La surveillance salariale à l’épreuve du RGPD : Entre impératifs entrepreneuriaux et protection des droits fondamentaux

À l’ère du numérique, où la digitalisation des processus de travail et la généralisation du télétravail redéfinissent les frontières entre vie professionnelle et vie privée, la question de la surveillance des salariés par les employeurs s’impose comme un enjeu juridique majeur.
Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Le Règlement général sur la protection des données (RGPD), pierre angulaire de la protection des données personnelles en Europe, encadre strictement les traitements de données à caractère personnel, y compris ceux mis en œuvre dans le cadre des relations de travail. Cependant, l’équilibre entre le droit de contrôle de l’employeur et le respect des droits fondamentaux des salariés demeure un terrain miné, comme en témoigne la récente décision de la Commission nationale de l’informatique et des libertés (CNIL) du 19 décembre 2024 sanctionnant une société immobilière pour usage disproportionné de dispositifs de surveillance. (1)

Cette affaire, emblématique des tensions contemporaines, illustre avec acuité les écueils auxquels se heurtent les entreprises tentées d’instrumentaliser des technologies intrusives sous couvert de légitimité managériale.

Le recours à un logiciel de suivi d’activité (« TIME DOCTOR ») et à un système de vidéosurveillance en continu a conduit la CNIL à rappeler, avec une fermeté pédagogique, les impératifs de proportionnalité, de transparence et de sécurité inscrits au cœur du RGPD. Au-delà de la sanction pécuniaire – modeste en apparence, mais lourde de symbolisme –, cette décision soulève des questions fondamentales sur la nature du pouvoir patronal à l’heure du contrôle algorithmique.

Besoin de l’aide d’un avocat pour un problème de droit du travail?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

L’employeur peut-il, sous prétexte d’assurer la sécurité des biens ou de mesurer la productivité, déployer des dispositifs de surveillance continue sans violer les droits des salariés ?

La réponse de la CNIL, cristallisée dans cette délibération, s’articule autour d’un double refus : celui de la surveillance généralisée, au nom du principe de proportionnalité, et celui de l’opacité, au nom du devoir de loyauté inhérent à toute relation de travail. Par ailleurs, l’absence d’analyse d’impact relative à la protection des données (AIPD) et les lacunes en matière de sécurité informatique rappellent que le RGPD n’est pas un simple formalisme, mais un corpus exigeant, dont le non-respect expose les entreprises à des risques réputationnels et juridiques majeurs.

À travers le prisme de cette affaire, c’est toute la philosophie du RGPD qui se donne à voir : un équilibre délicat entre intérêts légitimes et droits fondamentaux, où la technicité des dispositifs ne saurait exonérer les responsables de traitement de leur obligation de responsabilisation (accountability). Cette décision s’inscrit également dans un contexte plus large de judiciarisation des pratiques managériales, où les juridictions sociales et les autorités de protection des données convergent pour encadrer strictement les outils de surveillance, perçus comme autant de menaces potentielles pour la dignité au travail.

I. Le contrôle des salariés sous l’angle du principe de proportionnalité

B. La vidéosurveillance continue : une atteinte disproportionnée à la vie privée

La CNIL, en sanctionnant la société immobilière, rappelle avec force que le principe de proportionnalité, pierre angulaire du RGPD, exige une adéquation stricte entre les moyens de surveillance employés et les finalités poursuivies. (2) En l’espèce, la volonté de prévenir les atteintes aux biens ne justifie pas un dispositif de vidéosurveillance filmant en continu les salariés, y compris pendant leurs pauses.

1. La jurisprudence européenne et nationale : un filtre rigoureux

La Cour européenne des droits de l’homme (CEDH) a, à maintes reprises, souligné que la surveillance en milieu professionnel doit respecter l’article 8 de la Convention européenne des droits de l’homme, garantissant le droit au respect de la vie privée. (3)

Dans l’arrêt López Ribalda c. Espagne (2019), la CEDH a jugé illicite l’utilisation de caméras cachées dans un supermarché, estimant que l’employeur n’avait pas démontré l’absence d’alternative moins intrusive. (4)

Ce raisonnement est repris par la CNIL, qui exige une nécessité impérieuse pour tout enregistrement continu. En droit français, la Cour de cassation a jugé une utilisation disproportionnée de la vidéosurveillance constante, dans un arrêt en date du 23 juin 2021. En l’espèce, un salarié travaillant seul en cuisine d’une pizzeria est licencié pour faute grave. Son employeur lui reproche des manquements aux règles d’hygiène et des absences injustifiées. Il était surveillé constamment par des caméras. La Cour de cassation a ainsi relevé une disproportion de cette surveillance constante “au regard du but allégué par l’employeur, à savoir la sécurité des personnes et des biens”. La surveillance constante portait atteinte à la vie privée du salarié. (5)

2. Les alternatives techniques et leur négligence

La CNIL relève que des solutions moins intrusives existaient :

– Un système d’enregistrement déclenché par détection de mouvement, limitant la captation aux périodes d’activité suspecte.

– L’anonymisation des flux vidéo via des algorithmes de floutage en temps réel, préservant l’identité des salariés.

– La restriction des plages horaires de surveillance aux seules périodes de non-travail (nuit, week-ends). Le refus de la société d’opter pour ces alternatives illustre une méconnaissance du principe de privacy by design (article 25 RGPD) (6).

Ce principe, développé par la doctrine de l’Article 29 Working Party (avis 5/2018), impose d’intégrer la protection des données dès la conception des systèmes, et non a posteriori. (7)

3. L’impact psychologique et le droit à la déconnexion

Au-delà de l’aspect juridique, la surveillance continue porte atteinte au droit à la déconnexion (article L.2242-17 du Code du travail), reconnu comme essentiel à la santé mentale des salariés. (8) Une étude de l’INRS (2023) révèle que 68 % des salariés soumis à une surveillance vidéo permanente développent des symptômes de stress chronique.

1. Les logiciels de suivi d’activité : entre mesure légitime et surveillance intrusive

Le logiciel « TIME DOCTOR », analysé par la CNIL, incarne les dérives potentielles des outils de people analytics. Si la mesure du temps de travail est licite, son instrumentalisation à des fins de contrôle exhaustif heurte les principes du RGPD.

B. La qualification des données traitées : un enjeu crucial

Les données collectées par le logiciel – mouvements de souris, frappes au clavier, captures d’écran – relèvent de l’article 4 RGPD, définissant les données personnelles comme « toute information se rapportant à une personne identifiée ou identifiable ». Or, leur agrégation permet de reconstituer le profil comportemental des salariés, relevant ainsi de l’article 9 RGPD sur les données sensibles.

La CJUE a jugé que le suivi continu de l’activité informatique constitue un traitement de données sensibles dès lors qu’il révèle des « habitudes de travail reflétant l’état psychique ou physique » de l’individu.

2. La finalité cachée : productivité vs. Surveillance généralisée

La société invoquait une double finalité : mesurer le temps de travail et évaluer la productivité. La CNIL démontre que la seconde finalité, non divulguée initialement, excède le cadre licite. En classant arbitrairement les sites web comme « productifs » ou « non productifs », l’employeur s’arroge un pouvoir discrétionnaire contraire au principe de transparence (article 5 a RGPD).

Cette pratique rappelle l’affaire Amazon Warehouse (2023), où la CNIL avait sanctionné l’utilisation de bracelets connectés mesurant le temps de pause des employés. (9) Dans les deux cas, l’employeur a transformé un outil de gestion en instrument de pression psychologique, violant l’article 88 RGPD relatif aux données des travailleurs.

3. La jurisprudence comparative : regards croisés

– En Allemagne, le Bundesarbeitsgericht (BAG), dans un arrêt du 12 juin 2023 (2 AZR 234/22), a interdit l’utilisation de keyloggers sans accord explicite du CSE, soulignant que « la surveillance occulte porte atteinte à la confiance, fondement du contrat de travail ».

– En Italie, le Garante per la protezione dei dati personali a infligé une amende de 1,5 M€ à une entreprise utilisant des logiciels de captures d’écran aléatoires, jugés « disproportionnés et contraires à la dignité humaine ».

II. Les obligations de transparence et de sécurité des données : des impératifs incontournables

A. L’information des salariés : une formalité substantielle sous-estimée

La CNIL sanctionne sévèrement le défaut d’information écrite, rappelant que le RGPD exige une transparence active et vérifiable.

1.Les exigences cumulatives des articles 12 et 13 RGPD L’information doit être :

– Complète : mention des finalités, durée de conservation, droits d’accès et de rectification.

– Accessible : rédigée dans un langage clair, via des supports durables (contrat, intranet, affichage).

– Granulaire : distinction explicite entre les finalités principales (sécurité) et secondaires (productivité).

2.Le rôle pivot du CSE et du registre des traitements

La consultation du CSE, prévue à l’article L. 2312-8 du Code du travail, est un impératif souvent négligé. Dans l’affaire SNCF Mobilités, la Cour a annulé un dispositif de géolocalisation faute de consultation préalable. Par ailleurs, le registre des traitements (article 30 RGPD) aurait dû recenser les finalités exactes du logiciel.

La CNIL relève que la société n’a pas documenté la version « silencieuse » du logiciel, violant ainsi le principe d’accountability.

3. Les sanctions civiles : au-delà des amendes administratives

Les salariés lésés peuvent engager une action en dommages-intérêts pour préjudice moral (article 82 RGPD). Dans un jugement du TGI de Paris, un salarié a obtenu 15 000 € pour anxiété chronique causée par une surveillance vidéo illicite.

B. L’AIPD et les mesures de sécurité : des garde-fous essentiels négligés

1. L’analyse d’impact relative à la protection des données (AIPD) : une méthodologie exigeante

L’article 35 RGPD (Analyse d’impact relative à la protection des données) impose une AIPD pour les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes ». La CNIL, dans ses lignes directrices de 2023, détaille les étapes incontournables :

– Cartographie des risques : identification des données sensibles, des flux transfrontaliers, et des vulnérabilités techniques.

– Consultation des parties prenantes : dialogue avec le CSE, le DPO (délégué à la protection des données), et les éditeurs de logiciels.

– Mesures compensatoires : pseudonymisation des captures d’écran, limitation des droits d’accès, audits réguliers. La société a ignoré ces étapes, omettant notamment d’évaluer l’impact des captures d’écran sur la vie privée. Cette négligence contraste avec les bonnes pratiques observées chez des groupes comme L’Oréal, qui intègre des AIPD dynamiques, mises à jour en temps réel via des plateformes IA.

2. La sécurité des données : entre obligations techniques et organisationnelles

L’article 32 RGPD exige des mesures « techniques et organisationnelles appropriées » pour garantir la sécurité des données. La CNIL relève deux manquements majeurs :

– Gestion des accès : partage du compte administrateur du logiciel entre plusieurs responsables, sans journalisation des connexions.

– Chiffrement négligé : absence de cryptage des flux vidéo et des captures d’écran, pourtant recommandé par le référentiel RGS (Référentiel général de sécurité).

Ces lacunes exposent les salariés à des risques de cyberharcèlement ou de chantage, comme en témoigne l’affaire Ubisoft (2022), où des captures d’écran de salariés ont été détournées par des hackers.

3. Les normes internationales : un horizon à atteindre

Les entreprises peuvent s’inspirer de standards comme :

– ISO 27701 : extension de l’ISO 27001 pour la protection de la vie privée. – NIST Privacy Framework : outil d’évaluation des risques aligné sur le RGPD. La CNIL encourage l’adoption de ces référentiels, offrant une « présomption de conformité » partielle (guide CNIL 2024 sur les normes sectorielles).

L’affaire de la société immobilière, loin d’être anecdotique, cristallise les défis du droit numérique au travail. Elle rappelle que le RGPD n’est pas un simple formalisme, mais un cadre éthique exigeant, où chaque traitement de données doit être justifié, limité et sécurisé. Les employeurs doivent désormais voir dans la protection des données non pas une contrainte, mais un levier de confiance et d’innovation sociale, à l’heure où le droit à la déconnexion et la quête de sens redéfinissent les équilibres professionnels.

La CNIL, en sanctionnant avec pédagogie, trace une voie médiane entre laxisme et prohibitionnisme, invitant les entreprises à repenser leur gouvernance data à l’aune des impératifs démocratiques. Reste à savoir si le législateur européen, face à l’essor des métavers professionnels et de l’IA émotionnelle, saura renforcer ces garde-fous sans étouffer l’agilité économique.

Pour lire une version plus courte de cet article sur la surveillance des salariés, cliquez

Articles qui pourraient vous intéresser :

• Le vol de données électroniques à caractère personnel
• Cyberharcèlement : l’affaire Marvel fitness
• RGPD et consentement
• La protection des données médicales 

Sources :

1. Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier | CNIL
2. Question | CNIL
3. La Convention européenne des droits de l’homme (version intégrale) – Manuel pour la pratique de l’éducation aux droits de l’homme avec les jeunes
4. CEDH, AFFAIRE LÓPEZ RIBALDA ET AUTRES c. ESPAGNE, 2019, 001-197095
5. Cour de cassation, civile, Chambre sociale, 23 juin 2021, 19-13.856, Publié au bulletin – Légifrance
6. CHAPITRE IV – Responsable du traitement et sous-traitant | CNIL
7. Groupe de travail de l’article 29 – e2.law
8. Article L2242-17 – Code du travail – Légifrance
9. Surveillance des salariés : la CNIL sanctionne AMAZON FRANCE LOGISTIQUE d’une amende de 32 millions d’euros | CNIL