ABSTRACT
Le Responsable de Traitement contrôlé est une Start-Up, SAS domiciliée sur les Champs-Elysées, créée en pleine période de Covid par deux jeunes associés, spécialisée dans l’investissement locatif à haut rendement dont l’atout affiché est de faire usage de modèles d’intelligence artificielle pour détecter et sélectionner des biens immobiliers produisant un rendement exceptionnel à tout investisseur.
Au jour du contrôle de la CNIL en 2022, cette start-up employait près d’une cinquantaine de salariés (pour la plupart étudiants en alternance). La société présentait un résultat net de moins 27k € en 2021 et de près de 200k € en 2022.
La société a été sanctionnée pour avoir mis en place un logiciel de suivi de l’activité des salariés (TIME DOCTOR) utilisé pour mesurer leur temps de travail et leur productivité, et un système de vidéosurveillance captant en continu les images et le son des salariés dans leurs espaces de travail et de pause. Ces dispositifs ont été jugés disproportionnés et attentatoires aux droits fondamentaux des salariés (violation de la vie privée) de manière d’autant plus grave que ces salariés étaient des étudiants en alternance qualifiés de « personnes vulnérables » par la CNIL.
Les manquements principaux concernent l’utilisation du logiciel TIME DOCTOR, qui a été jugée excessive par rapport aux intérêts légitimes de l’entreprise, et le dispositif de vidéosurveillance, dont la nécessité n’a pas été suffisamment justifiée par la société; la société a contesté la régularité de la procédure, arguant que les plaintes à l’origine du contrôle ne lui avaient pas été communiquées et qu’une mesure d’avertissement ou de mise en demeure aurait dû être prise avant toute sanction. La CNIL a rappelé que la communication des plaintes n’est pas obligatoire sauf dans des cas spécifiques et que l’absence de mesure préalable ne constitue pas une irrégularité.
La formation restreinte de la CNIL a constaté les manquements suivants :
Violation des principes de minimisation des données (article 5.1.c du RGPD) et de licéité du traitement (article 6 du RGPD): La CNIL considère que les dispositifs de surveillance mis en place étaient disproportionnés par rapport aux finalités poursuivies (prévention des vols, mesure du temps de travail et évaluation de la productivité). Elle met en avant le caractère intrusif de la captation continue d’images et de sons, ainsi que le suivi détaillé de l’activité des salariés via le logiciel TIME DOCTOR. La CNIL souligne que ces traitements ne reposent pas sur une base légale valide, car ils portent une atteinte excessive aux droits et libertés des salariés.
Manquement à l’obligation d’information (articles 12 et 13 du RGPD): La CNIL relève que l’information fournie aux salariés concernant les traitements mis en œuvre par le logiciel de surveillance des postes de travail était insuffisante, tant au niveau des documents internes de la société que des contrats de travail. Elle critique également l’absence de trace écrite de l’information orale, qui ne permet pas de garantir son accessibilité dans le temps.
Manquement à l’obligation de sécurité des données (article 32 du RGPD): La CNIL constate que l’accès au compte administrateur du logiciel TIME DOCTOR était partagé par plusieurs utilisateurs, ce qui ne permet pas d’assurer une traçabilité adéquate des accès et des actions effectuées sur le système.
Manquement à l’obligation de réaliser une AIPD (article 35 du RGPD): La CNIL estime que les traitements mis en œuvre via le logiciel de surveillance des postes de travail étaient susceptibles d’engendrer un risque élevé pour les droits et libertés des salariés, ce qui rendait obligatoire la réalisation d’une AIPD préalable.
MANQUEMENTS SANCTIONNES | MOTIVATION DE LA CNIL
1. Surveillance excessive via le logiciel TIME DOCTOR
a) Mesure du temps de travail
Le logiciel comptabilisait automatiquement les périodes d’« inactivité » (absence de frappe au clavier ou mouvement de souris) et permettait des retenues sur salaire en cas d’absence de justification. Ce dispositif a été jugé non fiable pour mesurer le temps de travail effectif, qui inclut aussi des tâches ne nécessitant pas l’utilisation d’un ordinateur (réunions, appels téléphoniques, etc.) et disproportionné au regard des finalités poursuivies, en violation des articles 5.1.c (minimisation des données) et 6 (licéité du traitement/ absence de base légale valide) du RGPD.
b) Mesure de la productivité
Le logiciel analysait l’activité des salariés sur certains sites web jugés “productifs” ou “non productifs et effectuait des captures régulières d’écrans (screencasts), parfois toutes les 3 minutes. Ces pratiques ont été considérées comme particulièrement intrusives, pouvant capter des données personnelles sensibles (courriels privés, mots de passe…) et inadaptées aux attentes raisonnables des salariés.
2. Surveillance excessive via le dispositif de vidéosurveillance
Le système captait en continu les images et le son dans les espaces de travail et de pause, sans circonstances exceptionnelles justifiant une telle captation. Ce dispositif a été jugé excessif au regard du principe de proportionnalité (article 5.1.c du RGPD) et non conforme aux exigences du code du travail relatives à la surveillance des salariés (article L.1121-1).
Les caméras enregistraient, en effet, en permanence, les images et le son des salariés, sans justification particulière ni paramétrage adéquat (comme un cache activé pendant les heures de travail) ; ces captations étaient accessibles en temps réel via une application mobile.
3. Manquement à l’obligation d’information
Le logiciel ayant été installé en version « silencieuse » sur les ordinateurs portables remis par la Société à ses salariés alternants, ces derniers ne pouvaient, par suite, être valablement informés des droits dont ils disposaient à l’égard de ces traitements opérés à leur insu par la société.
La CNIL a donc naturellement sanctionné la société pour ne pas avoir fourni une information complète et accessible aux salariés sur les traitements opérés :
– les documents internes (règlement intérieur, contrats) ne mentionnaient pas toutes les informations requises par l’article 13 du RGPD
– l’information orale invoquée par la société n’était ni documentée ni accessible dans le temps, et ne remplissait pas ainsi les critères d’accessibilité et traçabilité requis, en violation des articles 12 et 13 du RGPD.
4. Manquement à l’obligation d’assurer la sécurité des données
La société utilisait un compte administrateur partagé pour accéder aux données issues du logiciel TIME DOCTOR, compromettant la traçabilité des actions, la confidentialité et l’intégrité des données, augmentant par voie de conséquence les risques liés à la sécurité en violation des dispositions de l’article 32 du RGPD
Dans sa décision SAN-2021-012 du 15 avril 2021, la CNIL avait rappelé que l’individualisation des comptes administrateurs était une mesure élémentaire pour garantir la sécurité des données.
5. Absence d’analyse d’impact relative à la protection des données (AIPD)
La société n’a pas réalisé d’AIPD avant de mettre en œuvre les traitements via TIME DOCTOR, traitements pourtant susceptibles d’engendrer un risque élevé pour les droits et libertés des salariés (article 35 du RGPD)., d’autant plus que ce manquement est aggravé par le déséquilibre inhérent à la relation employeur-salarié.
Dans sa Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, la CNIL avait rappelé que l’individualisation des comptes administrateurs était une mesure élémentaire pour garantir la sécurité des données.
SANCTIONS PROPOSEES PAR LE RAPPORTEUR EN AUDIENCE
Amende proposée: 75 000 euros
Motifs exposés par le rapporteur:
=> l’avantage économique tiré par la société de la mise en oeuvre des traitements en cause ne constitue pas un des conditions de l’article 83 du RGPD, même s’il doit être pris en considération pour la détermination du montant de l’amende.
=> les éléments financiers communiqués par la société ne démontrent pas une baisse de son chiffre d’affaires et de son résultat net, mais au contraire une augmentation de ceux-ci.
=> la gravité des manquements portent notamment sur une surveillance continue des salariés
Publicité:
=> les manquements sont graves, même s’ils ne se sont pas étendus pendant des années
=> les personnes concernées sont des personnes vulnérables
=> l’information du public importe, quel que soit le nombre de personnes concernées en l’état par ces manquements
=> la place de la société sur le marché
Chiffre d’affaires 2022: ~950 000 euros / Résultat net 2022: ~200 000 euros
SANCTIONS
1. Amende administrative
Une amende de 40 000 € a été prononcée, tenant compte de la gravité des manquements, de la coopération de la société avec la CNIL, de sa réactivité partielle pour corriger certains manquements, de sa taille réduite et de ses capacités financières limitées.
2. Publicité partielle
La décision a néanmoins été rendue publique sans identification nominative de la société, en raison du nombre limité de personnes concernées, et du retrait relativement rapide des dispositifs incriminés.
CONTEXTE JURISPRUDENTIEL
La décision de la CNIL s’inscrit dans un contexte jurisprudentiel bien établi concernant la surveillance des salariés et fondé en grande partie sur les dispositions de l’article L. 1121-1 du code du travail aux termes desquelles les restrictions aux droits et libertés des salariés doivent être justifiées par la nature de la tâche à accomplir et proportionnées au but recherché
La CNIL rappelle ainsi que l’employeur a le droit de surveiller ses salariés, mais qu’il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856). Elle souligne également que l’utilisation d’un dispositif de surveillance n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace (Cass. Soc., 19 décembre 2018, n°17-14.631).
Par ailleurs, la CNIL s’appuie sur une jurisprudence établie du Conseil d’Etat rappelant la nécessité d’un contrôle de proportionnalité entre les intérêts poursuivis par l’employeur et l’atteinte portée aux droits et intérêts des salariés (CE, 15 décembre 2017, 10ème et 9ème Ch. réunies, Société Odeolis, n°403776) et d’autre part, le caractère illicite des captations vidéo/son continues en l’absence de circonstances exceptionnelles (CE, 18 novembre 2015, PS Consulting)
De même, la CNIL se fonde sur la jurisprudence de la CJUE « Asociatja de Proprietari bloc M5A-ScaraA, aff. C-708/18 , 11 décembre 2019 » qui relève l’importance de la mise en balance des intérêts dans le cadre de la base légale de l’intérêt légitime, en tenant compte des attentes raisonnables des personnes concernées.
La CNIL, pour finir, confirme les conclusions de sa sanction AMAZON FRANCE LOGISTICS SAN-2023-021 du 27 décembre 2023, aux termes desquelles AMAZON France est sanctionné pour avoir mis en place un système de surveillance automatisée des salariés mesurant très précisément les interruptions d’activité et rappelle les exigences renforcées nécessitant une AIPD pour les traitements RH à haut risque