CNIL | SAN-2024-021 | 19 DÉCEMBRE 2024 | AFFAIRE […] |
QUAND LE MANAGEMENT CONFOND PILOTAGE ET FLICAGE: LOGICIEL ESPION, CAMÉRA ET MICRO DANS LA SALLE DE PAUSE
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Surveillance excessive des salariés (logiciel TIME DOCTOR & vidéosurveillance)
Manquements aux articles 5.1.c, 6, 12, 13, 32 et 35 du RGPD
I.
Une surveillance à double composante révélée lors du contrôle CNIL d’octobre 2022
À compter du mois de septembre 2021, une société par actions simplifiée exerçant une activité d’agence immobilière a déployé le logiciel TIME DOCTOR auprès de ses salariés non-cadres dans le cadre du télétravail. Ce logiciel, utilisé pendant un an et deux mois avant d’être désinstallé le 17 octobre 2022 lors des opérations de contrôle de la CNIL, était installé selon deux versions. La première, dite interactive, nécessitait une activation manuelle par le salarié sur son ordinateur personnel. La seconde, dite silencieuse, s’activait automatiquement au démarrage des ordinateurs fournis par la société, sans que le salarié puisse en percevoir l’état actif ou inactif ni le désactiver pendant ses temps de pause.
En complément, à partir de juillet 2022, la société avait installé dans les locaux de son établissement secondaire un dispositif de vidéosurveillance composé de deux caméras captant en continu les images en haute définition et le son des salariés sur leurs lieux de travail — qui servaient également de lieux de pause —, les images étant consultables en temps réel par les encadrants via une application mobile. La société justifiait formellement ce dispositif par la prévention des atteintes aux biens.
Les opérations de contrôle ont conduit à la désignation d’une rapporteure et, in fine, à la délibération de la formation restreinte du 19 décembre 2024 retenant cinq catégories de manquements.
II.
L’absence de base légale : la disproportion au cœur de la délibération
La formation restreinte a examiné l’ensemble des traitements à l’aune de l’article 6, paragraphe 1, f du RGPD — la seule base légale susceptible de s’appliquer étant celle de l’intérêt légitime — et de l’article L. 1121-1 du code du travail, qui interdit de porter aux droits des personnes des restrictions non justifiées par la nature de la tâche et non proportionnées au but recherché.
S’agissant de la vidéosurveillance, la formation restreinte a caractérisé le manquement à l’article 5, paragraphe 1, c du RGPD (minimisation des données) et à l’article 6 (absence de base légale). La captation permanente des images en haute définition et du son, y compris sur les espaces de pause, en l’absence de toute circonstance exceptionnelle justificative, excède ce qui est nécessaire au regard de la finalité de prévention des vols. La jurisprudence est constante sur ce point : la Cour de cassation (Cass. Soc., 23 juin 2021, n° 19-13.856) et le Conseil d’État (CE, 18 novembre 2015, Société PS Consulting, n° 371196) considèrent attentatoire à la vie personnelle du salarié toute surveillance permanente par vidéo. La formation restreinte a en outre rappelé que la captation du son n’est admissible que dans des circonstances exceptionnelles et ne devrait jamais être mise en œuvre en continu.
S’agissant du logiciel TIME DOCTOR pour la mesure du temps de travail, la fonctionnalité time out détectait automatiquement les périodes sans frappe sur le clavier ni mouvement de souris, identifiées comme « idle minutes », et pouvait conduire à des retenues sur salaire pour les heures non justifiées. La formation restreinte a relevé que des périodes d’inactivité informatique peuvent parfaitement correspondre à du temps de travail effectif au sens de l’article L. 3121-1 du code du travail (réunions, appels téléphoniques, travail manuel). Elle a jugé que ce dispositif, qui imposait aux salariés de justifier a posteriori des dizaines d’heures comptabilisées comme inactives, ne constitue pas un instrument de décompte fiable au sens de l’article L. 3171-4 du code du travail et porte une atteinte disproportionnée aux droits des salariés.
S’agissant du logiciel TIME DOCTOR pour la mesure de la productivité, la fonctionnalité screencast effectuait des captures régulières des écrans à intervalles de 3 à 15 minutes, tandis que le logiciel enregistrait le temps passé sur des sites web classés « productifs » ou « non productifs » par la direction. La formation restreinte a relevé le caractère quasi-permanent de cette surveillance, sa capacité à capter des éléments d’ordre strictement privé (courriels personnels, mots de passe), et l’existence d’alternatives moins intrusives déjà utilisées par la société pour certains départements. L’argument selon lequel la société n’aurait pas consulté les captures d’écran a été expressément écarté : la société avait sciemment paramétré ces fonctionnalités en amont et la collecte de données sans utilité avérée est contraire au principe de finalité.
III.
L’opacité informationnelle : un double manquement aux articles 12 et 13 du RGPD
La formation restreinte a constaté que ni les documents écrits remis aux salariés (règlement intérieur, charte informatique, contrats de travail et d’alternance), ni l’information orale invoquée par la société ne satisfaisaient aux exigences des articles 12 et 13 du RGPD. Les documents écrits omettaient notamment la durée de conservation des données, les droits d’accès, de rectification, d’effacement, d’opposition, de limitation et de portabilité, ainsi que le droit d’introduire une réclamation auprès de la CNIL. S’agissant de l’information orale, la formation restreinte a rappelé que l’article 12 du RGPD ne l’admet qu’à la demande expresse de la personne concernée et que, faute de trace écrite, son caractère complet ne peut être établi. Par nature, une information orale ne garantit pas l’accessibilité dans le temps requise par le RGPD. Pour la vidéosurveillance, l’unique signalétique affichée — un pictogramme de caméra et la mention « espace sous vidéo surveillance » — était dépourvue de toute information requise par le RGPD et ne renvoyait à aucun document complémentaire.
IV.
Un compte administrateur partagé : le manquement à l’article 32 du RGPD
Un encadrant et trois associés de la société accédaient aux données nominatives d’activité des salariés collectées par le logiciel TIME DOCTOR en utilisant le compte administrateur unique d’un seul d’entre eux, partageant ainsi le même mot de passe. La formation restreinte a rappelé que seuls les comptes individuels permettent une traçabilité correcte des accès, une imputabilité des opérations et une investigation efficace en cas d’incident ou de violation de données. L’utilisation d’un compte administrateur partagé — compte disposant de droits étendus sur des données personnelles et constituant une cible privilégiée d’attaques — sans aucune mesure complémentaire (bastion, main courante) est constitutive d’un manquement aux mesures de sécurité élémentaires visées à l’article 32 du RGPD.
V.
L’absence d’AIPD préalable : le manquement à l’article 35 du RGPD
La société n’avait réalisé aucune analyse d’impact relative à la protection des données préalablement à la mise en œuvre des traitements opérés par le logiciel TIME DOCTOR. Elle soutenait relever des traitements exemptés au titre de la délibération CNIL n° 2019-118 (contrôle des horaires pour les organismes de moins de 250 personnes). La formation restreinte a rejeté cet argument : les traitements opérés par TIME DOCTOR excèdent largement un simple contrôle d’horaires à l’instar d’une badgeuse et entrent dans le champ des traitements de surveillance systématique des employés pour lesquels une AIPD est requise au titre de la délibération n° 2018-327. La vulnérabilité accrue des personnes concernées — 60 % d’alternants dépendants de leur employeur pour la validation de leur diplôme — renforçait cette obligation. L’AIPD, si elle avait été conduite, aurait permis à la société de constater la disproportion de ses choix techniques avant leur déploiement.
VI.
L’appréciation modulée de l’intentionnalité
La formation restreinte a opéré une distinction nette entre les différents manquements retenus. S’agissant du logiciel TIME DOCTOR, elle a caractérisé une intentionnalité dans la mesure où la société avait sciemment et délibérément activé et paramétré les options time out et screencast pour chaque salarié, selon des modalités de durée et de récurrence volontairement déterminées en amont. S’agissant de la vidéosurveillance permanente, la formation restreinte a retenu, à tout le moins, une négligence de la part de la société. Pour les manquements à l’information, à la sécurité et à l’AIPD, elle a reconnu l’absence d’intentionnalité, tout en qualifiant ces manquements de résultant d’une négligence aggravée, d’une part par l’absence de mesures de sécurité élémentaires pour sécuriser le compte administrateur, et d’autre part par l’intentionnalité concomitante dans la mise sous surveillance permanente.
Au titre des circonstances atténuantes, la formation restreinte a pris en compte la désinstallation immédiate du logiciel TIME DOCTOR lors des opérations de contrôle et la coopération prompte de la société avec les services de la CNIL. Elle a relevé en revanche que les caméras de vidéosurveillance n’avaient été désinstallées qu’en juillet 2024, soit un an et neuf mois après les contrôles, et que la notice d’information complète n’avait été adressée aux salariés qu’à cette même date, en cours de procédure de sanction.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats