Surveiller les moindres faits et gestes de vos salariés peut vous coûter cher.
La CNIL annonce avoir sanctionné une entreprise dans le secteur de l’immobilier pour avoir mis en place une surveillance excessive de ses employés. Et ce au travers de caméras et de logiciels, sans respecter le cadre réglementaire en vigueur.
La Commission explique avoir voulu rendre publique la sanction afin d’informer les personnes qui seraient concernées par des dispositifs similaires. Mais elle n’a pas communiqué le nom de l’entreprise concernée « compte tenu de sa taille réduite et du retrait immédiat du logiciel lors du contrôle. »
Every click you make
La surveillance s’appuyait sur deux moyens.
- Un système de vidéosurveillance utilisant deux caméras
- Un logiciel de suivi de l’activité des salariés sur leurs ordinateurs
Le système de vidéosurveillance captait « en continu les images et le son des salariés présents dans les locaux », tout en permettant aux cadres de la société de consulter les images en temps réel via une application mobile. Pour la CNIL, ces dispositifs « portent une atteinte excessive aux droits des salariés »
Un dispositif pernicieux
Mais le dispositif de surveillance de l’activité informatique était encore plus pernicieux. Le logiciel en question « détectait automatiquement, tout au long de la journée, si le salarié n’effectuait aucune frappe sur le clavier ou mouvement de souris sur une durée paramétrée de 3 à 15 minutes. »
Ces temps d’inactivité devaient être justifiés par les salariés ou rattrapés, sous peine d’une retenue de salaire. En outre, le logiciel mesurait également la productivité des salariés, en analysant les sites web et les programmes utilisés.
Enfin, le logiciel se permettait de prendre des captures d’écran toutes les 3 à 15 minutes. Un dispositif que la CNIL assimile à « une surveillance particulièrement intrusive, d’autant qu’il peut conduire à la captation d’éléments d’ordre privé ».
Le partage de compte n’est pas recommandé
Au total, la CNIL explique donc la sanction infligée à l’entreprise par plusieurs violations de la réglementation :
- Un défaut d’information des employés, ces derniers n’ayant été mis au courant des dispositifs que par voie orale
- Une absence d’analyse d’impact sur la protection des données avant le déploiement des outils
- Un défaut de sécurisation des données
En effet, la CNIL a remarqué que les données issues du logiciel de surveillance étaient accessibles au travers d’un compte administrateur partagé entre les différents cadres de l’entreprise. « Or, seuls les comptes individuels permettent une bonne traçabilité des accès et des actions effectués sur le système, notamment lors d’investigation en cas d’incident de sécurité ou de violation de données. »
Depuis les confinements et la mise en place du télétravail, les outils de surveillance des employés se sont démocratisés en entreprise. Le sujet est encadré par plusieurs textes de lois, et la Commission ne se prive pas de sanctionner publiquement : au début de l’année 2024, c’était Amazon qui avait écopé d’une amende de 32 millions d’euros pour des infractions similaires.