Le 27 décembre 2023, AMAZON FRANCE LOGISTIQUE a été sanctionnée par la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »), à hauteur d'une amende de 32 millions d'euros.
La Commission a jugé le système de surveillance des salariés bien trop intrusif. La société a également été sanctionnée pour avoir négligé la sécurité de son système de vidéosurveillance, alors même que les salariés et visiteurs extérieurs n’avaient pas été informés correctement de cette surveillance.
Une telle sanction soulève de nombreuses questions sur la protection de la vie privée et les limites de la surveillance en milieu professionnel.
Une surveillance dénoncée
Dans le fonctionnement quotidien de ses entrepôts, chaque employé de AMAZON FRANCE LOGISTIQUE se voit confier un outil crucial : un scanner.
Ce dispositif lui permet de documenter en temps réel l'exécution de ses tâches assignées. Chaque scan effectué par les salariés déclenche l'enregistrement de données précieuses, soigneusement conservées.
Les scanners individuels de chaque salarié leur signalaient également des erreurs lorsqu’ils scannaient des articles trop rapidement, afin de pallier le risque d’erreurs.
Ces données alimentent ensuite des séries d'indicateurs qui évaluent la qualité du travail, la productivité et les périodes d'inactivité de chaque membre du personnel.
Les violations constatées par la CNIL
La CNIL a jugé le système de suivi de l'activité et des performances des salariés de AMAZON FRANCE LOGISTIQUE excessif, et ce, pour plusieurs motifs :
Premièrement, la Commission a qualifié d'illicites les indicateurs surveillant les périodes d'inactivité des scanners utilisés par les employés, les contraignant ainsi à justifier chaque interruption de leur travail.
Deuxièmement, l'organe de contrôle a jugé excessif le système de mesure de la vitesse d'utilisation des scanners lors du processus de rangement des stocks, présenté comme une mesure visant à réduire les risques d'erreurs.
Enfin, la CNIL a exprimé des réserves quant à la période de conservation de toutes les données collectées par le dispositif, d’une durée de 31 jours.
Par conséquent, la Commission a relevé trois violations au Règlement Général de Protection des Données Personnel (ci-après « RGPD »), à savoir :
- Un manquement au principe de minimisation des données (article 5 paragraphe 1 du RGPD)
La société justifiant ses pratiques par le besoin d’apporter une aide ou d’effectuer une réaffectation en temps réel d’un salarié.
Or, selon la CNIL, ces buts ne justifiaient pas une surveillance aussi précise de chaque indicateur et la conservation des données collectées pendant un mois.
- Un manquement à la licéité du traitement des données (article 6 du RGPD)
La collecte des données en cause était fondée sur l’intérêt légitime de qualité de service et de sécurité des entrepôts.
Or, selon la CNIL, il s’agissait d’un traitement excessif et donc infondé.
- Des manquements aux obligations d’information, de transparence (article 12 et 13 du RGPD) et de sécurité (article 32 du RGPD)
Le système de vidéosurveillance des entrepôts n’était pas porté à la connaissance des salariés et des visiteurs extérieurs. En outre, le mot de passe du logiciel n’était pas suffisamment robuste et était partagé par plusieurs utilisateurs.
L'équilibre entre surveillance professionnelle et vie privée
La CNIL a reconnu la légitimité des contraintes professionnelles auxquelles est confrontée AMAZON, ainsi que l'objectif de performance élevée de l'entreprise, justifiant ainsi l’utilisation du dispositif de scanner pour la gestion de son activité.
Cependant, l'autorité de contrôle a jugé disproportionnée la conservation de l'ensemble des données et indicateurs statistiques collectés.
Cette décision souligne la nécessité pour les employeurs de concilier les impératifs de surveillance professionnelle avec le respect des droits fondamentaux des travailleurs.
Elle met en évidence l'importance de trouver un équilibre délicat entre la nécessité de surveillance pour une gestion efficace de l'activité et le respect de la vie privée des salariés.
PLR Avocats vous recommande d’étudier si le dispositif de vidéosurveillance et la conservation des données collectées permet de respecter les principes du RGPD, préalablement à sa mise en place au sein de votre société.
Le point crucial est de veiller à la proportionnalité des mesures de surveillance, tout en prenant en compte les contraintes professionnelles et en respectant le droit des employés de la société concernée.