L’autorité française de protection des données, la Commission Nationale de l’Informatique et des Libertés (CNIL), a infligé une amende de pas moins de 32 millions d'euros à Amazon France Logistique pour avoir surveillé de manière excessive ses travailleurs.
Contexte
Amazon France Logistique gère les entrepôts et centres de distribution en France du célèbre site de commerce en ligne Amazon. Dans ces entrepôts, les colis des clients sont reçus, stockés, et ensuite préparés pour l'expédition au client. Le site compte 6.200 travailleurs et 21.000 intérimaires. Pour effectuer leur travail, les travailleurs de l'entrepôt ont été équipés d'un scanner afin d’enregistrer en temps réel l'exécution de leurs tâches. Dans ce cadre, des données ont été conservées, entre autres, concernant la mise en place ou le retrait d’un article des rayons, le rangement ou l’emballage d’articles, etc. Ces données ont ensuite été utilisées pour contrôler le travail du travailleur en termes de qualité, de productivité et des périodes d'inactivité. Après que cette surveillance ait été révélée dans la presse et qu'il y ait eu plusieurs plaintes des travailleurs, la CNIL a procédé à une enquête.
Décision de la CNIL
Après un examen approfondi, la CNIL conclut à l'existence d'une surveillance excessive pour les motifs suivants :
- La mise en place d'un système qui mesure les périodes d'inactivité de manière aussi précise conduit à une situation où les travailleurs doivent justifier chaque pause ou interruption.
- La mesure de la vitesse à laquelle certains produits sont scannés a été jugée excessive. Par exemple, un indicateur permettait de savoir si un produit avait été scanné dans les 1,25 secondes suivant le scannage du produit précédent.
- La CNIL a jugé qu'il n'était pas nécessaire de conserver toutes ces données pendant une période de 31 jours.
La CNIL a décidé que cette surveillance constituait une violation des principes de minimisation des données, de licéité et de transparence du RGPD.
Violation des principes du RGPD
Le principe de minimisation des données implique que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Amazon a indiqué que cette surveillance était nécessaire pour identifier les travailleurs ayant besoin de coaching ou éventuellement d'être affectés à une autre tâche. Cependant, la CNIL estime qu'il n'était pas nécessaire, dans ce cadre, de traiter chaque détail des activités réalisées durant le mois écoulé. Selon la CNIL, cette finalité aurait également pu être atteinte en consultant ces données en temps réel, éventuellement combinées à une sélection de données agrégées sur une base hebdomadaire. Par conséquent, la CNIL constate une violation du principe de minimisation des données.
Sur trois points, la CNIL a jugé que les données traitées étaient illicites, notamment les informations concernant la vitesse de scannage (un nouveau produit est-il scanné trop rapidement après un produit précédent), la mesure du temps d'arrêt (interruptions de plus de 10 minutes) et la notification des interruptions de 1 à 10 minutes. La CNIL fait valoir que ce niveau de surveillance peut amener un travailleur à devoir justifier chaque interruption de courte.
Enfin, Amazon a négligé d’informer adéquatement tous les travailleurs et les intérimaires au sujet de la surveillance. Les informations ont bien été incluses dans la notice relative à la vie privée adressée aux travailleurs, mais celle-ci était uniquement disponible sur l'intranet. Étant donné que les travailleurs de l'entrepôt n'ont en principe pas accès à l'intranet, la CNIL a estimé qu’il ne s’agissait pas d’un moyen adéquat de fournir des informations et a également constaté une violation du principe de transparence.
Vidéosurveillance défaillante
Enfin, des manquements ont également été constatés en ce qui concerne la vidéosurveillance. La CNIL a jugé que ni les travailleurs ni les visiteurs externes des entrepôts n'étaient correctement informés de la surveillance par caméra dans les entrepôts. Par exemple, il n'était pas clair de la durée de conservation des images, les coordonnées du DPO n'étaient pas communiquées et aucune information n'était fournie sur le droit de déposer une plainte auprès de l'autorité de protection des données.
De plus, Amazon n'avait pas suffisamment sécurisé son logiciel de vidéosurveillance. La CNIL a noté que le mot de passe pour accéder à ce logiciel était trop faible et que les données de connexion étaient partagées entre plusieurs travailleurs. De cette manière, il était pratiquement impossible, selon la CNIL, de tracer qui avait accès à quel moment aux images vidéo et quelles actions étaient effectuées.
Point d'attention
Leçons pour la surveillance en Belgique
Il n'est pas interdit d'installer des caméras sur le lieu de travail ou de surveiller les travailleurs, tant que cela se fait dans le respect du droit à la vie privée de ceux-ci. En Belgique, il est également nécessaire de tenir compte de certaines CCT spécifiques qui régissent la surveillance électronique et la vidéosurveillance sur le lieu de travail.
Avant qu'une entreprise ne souhaite surveiller ses travailleurs en Belgique, il est important d'en évaluer la nécessité de manière critique, en vérifiant toujours s'il existe des solutions alternatives moins intrusives.
Dans tous les cas, les principes du RGPD doivent continuer à être respectés, notamment :
- Licéité : il faut identifier une base juridique pour chaque traitement de données à caractère personnel. La surveillance fait souvent appel à l'intérêt légitime de l'entreprise. Cependant, cet intérêt doit être mis en balance avec les droits et libertés des travailleurs, notamment à la lumière des attentes raisonnables du travailleur.
- Transparence : informez les travailleurs concernés en temps utile et de manière exhaustive sur le comment, le quoi et le pourquoi de la surveillance.
- Minimisation des données : il ne faut pas collecter plus de données que strictement nécessaire pour atteindre la finalité.
- Limitation du stockage : les données ne peuvent pas être conservées plus longtemps que strictement nécessaire pour atteindre la finalité.
Étant donné que la surveillance constitue souvent un traitement de données à haut risque, il est généralement conseillé de réaliser une analyse d'impact sur la protection des données (AIPD). De plus, chaque traitement doit être inclus dans le registre des activités de traitement.
N'hésitez pas à contacter l'un des membres de notre équipe Data & Privacy pour toute question complémentaire !