Dans une délibération rendue le 27 décembre dernier, la CNIL a sanctionné à une amende de 32 millions d'euros la politique de suivi et de contrôle des salariés de la société Amazon France Logistics (AFL).

Cette sanction met en exergue la vulnérabilité du salarié compte tenu de l'asymétrie de la relation qui le lie à son employeur. 

Les traitements de données litigieux qui ont été soumis à l'appréciation de la formation restreinte de la CNIL concernent principalement le suivi en continu de l'activité des salariés  d'AFL étant amenés à assurer des missions de réception, de rangement, de prélèvement et d'emballage au sein des entrepôts de l'entreprise situés à Lauwin-Planque et Montélimar.

Les moyens mis en Suvre pour assurer le suivi des salariés

A cette fin, les salariés de ces entrepôts étaient munis d'un scanner leur permettant d'accéder à certains indicateurs qualitatifs et quantitatifs permettant d'apprécier leur suivi :

1429288a.jpg

Le défaut de base légale

Après s'être fondée notamment sur la jurisprudence sociale1, la CNIL considère que les traitements engendrés par les indicateurs litigieux excèdent ce qui est nécessaire au regard des intérêts légitimes défendus par AMAZON, dès lors qu'elle place l'employé sous le joug d'une surveillance informatique l'obligeant à se justifier  constamment auprès de son employeur à raison des faits signalés par les indicateurs.

Manquement de minimisation des données 

La formation restreinte de la CNIL fait observer qu'AMAZON a recours à des indicateurs faisant état en temps réel des données brutes et des statistiques de qualité de productivité de chaque salarié  sur les 31 derniers jours. Ces données nominatives permettent d'identifier les salariés les plus performants ou procéder à des réaffections. En sus, AMAZON considère comme légitime l'usage de tels indicateurs pour ajuster ses activités de conseil et de coaching de ses salariés.

En dépit de tout cet argumentaire, la CNIL considère qu'AMAZON a manqué à son obligation de minimisation des données, dès lors que ces finalités auraient pu être atteintes via le recours à des procédés moins intrusifs. 

Manquement à l'obligation de transparence vis-à-vis des salariés intérimaires

La CNIL relève aussi que jusqu'en en avril 2020, les données personnelles des salariés d'AMAZON étaient collectées sans qu'ils aient eu au préalable pu accéder à la politique de confidentialité d'AMAZON. Il s'agit d'un manquement flagrant à l'obligation de transparence qui incombe à AMAZON, cette dernière étant tenue de la transmission des éléments d'information préalablement au traitement de données2 de ses salariés intérimaires.

Manquements relatifs à la vidéosurveillance

Mais ce n'est pas terminé, la CNIL constate que les visiteurs extérieurs, eux aussi, n'étaient pas informés du traitement de leurs données via le dispositif de vidéosurveillance. En effet,le panneau d'affichage ne mentionnait pas tous les éléments d'information requis par l'article 13 du RGPD3

Par ailleurs, la CNIL observe que le dispositif de vidéosurveillance ne répondait pas aux exigences de sécurité prévues à l'article 32 du RGPD dans la mesure où : 

  • Le compte d'accès au logiciel de vidéosurveillance était commun à l'ensemble des personnes habilitées à accéder aux images de vidéosurveillance4 ; et 
  • Le mot de passe associé à ce compte était constitué de douze caractères comprenant uniquement des lettres minuscules et des chiffres5

Cette amende de 32 millions d'euros nous rappelle que si l'employeur dispose d'un intérêt légitime de s'assurer de la qualité du service rendu par ses employés, ce suivi ne peut pas s'exempter de toutes règles et que les droits et libertés des salariés doivent être préservés.

Footnotes

1. la CNIL rappelle qu'en vertu de l'article L.1121-1 du code du travail et de la jurisprudence de la Chambre Sociale de la Cour de Cassation que : « si l'employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis » et que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». 

2. Articles 12 et 13 du RGPD 

3. ces panneaux ne mentionnaient pas les coordonnées du délégué à la protection des données, la durée de conservation des données ainsi que leur droit d'introduire une réclamation auprès de la CNIL

4. la CNIL rappelle que l'interdiction des comptes partagés constitue une précaution indispensable pour garantir la traçabilité des accès et des actions opérés sur le système d'information. Cette traçabilité et subséquemment l'identification d'un accès et/ou d'une action frauduleuse sont rendues plus difficiles en raison de l'absence de compte personnel

5. la CNIL rappelle une énième fois sa doctrine en précisant la nécessité de recourir à un mot de passe de 12 caractères minimums impliquant au moins quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux), ou à minima 8 caractères composés de 3 catégories de caractères sous réserve d'y associer une mesure supplémentaire de sécurité.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.