Dans une délibération rendue le 19 décembre 2024 (SAN-2024-021), publié le 4 février dernier, la Commission Nationale de l’Informatique et des Libertés (Cnil) a sanctionné lourdement une entreprise en raison de plusieurs manquements au RGPD.
L’entreprise en question avait mis en œuvre plusieurs moyens de contrôle jugés excessifs par la Commission. L’entreprise avait mis en place un logiciel qui comptabilisait les périodes d’activité et d’inactivité des salariés, en détectant l’absence de frappe sur le clavier ou l’absence de mouvement de la souris pendant des périodes de 3 à 15 minutes. Ces temps d’inactivité faisaient ensuite l’objet d’une retenue sur salaire.
De plus, des captures d’écran étaient réalisées régulièrement en vue de surveiller l’activité des salariés. Le dispositif permettant les captures d’écran était parfois installé en version silencieuse sur les ordinateurs professionnels, à l’insu des salariés.
Enfin, l’entreprise avait mis en place un système de vidéosurveillance, captant le son et les images dans les espaces de travail et de pause.
Concernant la vidéosurveillance, la Cnil rappelle que les caméras ne doivent pas filmer les salariés sur leur poste de travail, sauf circonstances particulières comme en cas de manipulation d’argent ou de biens de valeur. Les zones de pause ne doivent pas être filmées, tout comme les espaces dédiés aux représentants du personnel.
De plus, les salariés doivent être informés individuellement de la mise en place d’un dispositif de surveillance et le CSE doit être préalablement informé et consulté.
Concernant le contrôle de l’activité des salariés à distance, la Cnil n’interdit pas qu’un tel contrôle puisse être réalisé dès lors qu’il est proportionné à l’objectif poursuivi et ne porte pas atteinte aux droits et aux libertés du salarié.
Le logiciel permettant de contrôler les temps d’activité et d’inactivité engendrait une surveillance très intrusive, sans compter le système de capture d’écran qui pouvait permettre l’interception d’éléments relevant de la vie privée, comme des mails personnels, des mots de passe confidentiels, etc.
En l’espèce, aucune information écrite n’avait été réalisée auprès des salariés quant au logiciel de surveillance. L’employeur a soutenu qu’une information orale avait néanmoins été réalisée, mais la Cnil a considéré que ce n’était pas suffisant pour garantir que chaque salarié avait été personnellement informé au sens de l’article L. 1222-4 du code du travail.
Au vu de ces manquements multiples, la Cnil a décidé de sanctionner l’entreprise d’une amende de 40.000 euros. La Cnil a également procédé à la publication de la sanction afin de rappeler à toutes les entreprises l’importance de respecter la protection des données personnelles des salariés et de limiter la surveillance de l’activité des travailleurs.
