Productivité et surveillance des salariés : pensez à la conformité au RGPD !

La surveillance des salariés, est-ce possible ?

Dans sa décision, la CNIL ne remet pas en cause le fait de surveiller les salariés lors de leurs activités professionnelles. En effet, ces mesures peuvent être justifiées par la nécessité d’assurer la productivité, la sécurité ou encore la confidentialité de certaines informations sensibles que détient une entreprise.

C’est ainsi que, en raison de son activité de gestion d’entrepôts, Amazon France Logistique recourt à de la vidéosurveillance et fournit à chacun de ses salariés un scanner permettant de documenter en temps réel l’exécution de ses tâches. Ces tâches pouvant consister en la réception de colis, le rangement et le stockage des articles, le prélèvement d’un article dans les rayons, la préparation du colis pour le client final. Le scanner permet une remontée d’informations au supérieur hiérarchique du salarié, en temps réel et de manière individualisée de plusieurs indicateurs portant sur la qualité du travail fourni, la productivité et les périodes d’inactivité.

Toutefois, la CNIL rappelle que la surveillance sous forme d’outils, mécanismes, procédures ou vidéo doit s’opérer dans le respect strict des droits fondamentaux des salariés et en particulier de la règlementation applicable en matière de protection des données à caractère personnel dont le RGPD fait partie.

Quelles sont les motivations principales de la décision de la CNIL ?

La CNIL relève plusieurs manquements au RGPD concernant les traitements mis en œuvre pour le suivi de l’activité des salariés à l’aide des scanners :

• En vertu du principe de minimisation des données, seules les données à caractère personnel utiles et nécessaires à l’objectif poursuivi dans le cadre du traitement doivent être collectées et utilisées. Par conséquent, il est nécessaire de se poser la question « pourquoi ai-je besoin de cette information pour aboutir au résultat escompté ? ». En suivant cette logique, la CNIL a considéré que pour déterminer si un salarié a besoin d’une formation ou s’il maîtrise la tâche qui lui est confiée il n’est pas nécessaire d’accéder à l’intégralité des détails des indicateurs collectés grâce aux scanners sur un mois entier. Elle a estimé que seules les données agrégées au cours d’une semaine étaient suffisantes.

• Un traitement de données à caractère personnel n’est autorisé que s’il est licite, c’est-à-dire si sa mise en œuvre repose sur l’un des fondements admis par le RGPD. Il en existe six dont, par exemple, l’exécution d’un contrat ou bien le consentement de la personne concernée ou encore l’intérêt légitime. Cette dernière base légale permet aux organismes privés de justifier un traitement de données à caractère personnel par la poursuite de la satisfaction des intérêts qui lui sont propres (commerciaux, financiers, sécurité, …). Toutefois, une mise en balance doit alors être faite entre les intérêts de l’entreprise et les droits et intérêts des personnes concernées. Suite aux opérations de contrôle, la CNIL a estimé que le suivi permanent des actions et inactions des salariés munis d’un scanner engendre une surveillance informatique excessive qui ne pouvait pas reposer sur l’intérêt légitime.

• En amont ou au plus tard lors de la collecte des données, les personnes dont les données à caractère personnel sont traitées doivent être informées notamment des opérations réalisées avec celles-ci et des droits dont ils disposent. La CNIL a constaté que la politique de confidentialité applicable en matière de ressources humaines était bien disponible sur l’intranet de la société Amazon France Logistique. Toutefois, les intérimaires n’étaient pas correctement informés puisqu’ils n’avaient pas a minima une invitation en prendre connaissance via l’intranet.

Enfin, la CNIL relève deux manquements au RGPG concernant les traitements mis en œuvre dans le cadre de la vidéosurveillance des salariés et des visiteurs :

• La mise en place de la vidéosurveillance s’accompagne de l’installation de panneaux d’affichage permanents permettant d’informer les personnes de la captation de leur image. A noter que les panneaux d’affichage doivent comporter a minima le pictogramme de la vidéosurveillance, la raison pour laquelle un tel dispositif est installé, la durée de conservation des images, l’existence des droits en vertu de la règlementation applicable, un point de contact pour les exercer et enfin un rappel des modalités pour réaliser une réclamation auprès de la CNIL. A l’issue du contrôle, la CNIL a constaté que certaines informations requises par la règlementation étaient manquantes tant sur les panneaux d’affichage, que sur tout support ou document que les personnes auraient pu consulter.

• Une fois les données à caractère personnel collectées, la règlementation ne mentionne pas de mesures de sécurité précises mais impose la mise en œuvre de mesures de sécurité proportionnées au risque (gestion des accès, fermeture à clés des locaux, mots de passe, chiffrement, etc). Lors de son contrôle, la CNIL a remarqué que l’accès aux images de la vidéosurveillance se faisait par un compte accessible à plusieurs utilisateurs dont le mot de passe est peu robuste.

En synthèse.

De manière générale, la mise en conformité au RGPD nécessite anticipation et réflexion. Il est alors nécessaire de se poser les questions structurantes en amont de la mise en œuvre du traitement projeté pour opérer les analyses pertinentes et ainsi identifier les actions a mettre en place pour assurer cette conformité RGPD, et notamment qui sont les acteurs du traitement ? qui est responsable du traitement ? Qu’est-ce que je collecte ? Comment ? Pour quel objectif ?…