Le géant de la logistique risque une amende de 170 millions d’euros pour sa gestion des données à caractère personnel de ses salariés[1], laquelle ferait actuellement l’objet d’un contrôle de la CNIL.
Des outils de surveillance algorithmique auraient, en effet, été utilisés pour collecter automatiquement des données d’activité, en particulier la fréquence et la vitesse de rangement d’un article, afin d’évaluer la productivité des salariés.
Si la multinationale s’en défend[2], invoquant un objectif de planification des tâches, la CNIL vérifie l’existence ou non d’une surveillance constante et permanente de l’activité des salariés, laquelle est par principe interdite[3] (sauf circonstances exceptionnelles dûment justifiées par la nature de la tâche à accomplir) et sanctionnée[4].
Les données à caractère personnel traitées par les dispositifs de surveillance d’Amazon sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données[5]) ?
Il est à penser que si la finalité poursuivie est véritablement l’évaluation de la productivité des salariés, un tel objectif pourrait être atteint par la mise en œuvre de moyens moins intrusifs, quand bien même ils seraient moins efficaces (position adoptée par les Hautes juridictions à propos de dispositifs de géolocalisation utilisés pour contrôler le temps de travail des salariés[6]).
Dans ces conditions, le déploiement de tels dispositifs de surveillance de l’activité des salariés par Amazon France risque d’être considéré comme disproportionné et, partant, excessif, en violation de l’article 5.1 c) du RGPD.
Pour rappel, les sanctions encourues en cas de manquement à la règlementation relative à la protection des données à caractère personnel sont à la fois administratives (amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent[7]), pénales[8] et civiles.
De nombreux salariés d’Amazon, situés en Allemagne, Royaume-Uni, Italie, Pologne et Slovaquie, ont d’ailleurs exercé leur droit d’accès[9] afin d’obtenir la communication par leur employeur de l’ensemble de leurs données traitées par ce dernier.
Remarque : ce droit permet à toute personne d’obtenir, gratuitement, une copie de l’intégralité des données la concernant, en s’adressant directement à ceux qui les détiennent[10].
Le responsable de traitement doit, alors, fournir à la personne concernée, dans un délai imparti, les données qu’il traite à son sujet, mais également la renseigner sur les finalités de chaque traitement de celles-ci[11].
Sous réserve qu’elles soient transmises par le responsable de traitement, ces informations pourraient être utilisées par les salariés pour démontrer, le cas échéant, le caractère disproportionné des données collectées au vu de la finalité poursuivie, et ainsi caractériser d’éventuels manquements au RGPD, et une atteinte à la vie privée (à l’appui d’une demande de dommages-intérêts).
Elles pourraient également être utilisées, dans le cadre de contentieux prud’homaux, pour démontrer le bien-fondé de demandes relatives à l’exécution du contrat de travail, telles que des demandes de rappels de salaires (heures supplémentaires notamment), ou à la rupture du contrat de travail (annulation de sanctions disciplinaires, licenciement sans cause réelle et sérieuse, etc.).
L’exercice du droit d’accès par les salariés constitue, ainsi, un moyen efficace d’obtenir des preuves, dans l’éventualité d’un contentieux voire d’une alerte.
Il est à noter que la CNIL encourage l’exercice, par toute personne, de ses droits et a mis en ligne des formulaires à cette fin, de sorte que l’exercice du droit d’accès par un salarié ou ancien salarié est facilité.
En l’absence ou en cas d’impossibilité de la part de l’employeur de répondre à une telle demande, dans les délais impartis, à défaut d’avoir un niveau de conformité suffisant, le salarié pourrait s’en plaindre auprès de la CNIL, laquelle pourrait alors diligenter un contrôle de la société concernée.
La mise en œuvre par l’employeur des briques de conformité exigées par le RGPD s’avère donc indispensable, au vu des risques encourus.
Nos avocats du pôle RH-Social-DATA se tiennent à votre disposition pour vous assister dans la mise en conformité de vos Ressources humaines à la réglementation protectrice des données à caractère personnel et former vos équipes.
Découvrez nos offres de mise en conformité
Découvrez nos formations RH/data en partenariat avec la legaltech Trustbydesign
L'équipe RH / Data
[1]https://www.usine-digitale.fr/article/amazon-risque-une-amende-de-170-millions-d-euros-pour-sa-gestion-des-donnees-de-productivite-des-salaries.N2171902
[2]https://www.linkedin.com/feed/update/urn:li:activity:7108135414858723331/
[3] C. trav., art. L. 1121-1 ; RGPD, art. 5.1.c) ; Cass.soc., 23 juin 2021, n°19-13.856
[4] Sur la vidéosurveillance, notamment : Délibération CNIL SAN-2017-009 du 15 juin 2017 ; Délibération SAN-2019-006 du 13 juin 2019
[5] RGPD, art. 5.1.c)
[6] CE, 15 déc. 2017, nº 403.776 ; Cass. soc., 19 déc. 2018, nº 17-14.63 ; Cass. soc., 16 déc. 2020, nº 19-10.007
[7] RGPD, art. 83
[8] C. pén., art. 226-16 et suivants, notamment :
Art. 226-18 : Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
[9]https://noyb.eu/fr/les-travailleurs-damazon-exigent-la-transparence-des-donnees
[10]https://www.cnil.fr/fr/definition/droit-dacces
[11] RGPD, art. 15