employeur pour la validation de leur diplôme, ce qui en fait des personnes vulnérables au sens des lignes directrices du Groupe de travail Article 29 sur l’AIPD (4 octobre 2017). Ces personnes se trouvent dans l’incapacité pratique de s’opposer aisément au traitement de leurs données ou d’exercer leurs droits.

L’AIPD, si elle avait été réalisée, aurait conduit la société à constater que ses traitements étaient susceptibles de présenter un risque élevé pour les droits et libertés de ses salariés, et lui aurait permis d’y renoncer ou, a minima, d’en réviser les modalités. L’absence d’AIPD préalable constitue donc un manquement à l’article 35 du RGPD.

VII.

 

L’appréciation des critères de l’article 83 du RGPD

La formation restreinte a appliqué les critères de l’article 83 du RGPD pour moduler la réponse répressive.

Sur la gravité des manquements (alinéa a), la formation restreinte a relevé que la société avait manqué à plusieurs principes fondamentaux du RGPD, visant garantir la licéité des traitements, leur transparence et la sécurité des données. Les manquements sont qualifiés de particulièrement graves au vu de l’atteinte portée aux droits et libertés fondamentaux des salariés. La surveillance de personnes vulnérables — dont 60 % d’alternants dépendants de leur employeur pour la validation de leur diplôme — aggrave la gravité intrinsèque des manquements.

Sur l’intentionnalité (alinéa b), la formation restreinte a opéré une distinction précise : elle a caractérisé une intentionnalité dans les manquements liés au logiciel TIME DOCTOR, dès lors que la société avait sciemment activé et paramétré les options time out et screencast pour chaque salarié, selon des modalités de durée et de récurrence qu’elle avait volontairement déterminées en amont. S’agissant de la vidéosurveillance permanente, elle a retenu, à tout le moins, une négligence de la part de la société. Pour les manquements à l’information, à la sécurité et à l’AIPD, la formation restreinte a reconnu l’absence d’intentionnalité, tout en qualifiant ces manquements de résultant d’une négligence, aggravée par le fait que des mesures de sécurité élémentaires auraient suffi à sécuriser le compte administrateur et par l’intentionnalité concomitante dans la mise sous surveillance permanente.

Sur les mesures prises pour atténuer le dommage (alinéa c), la formation restreinte a pris en compte la désinstallation immédiate du logiciel TIME DOCTOR lors des opérations de contrôle. Elle a toutefois relevé que les caméras de vidéosurveillance n’avaient été désinstallées qu’en juillet 2024, soit un an et neuf mois après les contrôles, et que la notice d’information complète n’avait été communiquée aux salariés qu’à cette même date.

Sur le degré de coopération (alinéa f), la société avait promptement communiqué les éléments sollicités par la délégation de contrôle de la CNIL, ce qui a été pris en compte à titre atténuant.

 
 
 

POINTS ESSENTIELS

 

27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats