CNIL | SAN-2024-021 | 19 décembre 2024 | Affaire [...] | MANQUEMENTS

CONTEXTE FACTUEL ET PROCÉDURAL

La société sanctionnée dans la délibération SAN-2024-021 est une société par actions simplifiée exerçant une activité d’agence immobilière, proposant notamment à une clientèle majoritairement composée d’acheteurs professionnels d’identifier des biens présentant la plus forte rentabilité. Elle emploie un effectif restreint, composé majoritairement d’alternants, et dispose d’un établissement secondaire dans lequel ont été déployés les dispositifs de surveillance en cause.

À compter du mois de septembre 2021, la société a mis en place, dans le cadre du télétravail, le logiciel TIME DOCTOR sur les ordinateurs des salariés non cadres de plusieurs départements (marketing/communication, « chasse », gestion locative, « tech »). Ce logiciel était installé selon deux modalités : une version dite interactive, sur les ordinateurs personnels des salariés, nécessitant une activation et une désactivation manuelles ; et une version dite silencieuse, sur les ordinateurs fournis par la société, pour laquelle l’activation et la désactivation étaient automatiques lors du démarrage et de l’arrêt des machines.

En juillet 2022, la société a en outre installé, dans les locaux de son établissement secondaire, un dispositif de vidéosurveillance composé de deux caméras captant en continu l’image et le son des salariés présents dans les locaux, qui leur servaient à la fois de lieu de travail et d’espace de pause, dans un objectif affiché de prévention des atteintes aux biens (vols).

À la suite de plaintes, la présidente de la CNIL a, par décision n° 2022-160C du 29 septembre 2022, chargé le secrétaire général de procéder à une mission de vérification des traitements mis en œuvre par la société. Une délégation de la CNIL a réalisé des contrôles sur place les 17 et 20 octobre 2022 ; les procès-verbaux ont été notifiés à la société les 19 et 24 octobre 2022. Entre octobre et décembre 2022, la société a transmis les éléments complémentaires sollicités.

La présidente de la CNIL a désigné un rapporteur le 5 mars 2024. Le rapport, notifié le 31 mai 2024, proposait à la formation restreinte de retenir plusieurs manquements et de prononcer une amende administrative, ainsi que la publication de la décision. La société a présenté des observations écrites, puis orales lors de la séance du 14 novembre 2024. La formation restreinte a adopté sa délibération le 19 décembre 2024, la décision ayant été publiée le 4 février 2025, accompagnée d’un communiqué intitulé « Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier ».

---

MANQUEMENTS RELATIFS À LA PROCÉDURE : ARGUMENTS DE LA SOCIÉTÉ ET RÉPONSE DE LA FORMATION RESTREINTE

---

1. SUR L’ABSENCE DE COMMUNICATION DES PLAINTES À L’ORIGINE DU CONTRÔLE

 

La société soutenait que les plaintes ayant conduit à la mission de contrôle n’avaient pas été portées à sa connaissance, en méconnaissance du principe du contradictoire et de l’article 6 de la Convention européenne des droits de l’homme. Selon elle, la communication de ces plaintes lui aurait permis de prendre connaissance des griefs formulés, de leur contexte et d’exercer utilement ses droits de défense.

La formation restreinte rappelle, sur le fondement de l’article 40, I, §7 du décret n° 2019‑536 du 29 mai 2019, que « lorsque la procédure a pour origine une réclamation ou une plainte, l’identité de son auteur n’est pas communiquée au mis en cause, à moins que cela soit indispensable à la cessation du ou des manquements constatés ou lorsque les éléments de preuve opposés au mis en cause pour l’établissement du ou des manquements allégués ont été fournis par l’auteur de la plainte ou de la réclamation ».

Elle constate qu’en l’espèce, si des plaintes ont été à l’origine des opérations de contrôle, elles n’ont pas constitué des éléments de preuve servant à caractériser les manquements : ces derniers ont été établis sur la base des constatations des procès‑verbaux de contrôle et des informations communiquées par la société en réponse aux demandes de la délégation. La formation restreinte en déduit que la communication de l’identité des plaignants n’était ni obligatoire ni indispensable à la cessation des manquements, et que le principe du contradictoire n’a pas été méconnu.

---

2. SUR L’ABSENCE DE MISE EN DEMEURE OU D’AVERTISSEMENT PRÉALABLE

 

La société faisait grief à la CNIL de l’avoir saisie directement de la formation restreinte sans avoir au préalable prononcé d’avertissement ni de mise en demeure, alors même qu’elle estimait avoir coopéré pleinement et retiré rapidement le logiciel litigieux.

La formation restreinte rappelle que, conformément à l’article 20, paragraphe IV de la loi Informatique et Libertés, « la décision de saisir la formation restreinte relève des pouvoirs de la présidente de la CNIL, sans qu’une telle décision soit conditionnée au prononcé d’une mise en demeure préalable ». Elle souligne qu’une mesure d’avertissement ne peut être mise en œuvre que pour avertir un organisme qu’un traitement qu’il envisage est susceptible de méconnaître les textes applicables, c’est‑à‑dire à un stade où ce traitement n’est pas encore déployé, ce qui n’était pas le cas en l’espèce.

Se référant à sa propre pratique (SAN‑2021‑021 du 28 décembre 2021) et à la jurisprudence du Conseil d’État (CE, 10e ch., 26 avril 2022, Optical Center, n° 449284), la formation restreinte confirme que les mesures correctrices qu’elle peut prononcer — y compris les amendes — peuvent être prises directement, sans mise en demeure préalable, lorsque la gravité ou la nature des manquements le justifie.

---

3. SUR LE CADRE APPLICABLE : ARTICULATION RGPD / DROIT DU TRAVAIL

 

La société prétendait que la CNIL excédait sa compétence en appréciant la licéité du traitement au regard de dispositions du code du travail, telles que l’article L. 1121‑1, ainsi que de la jurisprudence de la Cour de cassation et du Conseil d’État.

La formation restreinte rappelle qu’en vertu de l’article 8, I, 2° de la loi Informatique et Libertés, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément au RGPD et à ladite loi. L’article 16 de la même loi confie à la formation restreinte la compétence pour sanctionner les responsables de traitement qui ne respectent pas ces obligations. Elle précise que, pour se prévaloir de la base légale de l’intérêt légitime (art. 6, §1, f) RGPD), le responsable de traitement doit opérer un contrôle de proportionnalité entre les intérêts qu’il poursuit et l’atteinte portée aux droits et intérêts des personnes, « ce contrôle s’effectuant en tenant compte du cadre juridique spécifique applicable au traitement, en l’espèce le droit du travail ».

À cet égard, elle renvoie à la jurisprudence antérieure du Conseil d’État, qui avait déjà validé ce raisonnement dans l’arrêt Société Odeolis (CE, 15 décembre 2017, n° 403776), et rappelle avoir elle‑même sanctionné des traitements attentatoires aux droits des salariés à la lumière de l’article L. 1121‑1 du code du travail dans la délibération SAN‑2023‑021 du 27 décembre 2023. Elle conclut que les manquements reprochés sont fondés sur les seules dispositions du RGPD, appréciées à la lumière du droit du travail, ce qui relève pleinement de sa compétence.

---

MANQUEMENTS MATÉRIELS RETENUS PAR LA FORMATION RESTREINTE

---

1. MANQUEMENT AU PRINCIPE DE MINIMISATION (ARTICLE 5, §1, C) RGPD) — DISPOSITIF DE VIDÉOSURVEILLANCE

 

A. CONSTATATIONS DE LA CNIL

L’article 5, §1, c) du RGPD dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le considérant 39 du RGPD ajoute que les données ne devraient être traitées que si la finalité du traitement ne peut raisonnablement être atteinte par d’autres moyens.

Le communiqué de la CNIL décrit le dispositif en ces termes : « Le système de vidéosurveillance, composé de deux caméras, captait en continu les images et le son des salariés présents dans les locaux, qui leur servaient à la fois de lieu de travail et d’espace de pause, dans un objectif de prévention des vols. Ces captations étaient consultables par les encadrants en temps réel ».

La société invoquait la nécessité de prévenir les atteintes aux biens (vols) pour justifier l’installation de ces caméras. Cependant, la formation restreinte relève que la société « ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo ». Elle souligne que le dispositif filmait et enregistrait en permanence des espaces qui constituent à la fois des lieux de travail et des espaces de pause, captant potentiellement des situations de détente, des échanges informels et des conversations privées.

B. QUALIFICATION JURIDIQUE

Compte tenu de la nature des locaux filmés, de la captation permanente du son et de l’image, de l’absence de limitation temporelle ou spatiale et de l’absence de justification circonstanciée, la formation restreinte considère que « de tels agissements portent une atteinte excessive aux droits des salariés et sont donc contraires au principe de minimisation des données » posé à l’article 5, §1, c) du RGPD.

La finalité invoquée de prévention des vols aurait pu être atteinte par des moyens moins intrusifs : captation sans son, angles de vue limités aux zones d’accès sensibles, absence de surveillance des espaces de pause, ou encore recours à des mesures organisationnelles (contrôle d’accès, sécurisation des biens de valeur). Le recours à un dispositif captant en continu l’image et le son des salariés est jugé manifestement disproportionné.

---

2. MANQUEMENT À L’OBLIGATION DE DISPOSER D’UNE BASE LÉGALE (ARTICLE 6 RGPD) — MISE EN ŒUVRE DU LOGICIEL TIME DOCTOR

 

A. MESURE DU TEMPS DE TRAVAIL PAR COMPTABILISATION DES « TEMPS D’INACTIVITÉ »

La société indiquait mettre en œuvre le logiciel TIME DOCTOR à des fins de mesure du temps de travail de ses salariés. Outre le décompte classique des horaires, « la société avait paramétré le logiciel de manière à pouvoir mesurer nominativement les temps qu’elle considérait comme des temps “d’inactivité” des salariés ». Concrètement, « le logiciel détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes ».

Ces temps d’inactivité, une fois comptabilisés, étaient utilisés pour ajuster la rémunération : le communiqué relève que « ces temps “d’inactivité” comptabilisés, à défaut d’être justifiés par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société ».

La formation restreinte constate que les périodes pendant lesquelles le salarié n’utilise pas son ordinateur « peuvent également correspondre à du temps de travail effectif dans le cadre de ses missions (réunions ou appels téléphoniques par exemple) ». Elle en déduit qu’« un tel dispositif ne permet pas un décompte fiable des heures de travail, contrairement à sa finalité annoncée ».

Dans ces conditions, l’intérêt légitime invoqué par la société — assurer le suivi du temps de travail, satisfaire à ses obligations en matière de durée du travail — ne peut justifier un traitement dont les modalités concrètes sont à ce point inadaptées à la finalité poursuivie et portent une atteinte disproportionnée aux droits des salariés. La formation restreinte en conclut que les traitements mis en œuvre à cette fin « ne reposent sur aucune base légale » au sens de l’article 6 du RGPD.

B. MESURE DE LA PERFORMANCE ET CAPTATION PAR SCREENCAST

S’agissant de la mesure de la performance, la société utilisait le logiciel pour déterminer, « sur la base d’une liste de sites web et de programmes préalablement identifiés et paramétrés par la société comme “productifs” ou non, le temps passé sur des sites web jugés non productifs durant leur temps de travail ». Le logiciel était en outre « paramétré par la société pour effectuer des captures régulières des écrans (“screencast”) des ordinateurs des salariés, selon une récurrence déterminée individuellement par la société entre 3 et 15 minutes ».

La formation restreinte souligne que « ce dispositif, tel que paramétré, constitue une surveillance particulièrement intrusive, d’autant qu’il peut conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou mots de passe confidentiels par exemple) ». Elle considère que le dispositif « porte ainsi une atteinte disproportionnée à la vie privée, aux intérêts et aux droits fondamentaux des salariés, et ne repose sur aucune base légale (article 6 du RGPD) ».

En d’autres termes, le contrôle de la productivité des salariés ne peut, même au nom de l’intérêt légitime de l’employeur, justifier une surveillance technique qui saisit et conserve, à intervalles rapprochés, l’intégralité de l’écran du salarié, sans distinction entre activité professionnelle et sphère personnelle et sans limitation fonctionnelle rigoureuse.

---

3. MANQUEMENT À L’OBLIGATION D’INFORMATION (ARTICLES 12 ET 13 RGPD)

 

L’article 13 du RGPD impose au responsable de traitement d’informer les personnes concernées, au moment de la collecte, des principales caractéristiques du traitement (finalités, bases légales, destinataires, durées de conservation, droits, etc.). L’article 12 précise que cette information doit être fournie d’une manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

S’agissant de l’information écrite, la formation restreinte constate que « ni les documents d’information internes à la société, ni les contrats de travail et les contrats d’alternance des salariés, ne permettaient une information écrite suffisante concernant les traitements mis en œuvre par le logiciel de surveillance des postes de travail ».

La société faisait valoir avoir procédé à une information orale des salariés lors de la mise en place du logiciel. La formation restreinte juge cette défense insuffisante : « l’information orale des salariés était mise en avant par la société comme permettant de combler ces lacunes. Cependant, en l’absence de conservation par la société d’une trace écrite de celle-ci, le caractère complet de l’information n’est pas établi. En tout état de cause, cette information orale ne remplit pas, par nature, les conditions d’accessibilité dans le temps prévues par les dispositions de l’article 12 du RGPD ».

Elle retient ainsi un manquement à l’article 13, combiné avec les exigences de l’article 12.

---

4. MANQUEMENT À L’OBLIGATION D’ASSURER LA SÉCURITÉ DES DONNÉES (ARTICLE 32 RGPD)

 

La formation restreinte relève que « la société permettait l’accès partagé à un compte administrateur permettant de consulter les données issues du logiciel de surveillance des postes de travail ». Or, seuls des comptes individuels permettent une traçabilité fiable des accès et des actions réalisées dans le système, en particulier en cas d’incident de sécurité ou de violation de données.

Elle souligne que « cette exigence d’individualisation est d’autant plus importante lorsqu’il s’agit de comptes administrateur, qui disposent de droits très étendus sur les données personnelles traitées par le système, et sont ainsi des cibles privilégiées d’attaques informatiques ».

En conséquence, elle considère qu’« un manquement à l’article 32 du RGPD est donc constitué ».

---

5. MANQUEMENT À L’OBLIGATION DE RÉALISER UNE AIPD (ARTICLE 35 RGPD)

 

L’article 35 du RGPD impose la réalisation d’une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le communiqué de la CNIL souligne que la société n’a pas réalisé d’AIPD pour les traitements mis en œuvre via le logiciel de surveillance des postes de travail, alors que ces traitements « permettent, selon les paramètres définis par la société, d’effectuer une surveillance systématique de ses salariés et […] sont, dès lors, susceptibles d’engendrer un risque élevé pour leurs droits et libertés ».

La formation restreinte en déduit que la société « était dans l’obligation de réaliser une AIPD avant de mettre en œuvre ces traitements via ce logiciel » et qu’en ne le faisant pas, elle a manqué à l’article 35 du RGPD.

---

SANCTION PRONONCÉE ET DISPOSITIF DE LA DÉLIBÉRATION

Au regard de l’ensemble des manquements retenus, la formation restreinte — organe de la CNIL chargé de prononcer les sanctions — a décidé de prononcer une amende administrative de 40 000 euros à l’encontre de la société. Le communiqué précise que le montant a été fixé « au regard des manquements retenus ainsi qu’en tenant compte de la situation financière de la société et de sa petite taille, pour retenir une amende dissuasive mais proportionnée ».

La formation restreinte a également décidé de publier sa délibération, compte tenu « de la gravité des manquements et afin d’informer toute personne soumise à de tels dispositifs ». Elle a toutefois décidé de ne pas nommer la société, « compte tenu de sa taille réduite et du retrait immédiat du logiciel lors du contrôle ».

Le dispositif, tel que reproduit dans la décision, prévoit que la délibération sera publiée sur le site de la CNIL et sur celui de Légifrance, et qu’elle ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

---

CONTEXTUALISATION AU REGARD DE LA JURISPRUDENCE ANTÉRIEURE ET POSTÉRIEURE DE LA CNIL

La délibération SAN‑2024‑021 s’inscrit dans une ligne jurisprudentielle déjà amorcée par la formation restreinte, en particulier dans l’affaire SAN‑2023‑021 du 27 décembre 2023, relative à un acteur de la logistique, dans laquelle la CNIL avait déjà sanctionné l’utilisation d’un outil de suivi extrêmement fin de l’activité des opérateurs (indicateurs de productivité individualisés, mesure de l’« idle time » et du « inferred time », suivi des interruptions). Dans cette précédente affaire, la formation restreinte avait mis l’accent sur le caractère disproportionné de la surveillance et sur le défaut de base légale, au regard de l’article 6 du RGPD et de l’article L. 1121‑1 du code du travail.

La présente affaire en reprend les principes, en les transposant au contexte du télétravail et en ajoutant la problématique de la vidéosurveillance permanente avec captation sonore. Elle confirme que la CNIL considère désormais comme structurellement disproportionnés les dispositifs de suivi en continu de l’activité individuelle des salariés, qu’ils reposent sur des scanners logistiques, des systèmes de mesure du temps d’inactivité ou des logiciels de screencast comme TIME DOCTOR.

Par ailleurs, des décisions postérieures — telles que la délibération SAN‑2025‑017 du 30 décembre 2025, relative au ciblage publicitaire via un réseau social, ou encore les décisions en matière de « caméras augmentées » — confirment le rôle central de l’AIPD comme outil de gouvernance des traitements à risque élevé et la vigilance accrue de la CNIL à l’égard des dispositifs de surveillance technologique des personnes, qu’il s’agisse de salariés ou du grand public.

---

 
 
 

---

POINTS ESSENTIELS

---

Une petite société immobilière a été sanctionnée de 40 000 € pour avoir soumis ses salariés à une double surveillance numérique particulièrement invasive : d’une part, un logiciel de suivi, TIME DOCTOR, installé en version « interactive » sur les ordinateurs personnels et en version « silencieuse » sur les postes fournis par l’employeur, paramétré pour comptabiliser comme temps d’« inactivité » toute absence de frappe clavier ou de mouvement de souris pendant 3 à 15 minutes, temps susceptibles de donner lieu à des retenues sur salaire, et pour réaliser des captures d’écran régulières de l’intégralité du poste de travail ; d’autre part, un dispositif de vidéosurveillance captant en continu l’image et le son dans des locaux servant à la fois de lieu de travail et d’espace de pause.

La formation restreinte de la CNIL retient une chaîne de manquements graves : violation du principe de minimisation (art. 5 §1 c RGPD) pour la captation permanente image + son, absence de base légale (art. 6 RGPD) pour des traitements qualifiés de « surveillance particulièrement intrusive » et jugés disproportionnés au regard de l’article L. 1121‑1 du code du travail, défaut d’information écrite des salariés (art. 12 et 13 RGPD) en l’absence de documentation accessible et traçable, insuffisances de sécurité (art. 32 RGPD) avec un compte administrateur partagé ne permettant pas la traçabilité des accès, et absence d’analyse d’impact (art. 35 RGPD) alors que le dispositif réalise une surveillance systématique des travailleurs ;

dans le droit fil de la décision SAN‑2023‑021 sur le suivi des préparateurs logistiques, la CNIL confirme qu’aucun intérêt légitime ne peut justifier des outils de contrôle qui transforment le télétravail en télésurveillance permanente, et fait de cette affaire un cas d’école pour l’ensemble des employeurs et éditeurs d’outils de monitoring des salariés.