CNIL – Délibération SAN-2024-021 du 19 décembre 2024 : surveillance excessive et disproportionnée des salariés via un logiciel de suivi d’activité

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000051120331

Outre une système de vidéosurveillance permanent, la CNIL sanctionne, comme disproportionné par rapport au but poursuivie, la mise en place d’un logiciel (TIME DOCTOR) de suivi d’activité de certains de ses salariés en télétravail.

TIME DOCTOR a été mis en œuvre non seulement à des fins de mesure du temps de travail des salariés mais également et à des fins d’évaluation de la productivité :

• Comptabilisation des temps d’inactivité à travers les mouvements de souris et l’activité sur leurs claviers : « idle minutes » ;
  • Captures régulières de leurs écrans d’ordinateur (« screencast ») ;
  • Comptabilisation des temps passés sur certains sites web préalablement paramétrés comme productifs ou non par la société ;
  • Enregistrement en temps réel des sites consultés et des périodes d’inactivité sur la base de l’absence de mouvements de clavier et de souris.

La CNIL retient en premier lieu sa compétence en application des articles 8, 2 et 8, I, 2° de la loi informatique et libertés selon lesquels elle « veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles ».

Elle rappelle sa compétence pour sanctionner tous manquements au regard des dispositions du RGPD et de la loi Informatique et Libertés et notamment lorsque ces manquements portent une atteinte disproportionnée aux droits des salariés à la vie privée, à la protection de leurs données personnelles, à des conditions de travail qui respectent leur sécurité, leur santé et leur dignité, et en particulier au droit de ne pas faire l’objet d’une surveillance excessive en application de l’article L. 1121-1 du code du travail (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

Les principes applicables en l’espèce sont les suivants :

• Les données personnelles collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5, paragraphe 1, c du RGPD) ; elles ne doivent être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens.

• Le traitement n’est licite que dans la mesure où il est nécessaire aux fins des intérêts légitimes poursuivis, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (article 6, paragraphe 1, f du RGP).

La base légale de l’intérêt légitime repose donc sur trois conditions :

• L’intérêt poursuivi doit être légitime ;
• Le traitement des données est nécessaire à la réalisation de cet intérêt légitime ;
• Ce traitement ne heurte pas les droits et libertés fondamentaux des personnes concernées et ce compte tenu de leurs attentes raisonnables.

En l’espèce la légitimité du but poursuivi n’est pas remise en cause : en tant qu’employeur, l’intérêt pour la société à mesurer le temps de travail et à évaluer le travail de ses salariés est légitime, licite, déterminé de façon suffisamment claire et précise et réel et présent.

Mais cela ne suffit pas. Pour être admis comme base légale du traitement, l’intérêt poursuivi ne doit pas porter une atteinte disproportionnée aux droits et libertés des personnes, eu égard aux finalités poursuivies (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

Selon l’article L. 1121-1 du code du travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » (droit à la vie privée et personnelle, protection des données à caractère personnel et droit à la protection de son intégrité physique et mentale).

Si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856), l’utilisation d’un tel dispositif de surveillance n’étant licite que lorsque ce contrôle ne peut pas être fait par un autre moyen (Cass. Soc., 19 décembre 2018, n°17-14.631).

Un dispositif de surveillance automatisée permanente des salariés (captures d’écran ou l’utilisation de keyloggers ) qui «  conduit à recenser informatiquement l’intégralité des temps d’interruption d’un salarié […] et à les cumuler sur la semaine, porte une atteinte excessive au droit à la vie privée et personnelle du salarié ainsi qu’à son droit à des conditions de travail qui respectent sa santé et sa sécurité » (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

Le traitement mis en œuvre, dont la finalité déclarée était, le seul décompte du temps de travail, conduisaient en fait à comptabiliser de manière automatisée, tout au long de la journée, chaque temps d’inactivité des salariés.

La CNIL considère que le traitement mis en œuvre constitue un dispositif de surveillance automatisée permanente des salariés qui n’apparait pas comme nécessaire pour l’atteinte de la finalité poursuivie (il existe des moyens alternatifs moins intrusifs pour évaluer la productivité), qui est, disproportionné au regard de la finalité (mesure du temps de travail) et qui ne peut entrer dans les attentes raisonnables des salariés.

Il s’agit, constate la CNIL d’un dispositif permanent ou quasi-permanent constituant une surveillance particulièrement intrusive des salariés et pouvant en outre conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels).

La CNIL sanctionne en outre un manquement à l’obligation d’information des personnes concernée.

Elle rappelle en effet que « le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible » (article 12 du RGPD).

Cette information doit s’effectuer par écrit. Elle peut également être faite oralement mais uniquement si une demande en ce sens est formulée par la personne concernée (le responsable du traitement doit néanmoins veiller à conserver une trace écrite et s’assurer qu’il est en mesure de prouver la demande d’informations par voie orale, la méthode par laquelle l’identité de la personne concernée a été vérifiée et le fait que les informations ont été transmises à la personne concernée).

• Concernant l’information écrite, font ici défaut :

• Dans le règlement intérieur et la charte informatique, la durée de conservation des données, le droit d’accès, le droit à la rectification ou à l’effacement, le droit à la limitation des traitements ou de s’y opposer, le droit à la portabilité, le droit d’introduire une réclamation auprès d’une autorité de contrôle).

• Dans les contrats de travail, les mentions relatives au droit à la limitation des traitements ou de s’y opposer, au droit à la portabilité des données, ou encore au droit d’introduire une réclamation auprès d’une autorité de contrôle, mentions qui apparaissent en l’espèce nécessaires au caractère équitable des traitements.

L’information écrite fournie aux salariés n’était pas complète au sens de l’article 13 du Règlement.

• Concernant l’information orale :

En l’absence de conservation d’une trace écrite de l’information orale fournie, le caractère complet de l’information n’est pas établi.

Une simple information orale, même complète, ne permet pas de garantir son accessibilité dans le temps pour les salariés qui souhaiteraient s’y référer ultérieurement, et ne remplit pas les conditions d’accessibilité prévues l’article 12 du RGPD.

La société n’a donc pas satisfait à son obligation de fournir une information complète, transparente et aisément accessible aux personnes concernées en méconnaissance des articles 12 et 13 du RGPD.