Le 27 décembre dernier, la CNIL a condamné Amazon Logistique France à une amende de 32 000 000€  pour surveillance excessive de ses salariés. Une sanction historique et un rappel important, applicable à toute entreprise qui pratique de la vidéosurveillance et du monitoring (oui, oui, cela peut également vous concerner !). 

Des salariés sous haute surveillance 

La CNIL a révélé que l’ensemble des salariés d’Amazon Logistique France étaient hautement surveillés et monitorés, par la vidéosurveillance et le tracking de leur productivité via des scanners. Des pratiques que la CNIL autorise, mais qui doit être cependant fortement nuancée. 

 Il est essentiel de souligner que de telles pratiques ne se limitent pas à des entreprises de la taille d’Amazon, mais peuvent également toucher des TPE/PME impliquées dans la gestion des stocks, le transport ou la logistique.

Utilisation de la vidéosurveillance & manque d’information

Si l’utilisation de la vidéosurveillance est autorisée, quelques obligations (notamment d’information et de sécurité) doivent être nécessairement respectées pour assurer la protection des données personnelles des personnes concernées. En effet, les images de vidéosurveillances constituent des données personnelles, et sont donc ainsi nécessairement soumises au respect du RGPD. 

Les salariés et visiteurs extérieurs étaient mal informés concernant l’usage de la vidéosurveillance à leur égard. L’article 13 du RGPD prévoit une obligation d’information complète et accessible, une obligation qu’Amazon Logistique France n’a pas su respecter. 

En effet, les intérimaires n’étaient pas invités à consulter la politique de confidentialité présente sur l’intranet, la CNIL évoquant alors un manque d’accessibilité, constituant un défaut quant à cette obligation d’information. 

Concernant les salariés, les panneaux d’affichages présents dans l’établissement ne contenaient pas toutes les informations pourtant obligatoires, telles que les coordonnées du DPO, les durées de conservation et la possibilité d’introduire une réclamation auprès de la CNIL. Des informations indispensables, mais qui n’étaient pourtant mentionnées sur aucun document ! 

💡 La CNIL conçoit qu’il est possible de ne pas indiquer toutes ces informations sur un panneau d’affichage, à la condition exclusive cependant que le panneau renvoie vers des documents complets. 

Les visiteurs extérieurs, eux aussi concernés par le traitement de leurs données via la vidéosurveillance, n’avaient eux accès à aucune information concernant le traitement de leurs données. 

De plus, la CNIL déplore un manquement à l’article 32 du RGPD, qui introduit une obligation de sécurité du traitement. En effet, lors des contrôles réalisés sur place, la CNIL a découvert que le mot de passe permettant d’accéder au logiciel de vidéosurveillance ne rencontrait pas les standards de robustesse recommandés (12 caractères, majuscules, minuscules, chiffres et caractères spéciaux) et qu’il était partagé plusieurs membre du personnel. 

Ainsi, ce manque d’information et ce défaut de sécurité, constituent quelques une des principales raisons justifiant le montant de l’amende, car des milliers d’employés sont concernés par ce dispositif de vidéosurveillance, ce qui représente un risque important pour les droits et libertés fondamentales des personnes concernées. 

Même si cette sanction concerne uniquement Amazon, ce sont en réalité des erreurs commises par de nombreuses TPE et PME au quotidien ! En effet, la vidéosurveillance est une pratique commune utilisée par de nombreuses entreprises, peu importe leur taille et peu importe le secteur. Le RGPD s’applique à tous ! De ce fait, chaque entreprise doit respecter toutes les obligations d’information et de sécurité qu’impliquent la mise en place de la vidéosurveillance. 

Un tracking de l’activité jugé “excessif”

Les employés d’Amazon France Logistique sont amenés à scanner des produits dans l’exercice de leur activité. Chaque scan réalisé constitue une donnée, qui permet notamment à Amazon de surveiller l’activité et la productivité de chaque salarié. 

Il est crucial de rappeler que le suivi des salariés ne se limite pas à des géants tels qu’Amazon. La surveillance disproportionnée et le maintien constant des employés sous pression peuvent être mis en œuvre par des entreprises de toutes tailles, y compris des PME. Cette pratique n’est pas exclusive à une seule entreprise, et la vigilance est nécessaire dans tous les secteurs.

Une période de temps sans scan permet à Amazon de détecter qu’un salarié est peu productif. Ce monitoring a généré plusieurs plaintes de la part des salariés, qui étaient amenés à justifier potentiellement de chaque pause ou interruption de leur activité. De plus, le monitoring détectait précisément la vitesse des scans à réalisés : un scan trop rapide (1,25 secondes entre deux scans) augmentait le risque d’erreur, et était signalé à l’employé. 

Si la CNIL ne remet pas en question et n’interdit pas la surveillance de l’activité d’un salarié, elle sanctionne néanmoins la collecte excessive de données, l’illicéité d’un traitement et le manque d’information et transparence. 

• La CNIL retient un manquement au principe de minimisation des données (article 5.1 du RGPD) : la formation restreinte rappelle que la formation et la réaffectation d’un salarié peut être réalisée grâce à des données en temps réel, et sans avoir besoin de conserver les données de monitoring pendant 31 jours, comme le faisait prévaloir Amazon. 

• La CNIL considère que les traitements relatifs à la détection de période d’inactivité et aux scans trop rapides pouvant créer des erreurs sont excessifs, et ne peuvent être fondés sur la base de l’intérêt légitime (article 6 du RGPD). D’après les contrôles réalisés sur place, l’autorité de contrôle affirme que les indicateurs en temps réels constitue une source d’informations suffisante, et que la sauvegarde des données relatives à ces trois traitements est trop excessive, surtout considérant qu’ils peuvent amener le salarié à justifier chaque période d’inactivité, ce que la formation restreinte trouve trop intrusif. 

Une décision importante 

Au-delà du montant historique de l’amende, cette décision de la formation restreinte de la CNIL met en avant de réelles problématiques rencontrées par l’ensemble des entreprises aujourd’hui. La vidéosurveillance et le monitoring sont deux activités certes compatibles avec le RGPD. Mais comme nous l’avons vu, la CNIL reste très prudente et sanctionne très fermement tout manquement et violation des grands principes de base du RGPD.

Plusieurs enseignements et rappels sont à souligner : 

• La vidéosurveillance est autorisée, mais l’information doit être complète, accessible et disponible pour l’ensemble des personnes concernées par la vidéosurveillance (salariés, intérimaires, visiteurs). 
• Le monitoring est autorisé, mais l’intérêt légitime doit être prouvé.
• Lors d’un monitoring, la collecte de chaque donnée doit être justifiée. 
• La conservation des données relatives au monitoring doit être réalisée avec une grande prudence, surtout lorsque des données récoltées en temps réel permettraient de réaliser les mêmes finalités. 

Il est essentiel de souligner que malgré les mesures d’amélioration que prétend avoir mises en place Amazon, la condamnation pour des pratiques passées demeure. Cette situation met en lumière l’importance pour les entreprises d’agir de bonne foi dès le départ, car même une régularisation ultérieure ne garantit pas l’échappatoire aux sanctions.

Agir de manière éthique dès le départ est non seulement une responsabilité sociale, mais aussi une stratégie commerciale judicieuse pour éviter des répercussions négatives à long terme.

Pour en savoir plus : Délibération SAN-2023-021 du 27 décembre 2023 – Légifrance