Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Amazon France Logistique, 27 décembre 2023

Résumé des faits

Suite aux révélations des médias concernant certaines pratiques mises en place par la société Amazon France Logistique, et après avoir reçu plusieurs plaintes de salariés, la CNIL a effectué des contrôles auprès de la société. Ces investigations ont révélé que le système de suivi de l’activité et des performances des salariés était excessif.

La CNIL a ainsi sanctionné la société d’une amende publique de 32 millions d’euros pour plusieurs manquements, notamment pour non-respect des principes de minimisation des données et de licéité du traitement, et pour ne pas avoir sécurisé suffisamment les données et ne pas avoir informé adéquatement les personnes concernées.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 5.1.c du RGPD

Usage excessif de données personnelles

  • Non-respect de l’art. 6 du RGPD

Absence d’une base légale adéquate

  • Non-respect de l’art. 12 et 13 du RGPD

Absence d’information conforme des personnes.

  • Non-respect de l’art. 32 du RGPD

Absence de sécurisation suffisante de l’accès au logiciel de vidéosurveillance.

Que retenir de la décision ?

  • L’intérêt légitime du responsable de traitement peut constituer une base légale du traitement, à condition que les intérêts, les libertés et les droits fondamentaux de la personne concernée ne prévalent pas, en tenant compte des attentes raisonnables de cette dernière.
  • Le traitement de données personnelles pour certaines finalités, si celles-ci peuvent être atteintes sans y avoir recours, est illégal.
  • L’intérêt d’un employeur à assurer la qualité et la sécurité de ses processus, tant pour le client que pour le salarié ; constitue un intérêt légitime. Cet intérêt doit néanmoins être mis en balance avec les intérêts, les libertés et les droits fondamentaux des personnes concernées, en tenant compte de leurs attentes raisonnables.
  • Un traitement des données des salariés ne peut pas reposer sur l’intérêt légitime, dans la mesure où il conduit à une surveillance informatique excessive de ces derniers au regard de l’objectif poursuivi par la société.
  • Un contrôle excessivement resserré du salarié rend disproportionné le traitement de données concerné.
  • Un traitement de données impliquant un suivi continu du salarié présente un caractère intrusif important.
  • La mise en place d’un système mesurant de manière très précise les interruptions d’activité et contraignant le salarié à devoir potentiellement justifier chaque pause ou interruption est illégale.
  • Le principe de minimisation exige de limiter les données traitées à ce qui est nécessaire au regard des finalités définies, et de définir de manière appropriée la granularité et les modalités de consultation des données.
  • La fourniture aux personnes concernées des informations de l’article 13 du RGPD doit être faite au plus tard au moment où leurs données sont collectées, sous une forme qui soit
  • La simple mise à disposition de la politique de confidentialité concernant les traitements des données des salariés sur l’intranet de la société ne permet pas de satisfaire aux exigences d’information, surtout pour les salariés qui n’ont pas vocation à travailler dans un bureau sur un ordinateur et qui ne sont pas incités à en prendre connaissance.
  • Dans le contexte des traitements de vidéosurveillance, l’information ne doit pas se limiter à l’existence de dispositifs de vidéosurveillance, mais doit également englober l’ensemble des informations de l’article 13 du RGPD.
  • Le responsable de traitement a l’obligation de garantir que le traitement automatisé des données est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie en fonction des caractéristiques du traitement et des risques qu’il présente, en tenant compte de l’état de connaissances et du coût des mesures.
  • L’interdiction des comptes partagés est une précaution indispensable pour assurer une traçabilité effective des accès et des actions effectuées dans un système d’information.
  • La politique de mots de passe mise en œuvre doit être suffisamment robuste pour garantir la sécurité des données traitées.

Le + DLD

  • Pour décider du prononcé d’une amende, plusieurs critères sont pris en compte, tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes affectées, les mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle et dans certain cas, le niveau de dommage subi par les personnes.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements et du nombre et de la vulnérabilité des personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi