Le 27 décembre 2023, la CNIL a sanctionné AMAZON FRANCE LOGISTIQUE d’une amende de 32 millions d’euros pour avoir mis en œuvre un système de surveillance de l’activité et des performances des salariés jugé excessivement intrusif. Ce système incluait également une vidéosurveillance non conforme aux normes de sécurité et de transparence.
Contexte et procédure de la CNIL
Dans le cadre de la gestion de ses entrepôts en France, AMAZON FRANCE LOGISTIQUE utilise des scanners pour documenter les activités des salariés, permettant de générer des indicateurs de performance. Cependant, à la suite d’articles de presse et des plaintes de salariés, la CNIL a lancé des investigations et a identifié plusieurs problèmes significatifs.
Elle a estimé que le système de suivi de l’activité et des performances des salariés était excessif. Elle le justifie par les points suivants :
La mise en place d’un système mesurant aussi précisément les interruptions d’activité conduisait le salarié à devoir potentiellement justifier de chaque pause ou interruption.
Le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif.
La conservation durant 31 jours de toutes les données recueillies par le dispositif ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires était excessive.
En somme, ce n’est pas l’utilisation desdits scanners qui est sanctionnée mais la conservation des données ainsi que les indicateurs statistiques qui y découlent, jugés disproportionnés.
Détails des manquements sanctionnés
Surveillance Excessive : La CNIL a critiqué la surveillance minutieuse des pauses et la mesure de la vitesse d’utilisation des scanners, la considérant comme excessive.
Conservation Excessive des Données : La durée de conservation des données recueillies par les scanners (31 jours) a été jugée disproportionnée.
Violations du RGPD
Minimisation des données (Article 5.1.c) : La collecte des données via les scanners a été estimée trop intrusive. Cela en ce que notamment il n’est pas nécessaire d’accéder aux données sur le dernier mois pour pallier une éventuelle difficulté d’un salarié.
Licéité du traitement (Article 6) : Certains indicateurs traités par la société ont été déclarés illégaux en raison d’une surveillance constante. En outre, le traitement ne peut reposer sur l’intérêt légitime car il conduit à une surveillance informatique excessive du salarié au regard de l’objectif poursuivi par la société (objectif de qualité et de sécurité dans les entrepôts).
Information et Transparence (Articles 12 et 13) : D’une part, des lacunes ont été relevées dans l’information des travailleurs intérimaires en ce que la société ne s’assurait pas que la politique de confidentialité avait bien été remise aux intérimaires avant que leurs données personnelles ne soient collectées au moyen des scanners.
D’autre part, des manquements ont été relevées en matière de signalisation des systèmes de vidéosurveillance (absence de mentions d’information sur les panneaux d’affichages ou tout autre support).
Sécurité des données (Article 32) : Des faiblesses dans la sécurité du système de vidéosurveillance ont été identifiées, notamment concernant la gestion des mots de passe et la traçabilité des accès en lien avec le système de vidéosurveillance.
Cette sanction de la CNIL souligne l’importance cruciale de respecter les réglementations du RGPD, en particulier en matière de surveillance des salariés et de protection des données personnelles. Elle rappelle également aux entreprises la nécessité d’équilibrer leurs objectifs opérationnels avec le respect des droits à la vie privée et à la protection des données des individus.