Amazon condamné à une amende de 32 millions d'euros pour avoir surveillé ses salariés
La Commission nationale de l'informatique et des libertés (CNIL) a rendu une décision importante, imposant une amende colossale de 32 millions d'euros à AMAZON FRANCE LOGISTIQUE le 27 décembre 2023. Cette sanction est la conséquence de la mise en œuvre par l'entreprise d'un système de surveillance excessivement intrusif des activités et des performances de ses salariés. L'amende concernait des questions liées à l'insuffisance des informations et des mesures de sécurité dans le cadre de la vidéosurveillance.
En effet, Amazon a équipé les salariés de l'entrepôt de scanners pour documenter en temps réel les performances des différentes tâches assignées, telles que le stockage ou le prélèvement d’un article dans les rayonnages, l'emballage, etc.
La CNIL a ouvert une enquête à la suite d'articles médiatiques et de plaintes d'employés concernant les pratiques de l'entrepôt. Elle a déterminé que le système utilisé pour contrôler l'activité et la performance des salariés était excessif.
Points clés à retenir de cette affaire
Les employeurs doivent faire preuve de prudence lorsqu'ils mettent en œuvre des systèmes de surveillance, en s'assurant que les mesures de précision sont raisonnables, que la conservation des données est proportionnée et que les pratiques générales de surveillance respectent la vie privée des employés, afin d'éviter des conséquences juridiques et des pénalités financières.
Surveillance intrusive
Le système de surveillance d'Amazon, qui utilise des indicateurs pour mesurer le temps d'inactivité des scanners, a été jugé illégal par la CNIL. Les employeurs doivent être prudents lorsqu'ils mettent en œuvre des mesures de précision susceptibles d'exercer une pression excessive sur les salariés afin qu'ils justifient leurs pauses ou leurs interruptions.
Vitesse excessive de la mesure de la numérisation
La CNIL a estimé que le système de mesure de la vitesse de numérisation des scanners d'Amazon était excessif. Les employeurs devraient envisager des délais raisonnables pour l'exécution des tâches afin d'éviter les erreurs potentielles et de garantir un environnement de travail équitable.
Problèmes de conservation des données
Des inquiétudes ont été exprimées concernant la conservation de toutes les données et de tous les indicateurs statistiques relatifs aux salariés et aux intérimaires pendant une période de 31 jours. Les employeurs doivent être attentifs aux pratiques de conservation des données, en veillant à ce qu'elles soient proportionnées et conformes aux réglementations en matière de protection de la vie privée.
Surveillance des données disproportionnée
Bien qu'elle reconnaisse les défis posés par les activités d'Amazon, la CNIL a estimé que la conservation et la surveillance des données étaient disproportionnées. Les employeurs doivent s'efforcer de trouver un équilibre entre les pratiques de contrôle et le respect de la vie privée des salariés, en tenant compte des aspects uniques du traitement des données dans leurs activités.
L'amende de 32 millions d'euros infligée à AMAZON FRANCE LOGISTIQUE souligne l'importance d'aligner les pratiques de traitement des données sur les exigences réglementaires. Les employeurs doivent être conscients des sanctions financières potentielles en cas de non-respect des lois sur la protection des données.
Comment Amazon a-t-elle enfreint le RGPD ?
Manquement au principe de minimisation des données (article 5, paragraphe 1, point c))
L'entreprise n'a pas respecté le principe de minimisation des données en collectant et en traitant de manière excessive les données des salariés au moyen de scanners. L'utilisation par l'entreprise de données et d'indicateurs relatifs aux salariés pour la gestion des stocks et des commandes a été jugée excessive. La formation restreinte a estimé que le temps réel et les données collectées sur une base hebdomadaire auraient suffi pour atteindre les objectifs de qualité et de sécurité dans les entrepôts. En revanche, la surveillance pour la gestion des commandes a été jugée excessive.
Manquement à la licéité du traitement (article 6)
La formation restreinte a identifié trois indicateurs illégaux, à savoir le « Stow Machine Gun », le « idle time » (« temps d'inactivité ») et le « temps de latence inférieur à dix minutes ». Ces indicateurs, qui contrôlent les actions des employés, ont été jugés excessivement intrusifs et ne peuvent reposer sur l’intérêt légitime.
Manquement à l’obligation d'information et de transparence (articles 12 et 13)
Les intérimaires n'ont pas été correctement informés des politiques de protection de la vie privée jusqu'en avril 2020, ce qui constitue une violation de l'obligation d'information et de transparence.
Violations dans le traitement de la vidéosurveillance
Manquement à l’obligation d'information et de transparence (articles 12 et 13)
Les salariés et les visiteurs extérieurs n'ont pas été correctement informés sur les systèmes de vidéosurveillance. Les informations essentielles requises par l'article 13 du RGPD ne figuraient pas sur les panneaux d'affichage ni sur d'autres supports.
Manquement à l'obligation d'assurer la sécurité des données à caractère personnel (article 32)
La formation restreinte a constaté des failles de sécurité dans le logiciel de vidéosurveillance, notamment des mots de passe d'accès faibles et des comptes d'accès partagés entre plusieurs utilisateurs. Ces failles compromettent la sécurité des données personnelles et empêchent de tracer les accès et d'identifier les personnes impliquées dans les actions sur logiciel.
Avec cette amende, la CNIL envoie un message fort sur l'importance de concilier l'efficacité opérationnelle basée sur la technologie avec le respect des droits individuels sur le lieu de travail. Amazon et d'autres entreprises sont désormais invitées à réévaluer leurs pratiques de surveillance afin de s'aligner sur les réglementations en matière de protection de la vie privée et de favoriser un environnement de travail équitable et respectueux.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Wilem Loba, Juriste, et Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal