CNIL | SAN-2024-021 | 19 DÉCEMBRE 2024 | AFFAIRE […] |
QUAND LE MANAGEMENT CONFOND PILOTAGE ET FLICAGE: LOGICIEL ESPION, CAMÉRA ET MICRO DANS LA SALLE DE PAUSE
3 MINUTES SANS BOUGER LA SOURIS = TEMPS “INACTIF” = SALAIRE AMPUTÉ.
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
LE CADRE NORMATIF DE RÉFÉRENCE : UNE ARTICULATION RGPD-DROIT DU TRAVAIL PLEINEMENT ASSUMÉE
La délibération SAN-2024-021 du 19 décembre 2024 constitue un apport doctrinal majeur en ce qu’elle formalise, dans le cadre d’une procédure de sanction, l’articulation nécessaire entre les dispositions du RGPD et celles du droit du travail, et plus particulièrement de l’article L. 1121-1 du code du travail, pour apprécier la licéité des traitements de surveillance des salariés.
La société sanctionnée exerce une activité d’agence immobilière proposant à sa clientèle, majoritairement des acheteurs professionnels, d’identifier les biens présentant la plus forte rentabilité. En 2022, elle employait un nombre limité de salariés, dont une proportion significative d’alternants. C’est dans ce contexte, marqué par le développement du télétravail à compter de septembre 2021, qu’elle a déployé le logiciel TIME DOCTOR sur les ordinateurs de ses salariés non cadres des départements marketing/communication, chasse, gestion locative et tech.
La formation restreinte relève, à titre liminaire, que les fondements juridiques prévus par les dispositions de l’article 6.1, sous a, b, c, d et e du RGPD — liés à l’exécution du contrat, au consentement, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux ou à l’exécution d’une mission d’intérêt public — ne trouvent pas à s’appliquer en l’espèce. Seule la base légale liée aux intérêts légitimes poursuivis par le responsable de traitement, prévue par les dispositions de l’article 6.1, sous f, peut en principe trouver à s’appliquer pour les finalités de mesure du temps de travail et d’évaluation de la productivité. La formation restreinte admet que l’intérêt de la société, en tant qu’employeur, à prévenir les atteintes aux biens dans ses locaux, à mesurer le temps de travail et à évaluer le travail de ses salariés, constitue un intérêt légitime au sens de l’article 6, §1, f du RGPD, en tant qu’il est licite, déterminé de façon suffisamment claire et précise, et réel et présent pour la société. Mais elle rappelle immédiatement que, pour être admis comme base légale du traitement, celui-ci ne doit pas porter une atteinte disproportionnée aux droits et libertés des personnes, eu égard aux finalités poursuivies.
Le cadre d’analyse retenu repose sur trois piliers normatifs distincts et complémentaires. En premier lieu, l’article 5, §1, c du RGPD impose que les données soient adéquates, pertinentes et limitées à ce qui est nécessaire — le principe de minimisation. En deuxième lieu, l’article 6, §1, f du RGPD exige que le traitement fondé sur l’intérêt légitime ne prévale pas sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Le considérant 47 du RGPD précise que l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte, à ce que ses données fassent l’objet d’un traitement à la fin donnée. En troisième lieu, l’article L. 1121-1 du code du travail dispose que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. La formation restreinte rappelle qu’il résulte d’une jurisprudence constante de la Cour de cassation que si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856), l’utilisation d’un tel dispositif de surveillance n’étant licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace (Cass. Soc., 19 décembre 2018, n°17-14.631). Cette position est également confirmée par le Conseil d’État (CE, 15 décembre 2017, n°403776).
La formation restreinte, reprenant sa propre jurisprudence issue de la délibération SAN-2023-021 du 27 décembre 2023, réaffirme ainsi sa compétence pleine et entière pour examiner le manquement à l’article 6 du RGPD à la lumière de l’article L. 1121-1 du code du travail. Le raisonnement de proportionnalité imposé par l’article 6.1, f du RGPD s’effectue en tenant compte du cadre juridique spécifique applicable au traitement, en l’espèce le droit du travail. Cette articulation avait été antérieurement confirmée par le Conseil d’État (CE, 15 décembre 2017, Société Odeolis, n°403776). La délibération SAN-2024-021 s’inscrit donc dans cette lignée tout en l’approfondissant.
LE MANQUEMENT RELATIF AU DISPOSITIF DE VIDÉOSURVEILLANCE : CAPTATION PERMANENTE ET ABSENCE DE CIRCONSTANCES PARTICULIÈRES JUSTIFICATIVES
La société avait mis en place au sein de son établissement secondaire, en juillet 2022, un dispositif vidéo composé de deux caméras, afin de prévenir les atteintes aux biens (vols). La formation restreinte rappelle d’emblée que la surveillance des salariés à travers un système de vidéosurveillance doit être adéquate, pertinente et limitée à ce qui est nécessaire et ne doit pas porter une atteinte excessive au respect de la vie privée des personnes filmées, eu égard aux conditions de mise en œuvre du dispositif concerné au regard de la finalité poursuivie, du nombre de caméras installées, de leur emplacement, de leur orientation, de leurs fonctionnalités, de leur période de fonctionnement et des caractéristiques propres à l’établissement concerné (CNIL, FR, sanction n° SAN-2019-006 du 13 juin 2019, point 33). Une surveillance permanente des salariés ne peut ainsi intervenir que dans des circonstances exceptionnelles, lorsque le dispositif est justifié par une situation ou un risque particulier auquel sont exposées les personnes filmées, tenant notamment à la nature de la tâche à accomplir.
La formation restreinte rappelle également que la jurisprudence de la Cour de cassation comme celle du Conseil d’État considèrent qu’est attentatoire à la vie personnelle du salarié, et disproportionnée au but allégué par l’employeur de sécurité des personnes et des biens, la surveillance constante d’un salarié (Cass. Soc., 23 juin 2021, n°19-13.856), telle que résultant d’un dispositif de vidéosurveillance le filmant de manière permanente (CE, 18 novembre 2015, Société PS Consulting, n°371 196, Rec.). La Cour de cassation considère également de manière constante que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée (Cass. Soc., 2 oct. 2001, Société Nikon France, n°99-42.942 ; Cass. Soc., 9 sept. 2020, n°18-20.489).
En l’espèce, il ressort des constatations de la délégation de contrôle que le dispositif de vidéosurveillance captait en continu les images en haute définition ainsi que le son d’espaces de travail des salariés, certains de ces espaces constituant également des espaces de repos. Deux caméras filmaient ainsi un ou plusieurs salariés en continu, pendant leur temps de travail comme pendant leur temps de pause. La résolution des images issues de l’application était suffisante pour permettre, tout le moins, d’observer les salariés en train de travailler. La formation restreinte relève en outre que, pour être proportionné, un dispositif de vidéosurveillance ne doit pas, en principe, capter le son. La captation du son n’est admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier, et doit alors généralement ne pas être mise en œuvre en continu mais seulement lorsqu’un événement particulier se produit.
En défense, la société a présenté deux arguments principaux. D’une part, elle a affirmé que le dispositif avait été initialement paramétré en mode « vie privée » lors de son installation, déclenchant un cache sur les objectifs des caméras pendant les horaires d’ouverture de l’établissement, mais que ce mode aurait été désactivé par erreur. D’autre part, elle indiquait avoir retiré le dispositif de vidéosurveillance en juillet 2024. La formation restreinte écarte ces arguments. Elle relève que le mode « vie privée » n’a pas été constaté par la délégation de la CNIL lors des contrôles d’octobre 2022, et que la société n’en a pas fait mention lors des opérations de contrôle, mais uniquement en cours d’instruction, en réponse au rapport de sanction, sans préciser d’ailleurs la date à laquelle ce mode aurait été désactivé par erreur. Elle souligne que, quand bien même le dispositif aurait été initialement paramétré pour déclencher des caches sur les objectifs des caméras, cette circonstance ne remet pas en cause l’existence du manquement, caractérisé sur la base des faits constatés lors des contrôles.
Par conséquent, la formation restreinte considère que la captation d’images en continu des employés sur leur poste de travail, et pendant leurs temps de pause, ainsi que la captation en permanence du son, en l’absence de circonstances particulières justifiant la mise en œuvre d’un tel dispositif, ne sont ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire au regard des finalités poursuivies, et apparaissent dès lors excessives. Le manquement à l’article 5, §1, c du RGPD est retenu pour le passé.
LE MANQUEMENT RELATIF AU LOGICIEL TIME DOCTOR : UNE SURVEILLANCE PERMANENTE DES SALARIÉS PAR DEUX VECTEURS CUMULATIFS
LA FINALITÉ DE MESURE DU TEMPS DE TRAVAIL
La rapporteure relève qu’il ressort des indications données par la société lors des opérations de contrôle que le logiciel TIME DOCTOR a été mis en œuvre non seulement à des fins de mesure du temps de travail, mais également à des fins d’évaluation de la productivité. Pour la mesure du temps de travail, le logiciel comptabilisait les temps d’inactivité des salariés à travers leurs mouvements de souris et leur activité sur leurs claviers (« idle minutes »). Pour la mesure de la productivité, il procédait à des captures régulières des écrans d’ordinateur (screencast) et comptabilisait le temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société.
Le logiciel était installé sous deux versions : la première, dite « interactive », sur les ordinateurs personnels des employés, nécessitant une activation et une désactivation manuelle par ces derniers pendant leur temps de travail et de pause ; la seconde, dite « silencieuse », installée sur les ordinateurs fournis par la société, pour laquelle l’activation et la désactivation étaient automatiques lors du démarrage et de l’arrêt des ordinateurs.
Sur la finalité de mesure du temps de travail par détection des temps d’inactivité, la formation restreinte relève que le dispositif, tel que paramétré, ne permettait pas un décompte fiable des heures de travail puisque les périodes pendant lesquelles le salarié n’utilise pas son ordinateur peuvent également correspondre à du temps de travail effectif (réunions, appels téléphoniques). Elle considère que cette méthode de décompte, fondée sur l’unique critère de la présence de mouvements de souris ou de frappes clavier, est insuffisamment fiable et révèle un caractère intrusif disproportionné. La société pourrait valablement atteindre la finalité de mesure du temps de travail par des moyens moins intrusifs et plus fiables, tels que les systèmes déclaratifs ou les outils de pointage traditionnels.
LA FINALITÉ D’ÉVALUATION DE LA PRODUCTIVITÉ PAR SCREENCASTS ET TRAÇAGE DES SITES WEB
S’agissant des captures d’écran (screencasts) intervenant à intervalles réguliers et rapprochés (entre 3 et 15 minutes selon le paramétrage retenu par la société), la formation restreinte considère qu’un tel dispositif constitue une surveillance particulièrement intrusive. Elle relève qu’il peut conduire à la captation d’éléments d’ordre privé — courriels personnels, conversations de messageries instantanées ou mots de passe confidentiels, par exemple — ce qui porte une atteinte disproportionnée à la vie privée, aux intérêts et aux droits fondamentaux des salariés.
S’agissant du paramétrage de la liste de sites web jugés productifs ou non, ce dispositif permettait, sur la base de critères définis préalablement par la société, de déterminer le temps passé sur des sites web jugés non productifs durant le temps de travail. La formation restreinte considère que cette modalité de surveillance n’est pas nécessaire à l’objectif affiché de mesure de la productivité et que d’autres moyens moins intrusifs, tels que des entretiens de performance ou des évaluations basées sur les résultats obtenus, permettraient d’atteindre les mêmes finalités.
En défense, la société a soutenu que les données collectées constituaient un simple indice pour la mesure du temps de travail des salariés, et n’étaient pas utilisées à des fins de surveillance permanente. Elle affirmait également que les captures d’écran n’étaient pas consultées par les encadrants, et que la liste de sites web n’était pas utilisée pour évaluer la productivité des salariés. La formation restreinte écarte ces arguments en relevant que ces affirmations ne sont pas corroborées par les éléments constatés lors des contrôles. Elle souligne que le logiciel était bien paramétré pour ces fonctionnalités et que, dès lors qu’elles étaient actives, elles portaient par elles-mêmes atteinte aux droits des salariés, indépendamment de leur utilisation effective a posteriori.
LA VERSION SILENCIEUSE COMME CIRCONSTANCE AGGRAVANTE
La formation restreinte accorde une importance particulière au fait que le logiciel était installé sous sa version « silencieuse » sur les ordinateurs fournis par la société. Cette version, qui s’activait et se désactivait automatiquement lors du démarrage et de l’arrêt des ordinateurs, plaçait les salariés dans l’impossibilité de désactiver le logiciel pendant les périodes où ils pouvaient légitimement estimer ne pas être surveillés — sans que ces moments correspondent nécessairement à des pauses formelles. La surveillance est aggravée lorsque le logiciel est installé sous cette version silencieuse, sans possibilité pour le salarié de le désactiver.
LE TRAITEMENT DE DONNÉES DE PERSONNES VULNÉRABLES : LES ALTERNANTS
La délibération insiste particulièrement sur le fait que les traitements concernaient, en proportion significative — évaluée à 60 % —, des alternants qui sont des personnes particulièrement dépendantes de leur employeur pour la validation de leur diplôme. La formation restreinte rappelle à cet égard que la notion de personne vulnérable visée par les lignes directrices du groupe de travail article 29 concernant l’AIPD et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé, adoptées le 4 octobre 2017, fait référence à un déséquilibre des pouvoirs qui existe entre les personnes concernées et le responsable du traitement, ce qui signifie que les premières peuvent se trouver dans l’incapacité de s’y opposer aisément ou d’exercer leurs droits. Les alternants, compte tenu de leur dépendance à l’égard de l’employeur pour la validation de leur diplôme, sont expressément identifiés comme entrant dans cette catégorie de personnes vulnérables. Cette circonstance aggrave considérablement la gravité des traitements mis en œuvre.
LES MANQUEMENTS À L’OBLIGATION D’INFORMATION ET DE TRANSPARENCE (ARTICLES 12 ET 13 DU RGPD)
La formation restreinte retient un manquement distinct aux articles 12 et 13 du RGPD, relatif à l’obligation d’information des personnes concernées. Elle relève que les salariés ne disposaient pas d’une information complète relative aux traitements de leurs données à caractère personnel opérés par le logiciel TIME DOCTOR. Ni les documents d’information internes à la société, ni les contrats de travail et les contrats d’alternance des salariés, ne permettaient une information écrite suffisante concernant les traitements mis en œuvre par le logiciel.
La société avançait l’information orale des salariés comme permettant de combler ces lacunes. La formation restreinte écarte cet argument en rappelant qu’en l’absence de conservation par la société d’une trace écrite de cette information orale, le caractère complet de l’information n’est pas établi. Elle souligne en outre que l’information orale ne remplit pas, par nature, les conditions d’accessibilité dans le temps prévues par les dispositions de l’article 12 du RGPD, qui imposent que l’information soit fournie de manière concise, transparente, compréhensible et aisément accessible.
S’agissant du dispositif de vidéosurveillance, la formation restreinte relève que l’affichage relatif au système mis en place ne comportait pas les informations requises, ni ne renvoyait à un autre document les contenant. Ce manquement à l’article 13 du RGPD est retenu de manière distincte du manquement au principe de minimisation.
LE MANQUEMENT À L’OBLIGATION DE SÉCURITÉ (ARTICLE 32 DU RGPD) : L’ABSENCE D’INDIVIDUALISATION DES COMPTES ADMINISTRATEUR
La formation restreinte retient également un manquement à l’article 32 du RGPD, relatif à l’obligation d’assurer la sécurité des données. Elle relève que la société permettait l’accès partagé à un compte administrateur permettant de consulter les données issues du logiciel de surveillance des postes de travail. La formation restreinte souligne que seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système, notamment lors d’investigations en cas d’incident de sécurité ou de violation de données. Cette exigence d’individualisation est d’autant plus importante lorsqu’il s’agit de comptes administrateur, qui disposent de droits très étendus sur les données personnelles traitées par le système et sont ainsi des cibles privilégiées d’attaques informatiques. Un manquement à l’article 32 du RGPD est donc constitué.
La formation restreinte souligne que ce manquement aux mesures de sécurité élémentaires revêt un caractère aggravant particulier dans un contexte où le logiciel lui-même portait atteinte à la vie privée des salariés : l’absence d’individualisation des comptes administrateur permettait à plusieurs encadrants d’accéder sans traçabilité aux captures d’écran et aux données de surveillance des salariés, aggravant ainsi le risque d’utilisation abusive de ces données.
LE MANQUEMENT À L’OBLIGATION DE RÉALISER UNE AIPD (ARTICLE 35 DU RGPD)
La formation restreinte retient un cinquième manquement, tiré de l’article 35 du RGPD, relatif à l’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD) avant la mise en œuvre de traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
La formation restreinte considère que les traitements mis en œuvre via le logiciel TIME DOCTOR — qui, selon les paramètres définis par la société, permettaient d’effectuer une surveillance systématique de ses salariés — sont susceptibles d’engendrer un risque élevé pour leurs droits et libertés, au sens de l’article 35 du RGPD. Elle rappelle que la notion de « surveillance systématique » est l’un des critères explicitement visés par les lignes directrices du groupe de travail article 29 concernant l’AIPD pour identifier les traitements requérant une telle analyse. En l’espèce, la société n’avait réalisé aucune AIPD avant de mettre en œuvre ces traitements.
Elle rappelle à cet égard que les traitements effectués à travers le logiciel TIME DOCTOR portaient sur des salariés qui entrent dans la catégorie des personnes vulnérables visées par les lignes directrices du groupe de travail, et que 60 % d’entre eux étaient des alternants, dépendants de surcroît de leur employeur pour la validation de leur diplôme. Ce constat aurait dû, à lui seul, alerter la société sur la nécessité de procéder à une AIPD préalablement à la mise en œuvre du traitement.
LA DÉFENSE DE LA SOCIÉTÉ ET SON REJET
La société a articulé plusieurs moyens de défense en sus de ceux d’ordre procédural déjà examinés. Sur le fond, elle a soutenu que l’utilisation du logiciel avait été faite dans l’urgence et dans une période de désorganisation de la société liée au développement du télétravail, qu’elle aurait été partielle, limitée dans le temps et sans conséquence négative pour les salariés. Elle affirmait que les traitements et les manquements associés, limités dans le temps et partiels, n’avaient pas fait échec au droit à la protection des données personnelles des salariés. Elle soutenait que les dispositifs avaient été mis en place uniquement pour la gestion et l’encadrement des salariés en période de crise, et que les traitements effectués à travers ces dispositifs étaient secondaires à son activité. Elle mettait également en avant sa réactivité, dès les opérations de contrôle, pour se mettre en conformité avec les dispositions du RGPD, ainsi que sa coopération avec les services de la CNIL.
La formation restreinte rejette l’ensemble de ces arguments. Elle rappelle que ni le caractère passé des manquements, ni les mesures de mise en conformité prises par la société, aussi rapides fussent-elles, ne remettent en cause le caractère constitué des manquements et leur gravité intrinsèque. Elle souligne notamment que la société justifie avoir communiqué une notice d’information complète au titre des articles 12 et 13 du RGPD à ses salariés en juillet 2024, soit un an et neuf mois après les contrôles, ce qui atteste d’une mise en conformité tardive. De même, la société ne justifie leur désinstallation des caméras de vidéosurveillance qu’à compter de juillet 2024.
La formation restreinte note par ailleurs que l’intentionnalité avérée de la société dans le placement sous surveillance permanente des salariés à travers le logiciel TIME DOCTOR — dont les fonctionnalités intrusives étaient actives et paramétrées par la société elle-même — aggrave la caractérisation des manquements, même si la société invoque leur contexte de crise.
LE CARACTÈRE PARTICULIÈREMENT GRAVE DES MANQUEMENTS CUMULÉS
La formation restreinte souligne que la société a manqué à plusieurs principes fondamentaux du RGPD, visant à garantir la licéité des traitements mis en œuvre, leur transparence à l’égard des personnes concernées, ainsi qu’à sécuriser les données à caractère personnel traitées. Elle considère que les manquements constatés sont particulièrement graves au vu de l’atteinte portée aux droits et libertés fondamentaux des salariés.
La gravité de ces manquements est aggravée, selon la formation restreinte, par plusieurs circonstances concomitantes et cumulatives. En premier lieu, l’intentionnalité de la société dans le placement sous surveillance permanente des salariés à travers le logiciel TIME DOCTOR, dont les paramètres avaient été volontairement configurés par la société elle-même pour activer les fonctionnalités de screenshots et de mesure des idle minutes. En deuxième lieu, le fait que les manquements aux mesures de sécurité élémentaires auraient permis à plusieurs encadrants d’accéder sans traçabilité aux données de surveillance les plus sensibles. En troisième lieu, la proportion significative d’alternants parmi les salariés concernés, qui, dépendants de leur employeur pour la validation de leur diplôme, se trouvaient dans une position de vulnérabilité particulière les rendant incapables de s’opposer aisément au traitement.
La formation restreinte relève à cet égard que la coopération de la société avec la CNIL, son caractère de petite structure, et la désinstallation immédiate du logiciel TIME DOCTOR dès le contrôle constituent des éléments atténuants pris en compte, sans pour autant remettre en cause le bien-fondé de la sanction.
POINTS ESSENTIELS
Une petite société immobilière a été sanctionnée de 40 000 € pour avoir soumis ses salariés à une double surveillance numérique particulièrement invasive : d’une part, un logiciel de suivi, TIME DOCTOR, installé en version « interactive » sur les ordinateurs personnels et en version « silencieuse » sur les postes fournis par l’employeur, paramétré pour comptabiliser comme temps d’« inactivité » toute absence de frappe clavier ou de mouvement de souris pendant 3 à 15 minutes, temps susceptibles de donner lieu à des retenues sur salaire, et pour réaliser des captures d’écran régulières de l’intégralité du poste de travail ; d’autre part, un dispositif de vidéosurveillance captant en continu l’image et le son dans des locaux servant à la fois de lieu de travail et d’espace de pause.
La formation restreinte de la CNIL retient une chaîne de manquements graves : violation du principe de minimisation (art. 5 §1 c RGPD) pour la captation permanente image + son, absence de base légale (art. 6 RGPD) pour des traitements qualifiés de « surveillance particulièrement intrusive » et jugés disproportionnés au regard de l’article L. 1121‑1 du code du travail, défaut d’information écrite des salariés (art. 12 et 13 RGPD) en l’absence de documentation accessible et traçable, insuffisances de sécurité (art. 32 RGPD) avec un compte administrateur partagé ne permettant pas la traçabilité des accès, et absence d’analyse d’impact (art. 35 RGPD) alors que le dispositif réalise une surveillance systématique des travailleurs ;
dans le droit fil de la décision SAN‑2023‑021 sur le suivi des préparateurs logistiques, la CNIL confirme qu’aucun intérêt légitime ne peut justifier des outils de contrôle qui transforment le télétravail en télésurveillance permanente, et fait de cette affaire un cas d’école pour l’ensemble des employeurs et éditeurs d’outils de monitoring des salariés.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats