Par Haas Avocats
Le 19 décembre 2024, la CNIL a sanctionné une société exerçant ses activités dans l’immobilier (société)[1]. Dans le cadre de la mise en place du télétravail, la société avait mis en place un logiciel « TIME DOCTOR » (logiciel) pour le suivi des activités des salariés[2].
De plus, la société avait mis en place un dispositif vidéo de deux caméras afin de prévenir les atteintes aux biens.
Dans cette délibération, la CNIL met en exergue le fait que si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis. Aussi, si l’employeur en a la possibilité et pour être conforme aux exigences du RGPD, il doit notamment recourir à des moyens moins intrusifs, de sorte que l’atteinte ne soit pas disproportionnée aux droits des salariés à la vie privée.
La CNIL sanctionne ladite société d’une amende de 40 000 euros compte tenu de la taille de la société et du faible nombre de personne concernées ainsi que la coopération de la société lors du contrôle [3]. Comme quoi, coopérer avec la CNIL peut s’avérer payant !
La CNIL rappelle dans un premier temps les fondements juridiques et principes juridiques permettant d’apprécier la proportionnalité du dispositif et du logiciel.
Devant une telle surveillance (peut-on dire flicage ?) et malgré le fait que la société explique qu’elle n’a pas utilisé ce logiciel longtemps et qu’elle avait procédé immédiatement à la suppression des contenus, c’est sans surprise que la CNIL estime que ces traitements étaient disproportionnés par rapport aux finalités poursuivies.
Après de longs développements, et après avoir indiqué que « (…)en l’absence de conservation par la société d’une trace écrite de l’information orale fournie, le caractère complet de l’information n’est pas établi (…) [5]» la CNIL considère que l’information fournie aux salariés relative au dispositif de vidéosurveillance n’était pas conforme aux dispositions des articles 12 et 13 du RGPD.
Ce point rappelle bien entendu l’importance de l’accountability[6] dans la sécurisation juridique des entreprises.
Cerise sur le gâteau, après avoir analysé, entre autres, les modalités de partage du compte administrateur du logiciel, la CNIL considère que la société a méconnu les dispositions de l’article 32 du RGPD.
En ne réalisant pas une AIPD préalablement à la mise en œuvre de ce traitement, la société a commis un manquement à l’article 35 du RGPD.
Cette affaire illustre parfaitement l’importance du respect des principes de proportionnalité et de transparence dans la mise en place de dispositifs de surveillance en entreprise. Si l’employeur dispose d’un droit de contrôle sur l’activité de ses salariés, celui-ci doit s’exercer dans le cadre strict défini par le RGPD et la CNIL. L’usage en entreprise de technologies intrusives, comme les logiciels de surveillance poussée ou la vidéosurveillance continue, expose les entreprises à des sanctions lourdes si leur déploiement n’est pas suffisamment encadré.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] L’enquête de la CNIL a débuté en 2022.
[2] Deux versions du logiciel ont été installées, une dite « interactive » (avec accord verbal du salarié) et une dite « silencieuse ».
[3] « Néanmoins, la formation restreinte considère que, compte tenu du nombre limité des personnes concernées eu égard à la taille réduite de la société, laquelle a de surcroît indiqué en cours d’instruction avoir, depuis les opérations de contrôle, réduit sa masse salariale, et du retrait immédiat du logiciel par cette dernière lors de ces contrôles, une publicité de la décision sans que la société y soit nommément identifiée, est suffisante à cette fin. »
[4] « La rapporteur relève qu’il ressort des indications données par la société lors des opérations de contrôle que le logiciel TIME DOCTOR a été mis en œuvre par cette dernière non seulement à des fins de mesure du temps de travail des salariés, mais également à des fins d’évaluation de leur productivité.(…) « Ainsi, d’une part, ce logiciel comptabilisait les temps d’inactivité des salariés à travers leurs mouvements de souris et leur activité sur leurs claviers (" idle minutes "). D’autre part, il visait également à mesurer la productivité des salariés en procédant à des captures régulières de leurs écrans d’ordinateur (" screencast ") et en comptabilisant leur temps passé sur certains sites web préalablement paramétrés comme productifs ou non par la société. »
[5] « La formation restreinte considère que la société n’a pas satisfait à son obligation de fournir une information complète, transparente et aisément accessible aux personnes concernées en méconnaissance des articles 12 et 13 du RGPD »
[6] Article 5 du RGPD