La CNIL a sanctionné une société d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés.
Le contexte
Une société intervenant dans le secteur immobilier avait installé sur les ordinateurs de certains de ses salariés un logiciel de suivi de leur activité dans le cadre du télétravail. Elle avait également recours à un système de vidéosurveillance dans ses locaux pour la prévention des atteintes aux biens (vols).
À la suite de plaintes, la CNIL a procédé à un contrôle. Lors de ses investigations, la CNIL a notamment constaté que la société filmait en permanence ses salariés, en captant l’image et le son, et qu’elle mesurait leur temps de travail et évaluait leur performance de manière très précise par le biais du logiciel installé sur leurs ordinateurs.
Les manquements sanctionnés
Des manquements relatifs à la surveillance excessive des salariés
Un manquement relatif à la mise en œuvre du système de vidéosurveillance
Le système de vidéosurveillance, composé de deux caméras, captait en continu les images et le son des salariés présents dans les locaux, qui leur servaient à la fois de lieu de travail et d’espace de pause, dans un objectif de prévention des vols. Ces captations étaient consultables par les encadrants en temps réel via une application mobile.
La société ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo. De tels agissements portent une atteinte excessive aux droits des salariés et sont donc contraires au principe de minimisation des données (article 5.1.c du RGPD).
Un manquement relatif à la mise en œuvre du logiciel de surveillance des postes de travail
Le logiciel détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes. Ces temps « d’inactivité » comptabilisés, à défaut d’être justifiés par les salariés ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire par la société.
En outre, le logiciel était paramétré par la société pour effectuer des captures régulières des écrans (« screencast ») des ordinateurs des salariés, selon une récurrence déterminée individuellement par la société entre 3 et 15 minutes.
Un manquement à l’obligation d’information des personnes concernées (articles 12 et 13 du RGPD)
S’agissant de l’information écrite des salariés, ni les documents d’information internes à la société, ni les contrats de travail et les contrats d’alternance des salariés, ne permettaient une information écrite suffisante concernant les traitements mis en œuvre par le logiciel de surveillance des postes de travail, ce qui constitue un manquement à l’article 13 du RGPD.
L’information orale des salariés était mise en avant par la société comme permettant de combler ces lacunes. Cependant, en l’absence de conservation par la société d’une trace écrite de celle-ci, le caractère complet de l’information n’est pas établi. En tout état de cause, cette information orale ne remplit pas, par nature, les conditions d’accessibilité dans le temps prévues par les dispositions de l’article 12 du RGPD.
Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)
La société permettait l’accès partagé à un compte administrateur permettant de consulter les données issues du logiciel de surveillance des postes de travail. Or, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système, notamment lors d’investigation en cas d’incident de sécurité ou de violation de données.
Plus d’infos : https://www.cnil.fr/fr/surveillance-excessive-des-salaries-sanction-de-40-000-euros-entreprise-secteur-immobilier
Voir nos prestations en e-réputation : votre-reputation.com
Et spécialement la rubrique Professionnels, Entreprises et Dirigeants : votre-reputation.com/entreprises-et-dirigeants/
Voir aussi nos offres de veille-image : votre-reputation.com/veille/
