Surveillance abusive du travailleur? Mefiez-vous d'une potentielle sanction!

La condamnation en France de l'entreprise Amazon pour avoir surveillé abusivement ses salariés rappelle aux entreprises belges la lourdeur des sanctions si elles violent le RGPD.

Le 23 janvier 2024, Amazon France Logistique (AFL) s’est vu infliger une amende de 32 millions d'euros par la CNIL (Commission nationale de l’Informatique et des Libertés) en France pour avoir organisé un système de surveillance de l’activité et des performances des salariés excessif et manqué à ses obligations d’informations et de sécurisation de sa vidéosurveillance.

Mais le montant de la condamnation d’Amazon est considérable.

Collecte en continu de l'activité des travailleurs

AFL gère des centres de distribution de grande taille en France, au sein desquels elle reçoit, stocke les articles et prépare les colis à livrer. Avec un effectif en 2019 de près de 6.000 employés et le recours à plus de 21.000 intérimaires.

Le système d'Amazon analyse notamment le niveau de qualité du travail des salariés, au regard de critères détaillés.

Afin d’optimiser sa gestion en temps réel des entrepôts, AFL collecte en continu des données relatives à l’activité des travailleurs: les scans réalisés par chaque salarié permettant de suivre la bonne progression de chaque article tout au long des différentes étapes de préparation et de distribution, mais aussi de mesurer l’activité du salarié, en décomptant le nombre d’unités qu’il traite sur une période donnée, en comptabilisant les périodes de temps durant lesquelles il ne traite aucune unité et en analysant le niveau de qualité avec lequel ces unités sont traitées, au regard de critères détaillés. Les données étant conservées pendant 31 jours.

La surveillance informatique excessive viole le RGDP

La CNIL a jugé que parmi les 43 indicateurs utilisés, trois violent le RGDP(Règlement général sur la protection des données) étant l’indicateur de vitesse d’exécution d’une tâche (une vitesse de moins de 1,25 seconde étant associée à une erreur) et deux indicateurs d’inactivité (de plus de 10 minutes et de moins de 10 minutes à certains moments critiques de la journée).

L'abus constaté consistait notamment à exercer une pression continue sur le salarié, obligé de justifier la moindre interruption, même de courte durée.

En substance, la CNIL considère que le traitement de ces indicateurs ne peut reposer sur l’intérêt légitime(article 6), car il conduit à une surveillance informatique excessive du salarié au regard de l’objectif poursuivi par la société, notamment en raison de la pression continue exercée sur le salarié obligé de justifier de la moindre interruption même de courte durée. Et d’autres moyens existent pour atteindre les objectifs de planification du travail, d’évaluation et de formation des travailleurs. Par ailleurs, le traitement de ces indicateurs ne respecte pas le principe de minimisation (article 5.1.c).

La surveillance en continu n'est pas remise en cause

Par ailleurs, la CNIL considère que la surveillance par télécaméra n’a pas fait l’objet d’une information suffisante et les accès au système pas suffisamment sécurisés (mot de passe trop faible et compte d’accès partagé).

Toutefois, point important, la CNIL ne remet pas en cause la surveillance en continu étant donné les contraintes exceptionnelles imposées à AFL, en raison des volumes traités et des objectifs de courts délais de livraison, ce qui rend nécessaire un suivi très précis, en temps réel, de toutes les manipulations des objets dans l’entrepôt et de la situation de chaque poste de travail, donc de chaque salarié.

La lourdeur de la sanction est justifiée par le nombre d’employés concernés et l’ampleur des données collectées ainsi que les gains réalisés par la société grâce au système qui la rend extrêmement compétitive.

Un tel système n'est pas illégal en Belgique

En Belgique, comme en France, il faut respecter le RGPD. La décision de la CNIL rappelle ainsi aux entreprises belges la lourdeur des sanctions possibles en cas de manquements, même si l’Autorité de protection des données (APD) belge n’a certes pas les moyens de la CNIL.

Dans un contexte belge, on rappellera que sa mise en œuvre devra tenir compte de la CCT 38 relative aux nouvelles technologies qui impose d’informer et de consulter les travailleurs.

Par ailleurs, vu le stress et la pression sur les travailleurs, un avis au comité de prévention et de protection au travail pourrait être requis compte tenu des dispositions en matière de bien-être.

Enfin, il est utile se de rappeler que les travailleurs concernés pourraient demander des dommages et intérêts…