Dans une décision du 27 décembre 2023[1], la CNIL a infligé à la société AMAZON FRANCE LOGISTIQUE (AFL) une amende de 32 millions d’euros en raison de ses pratiques de surveillance excessives envers ses employés et en violation de la règlementation en matière de protection des données.
En l’espèce, la société AFL fournit des services de support logistique dans le cadre de son activité de distribution de colis en France. Elle gère ainsi des centres de distribution de grande taille en France, au sein desquels elle reçoit, stocke les articles et prépare les colis à livrer.
En novembre 2019, lors de contrôles effectués par la CNIL la société AFL comptait environ 6 200 employés en CDI. Pour l’année 2019, elle avait eu recours à 21 582 intérimaires. L’ensemble des salariés travaillant en entrepôt sont équipés d’un scanner pour l’exécution de certaines tâches (stockage ou prélèvement d’un article dans les rayonnages, rangement ou emballage…) et permettant à la société AFL de collecter des données sur la qualité, la productivité et les périodes d’inactivité de chaque salarié.
A l’issue d’une phase d’instruction, la CNIL a relevé plusieurs manquements graves à savoir :
- Des manquements liés au suivi de l’activité des salariés à l’aide des scanners
Outre le fait que certains traitements soit excessifs et intrusifs (et donc illicites), la CNIL considère que la fourniture d’une aide au salarié ou sa réaffectation en temps réel ne nécessitent pas d’accéder aux moindres détails des indicateurs de qualité et de productivité du salarié qui ont été collectés au moyen des scanners par Amazon. Elle relève que les superviseurs d’Amazon peuvent déjà s’appuyer sur les données remontées en temps réel pour repérer toute difficulté d’un salarié pouvant nécessiter un accompagnement ou pour identifier les salariés à réaffecter à une tâche en cas de pic d’activité. Elle estime donc qu’en complément des données remontées en temps réel, une sélection de données agrégées, par exemple hebdomadaire, serait suffisante.
Par ailleurs, la formation restreinte a constaté que jusqu’en avril 2020, les intérimaires travaillant pour la société n’étaient pas correctement informés, puisque la société ne s’assurait pas que la politique de confidentialité leur avait bien été remise avant que leurs données personnelles ne soient collectées au moyen des scanners.
- Des manquements liés aux traitements de vidéosurveillance
La CNIL a jugé que la société AFL ne respectait pas son obligation d’information et de transparence car les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance, puisque certaines informations exigées par l’article 13 du RGPD n’étaient fournies ni sur les panneaux d’affichage, ni dans d’autres supports ou documents.
En outre, la formation restreinte a relevé que la société AFL manquait aussi à son obligation de sécurité (article 32 du RGPD). La formation restreinte a relevé que l’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé, puisque le mot de passe d’accès au logiciel de vidéosurveillance n’était pas d’une robustesse suffisante et que le compte d’accès était partagé entre plusieurs utilisateurs.
Ainsi, cette décision et le montant de l’amende est l’occasion pour la CNIL de souligner encore une fois l’importance de respecter les principes fondamentaux de protection des données, tels que la licéité, la transparence et la sécurité. Cette décision met en lumière la nécessité pour les entreprises de veiller à ce que leurs pratiques de surveillance, en particulier lorsqu’elle concerne un nombre important de salariés, respectent pleinement le RGPD.
[1] Délibération SAN-2023-021 du 27 décembre 2023 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048989272