Table des matières
Le 27 décembre 2023, la Commission Nationale de l'Informatique et des Libertés (CNIL) a prononcé une amende de 32 millions d'euros à l'encontre d'Amazon France Logistique. Cette décision fait suite à la mise en place par l'entreprise d'un système de surveillance des activités et performances de ses salariés jugé excessivement intrusif.
Amazon France Logistique, responsable de la gestion des entrepôts du groupe Amazon en France, utilise des scanners pour suivre en temps réel l'exécution des tâches des employés. Ces scanners enregistrent des données qui permettent de calculer des indicateurs sur la qualité, la productivité et les périodes d'inactivité de chaque salarié.
Les investigations de la CNIL
Suite à des articles de presse et des plaintes de salariés, la CNIL a mené des contrôles approfondis dans les entrepôts d'Amazon. Elle a constaté que le système de suivi des activités était excessif pour plusieurs raisons, notamment en mesurant précisément les interruptions d'activité et la vitesse d'utilisation du scanner.
Principaux manquements d'Amazon
- Manquements liés au suivi des activités des salariés : La CNIL a jugé excessif l'usage d'indicateurs tels que le temps d'inactivité des scanners et la vitesse de scan lors du rangement des articles.
- Manquement au principe de minimisation des données : La conservation exhaustive de toutes les données recueillies et des indicateurs en résultant a été estimée disproportionnée.
- Manquement à la licéité du traitement : Certains indicateurs traités par l'entreprise ont été jugés illégaux, car ils conduisent à une surveillance informatique excessive des salariés.
Violations liées aux systèmes de Vidéosurveillance
Non-respect de l'obligation d'informer et de transparence
Selon les articles 12 et 13 du Règlement Général sur la Protection des Données (RGPD), il est crucial d'informer adéquatement les salariés et les visiteurs externes sur les systèmes de vidéosurveillance en place. Or, la CNIL a constaté que les informations requises par l'article 13 du RGPD n'étaient pas clairement communiquées, ni affichées sur des panneaux, ni incluses dans d'autres documents ou supports. Cette lacune en matière d'information et de transparence constitue un manquement significatif aux obligations du RGPD.
Défaut de sécurisation des accès
En outre, la CNIL a observé une insuffisance dans la sécurisation de l'accès au logiciel de vidéosurveillance. Le problème réside dans le fait que le mot de passe d'accès au logiciel n'offrait pas un niveau de sécurité adéquat. De plus, le compte d'accès était partagé entre plusieurs utilisateurs, ce qui complique la traçabilité des accès aux images vidéo et rend difficile l'identification des individus ayant interagi avec le logiciel. Ce cumul de faiblesses dans les mesures de sécurité représente une violation de l'article 32 du RGPD, qui impose une obligation de sécuriser les données personnelles traitées.
Les sanctions et leurs justifications
La formation restreinte de la CNIL a pris en compte l'échelle de mise en œuvre des traitements des données, leur exhaustivité, et leur impact sur les salariés. La surveillance étroite imposée par ces systèmes exerçait une pression continue sur les employés, contribuant ainsi aux gains économiques d'Amazon et lui conférant un avantage concurrentiel.
Conséquences pour Amazon France Logistique
En plus de l'amende de 32 millions d'euros, Amazon doit revoir ses pratiques de surveillance pour se conformer au RGPD.
Cette sanction marque un tournant important dans la régulation de la surveillance des salariés par les technologies numériques. Elle rappelle aux entreprises l'importance du respect du cadre légal en matière de protection des données personnelles et de la vie privée des employés.
