Surveillance des salariés : la CNIL sanctionne une agence pour atteinte disproportionnée aux libertés
La CNIL a prononcé une amende de 40 000 € à l’encontre d’une agence immobilière ayant mis en place une surveillance jugée excessive de ses salariés. Cette décision, rendue publique le 4 février 2025, illustre les limites imposées par le RGPD en matière de contrôle des employés.
L’entreprise avait installé un logiciel destiné à mesurer le temps de travail de ses collaborateurs en télétravail. Ce logiciel enregistrait les périodes d’inactivité supposée, calculées à partir des mouvements de souris et des frappes clavier, et procédait à des captures d’écran régulières. En parallèle, un dispositif de vidéosurveillance permanente couvrait les postes de travail et les espaces de repos, avec captation sonore et visualisation en temps réel via une application mobile.
Une atteinte disproportionnée aux droits des salariés
Si l’employeur dispose d’un intérêt légitime à évaluer la productivité ou à sécuriser ses locaux, encore faut-il que les dispositifs mis en œuvre soient proportionnés aux finalités poursuivies (RGPD, art. 6.1.f). Or, la CNIL a estimé que le système installé ne respectait pas ce principe.
Le logiciel interprétait comme temps non travaillé toute période d’inactivité de 3 à 15 minutes, sans prise en compte des activités professionnelles silencieuses (réunions, appels, travail manuel). La retenue sur salaire pouvant découler de ces calculs a été jugée infondée. La CNIL a souligné l’absence de fiabilité de ce type de mesure pour évaluer réellement le temps de travail effectif.
Surveillance visuelle et collecte excessive de données
Le dispositif de captures d’écran et de surveillance de la navigation internet a également été critiqué. Il entraînait un risque de collecte de données sensibles, comme des mots de passe ou des échanges confidentiels. Selon la CNIL, d'autres moyens moins intrusifs existent pour mesurer la productivité.
Concernant la vidéosurveillance, la Commission a rappelé que filmer en continu les employés, y compris dans les espaces de repos, constitue une atteinte excessive à la vie privée, contraire à l’article 5 du RGPD. Une telle surveillance ne peut se justifier que dans des cas exceptionnels.
Manquements à l’information et à la sécurité des données
L’agence n’avait pas suffisamment informé les salariés sur les traitements de données opérés. Ni les contrats, ni les documents internes ne détaillaient les finalités, les droits des personnes ou les moyens de recours, en infraction avec les articles 12 et 13 du RGPD. Un pictogramme de caméra ne peut suffire à remplir cette obligation d’information.
Par ailleurs, la sécurité des données n’était pas assurée : un compte administrateur partagé par plusieurs personnes compromettait la traçabilité des accès. La CNIL rappelle que ces pratiques exposent les données à des risques accrus et nécessitent des mesures complémentaires de sécurité, telles que la consignation des connexions ou l’individualisation des accès.
Absence d’analyse d’impact préalable
Enfin, aucune AIPD (analyse d’impact relative à la protection des données) n’a été réalisée avant le déploiement du dispositif, alors même qu’il impliquait une surveillance systématique, susceptible de porter une atteinte grave aux droits des personnes concernées. Ce défaut constitue une violation de l’article 35 du RGPD.
Cette décision rappelle fermement que le contrôle des salariés ne saurait se faire au détriment de leurs libertés fondamentales. Les outils numériques de surveillance doivent toujours faire l’objet d’une évaluation rigoureuse, tant sur le plan juridique que technique, avant leur mise en œuvre.
