Le 19 décembre 2024, la Commission nationale de l’informatique et des libertés (CNIL) a infligé à une société du secteur immobilier une amende de quarante mille euros au motif d’une surveillance jugée disproportionnée des employés. L’autorité a relevé la mise en œuvre simultanée d’un système de vidéosurveillance continue, captant image et son en temps réel sans circonstance exceptionnelle justifiant un tel dispositif, et d’un logiciel de suivi des postes informatiques mesurant l’inactivité des collaborateurs. Ces deux dispositifs ont été utilisés non seulement pour contrôler en permanence les salariés, mais également pour opérer des retenues sur salaire en fonction du temps d’inactivité ainsi mesuré.
La CNIL a considéré que ces pratiques méconnaissaient les principes de proportionnalité et de minimisation des données énoncés à l’article 5 § 1 c) du RGPD. En l’espèce, le recours à une vidéosurveillance accessible à distance et le tracking permanent des mouvements de souris ou de frappe au clavier ont constitué une ingérence excessive dans la vie privée et professionnelle des salariés. L’autorité a souligné que tout dispositif de contrôle devait être strictement nécessaire, limité à l’objectif poursuivi et proportionné aux risques identifiés, ce qui n’était pas le cas ici.
Par ailleurs, la CNIL a relevé l’insuffisance de l’information délivrée aux personnes concernées. Le manquement aux obligations d’information et de transparence se traduisait par l’absence de mention précise des finalités du traitement, de sa durée de conservation et des droits des salariés, ainsi que par l’absence de mesures de sécurité informatique adaptées pour protéger les données collectées. Ces défaillances ont constitué un second grief à l’encontre de l’entreprise, qui n’avait pas veillé à informer et à sécuriser correctement les traitements issus de ses dispositifs de surveillance.
Cette décision rappelle aux employeurs l’impératif d’évaluer rigoureusement la nécessité de tout système de contrôle des salariés et de veiller à ce que les modalités de collecte, d’accès et de conservation des données soient conformes aux principes fondamentaux du RGPD. Elle insiste sur l’importance de privilégier les solutions les moins intrusives et d’assurer une information complète et compréhensible pour les personnes concernées, afin de concilier les exigences de sécurité et de performance avec le respect des droits individuels.