Depuis janvier 2025, la CNIL a infligé pour 104 000 euros d’amendes via sa procédure simplifiée, ciblant en majorité des pratiques abusives de surveillance des salariés au sein des entreprises françaises.
Le virage entamé par la CNIL en 2025 traduit un resserrement notable de sa vigilance à l’égard du monde du travail. Avec dix décisions de sanctions rendues dans le cadre de sa procédure simplifiée, l’autorité de protection des données a envoyé un message clair : la surveillance excessive ou mal encadrée des salariés n’a plus sa place. Des dispositifs de vidéosurveillance omniprésents aux boîtiers de géolocalisation mal paramétrés, de nombreuses pratiques ont été épinglées pour leur caractère intrusif et leur non-conformité au principe de minimisation des données personnelles. Dans un contexte de numérisation croissante des environnements de travail, cette série de sanctions interpelle sur l’équilibre entre sécurité, performance et respect de la vie privée.
Une surveillance permanente jugée disproportionnée
Le cœur des sanctions prises en ce début d’année réside dans un constat clair : la surveillance des salariés reste trop souvent excessive, mal encadrée, voire illégale. Sur les dix sanctions prononcées par la CNIL depuis janvier, six concernent directement l’usage de dispositifs de surveillance sur le lieu de travail. Qu’il s’agisse de caméras placées au-dessus de postes de travail ou de systèmes de géolocalisation embarqués dans les véhicules professionnels, les pratiques visées ont en commun de contrevenir à un principe fondamental du Règlement général sur la protection des données (RGPD) : la minimisation des données.
Ce principe impose que seules les données strictement nécessaires à la finalité poursuivie soient collectées et traitées. Or, dans plusieurs cas, des entreprises ont été sanctionnées pour avoir filmé en continu leurs salariés, sans justification liée à la sécurité ou à la prévention de vols, ou encore pour avoir activé la géolocalisation 24h/24, même en dehors des horaires de travail. Une telle surveillance constante, loin d’être anodine, est perçue comme portant gravement atteinte à la vie privée des salariés.
La CNIL rappelle que la surveillance vidéo continue, hors circonstances exceptionnelles, constitue une violation manifeste du principe de minimisation des données.
Dans une décision emblématique, la CNIL a notamment jugé qu’un système de géolocalisation activé en permanence dans des véhicules professionnels n’était pas proportionné aux objectifs avancés, tels que le suivi du temps de travail ou la lutte contre les infractions routières. Ces finalités, bien qu’en soi légitimes, doivent selon l’autorité être poursuivies par des moyens moins intrusifs. Par exemple, en cas de vol, le dispositif devrait uniquement enregistrer la dernière position connue du véhicule, sans permettre un traçage continu.
Des manquements en cascade dans l’encadrement technique
La surveillance abusive ne se limite pas à la collecte excessive de données. Elle se manifeste également par des défauts de sécurisation des dispositifs eux-mêmes. Ainsi, plusieurs employeurs ont été sanctionnés pour des pratiques mettant en péril la sécurité des données collectées, notamment les images issues de caméras de surveillance.
Dans un cas révélé par la CNIL, une société permettait l’accès aux images vidéo à toute personne présente dans le bureau du directeur, y compris des salariés non habilités ou des visiteurs externes. Le mot de passe utilisé était inchangé depuis plusieurs années et avait été partagé entre plusieurs utilisateurs. Il se composait de seulement dix caractères, sans mesure de sécurité complémentaire. L’autorité a jugé ces conditions d’accès comme « gravement défaillantes » au regard des exigences du RGPD, qui impose la mise en place de mesures techniques et organisationnelles adaptées au niveau de risque.
L’accès non contrôlé à des flux vidéo internes constitue une faille majeure, non seulement sur le plan technique, mais également éthique. Il crée un climat de méfiance au sein de l’entreprise, où la surveillance se transforme en suspicion permanente, rompant le lien de confiance essentiel entre employeur et salarié.
L’information des salariés, un devoir souvent négligé
Outre les dispositifs eux-mêmes, la CNIL a pointé du doigt un autre manquement récurrent : le défaut d’information des salariés. Trop souvent, ces derniers découvrent l’existence d’un système de surveillance à la faveur d’un incident, d’une sanction disciplinaire ou d’une fuite d’informations. Dans plusieurs cas, l’information fournie était incomplète ou absente, en violation des obligations prévues à l’article 13 du RGPD.
Ce manquement n’est pas anodin. Il prive les salariés de leur droit à comprendre quelles données sont collectées, à quelles fins, et comment ils peuvent exercer leurs droits. Pour la CNIL, l’information doit être claire, accessible et délivrée en amont de toute mise en place de dispositif. Elle est un préalable indispensable à toute collecte de données en entreprise.
Dans un des dossiers instruits, l’entreprise mise en cause n’avait pas non plus coopéré avec la CNIL lors d’une enquête déclenchée à la suite d’une plainte de salarié. Ce refus de collaboration a aggravé la sanction, l’autorité estimant qu’il traduisait une volonté manifeste de contourner les obligations légales.
L’absence d’information des salariés sur les dispositifs de surveillance constitue une violation directe du RGPD, aggravée en cas de non-coopération avec la CNIL.
Une entreprise sanctionnée pour sa gestion de crise défaillante
Au-delà des pratiques de surveillance sur le lieu de travail, la CNIL a également sanctionné une entreprise issue du secteur numérique pour sa mauvaise gestion d’une violation de données. Il s’agit d’un site de rencontres ayant subi une fuite d’informations personnelles concernant plusieurs utilisateurs. Malgré les risques manifestes pour les personnes concernées, la plateforme n’avait ni notifié l’incident à la CNIL, ni informé les utilisateurs, comme l’exige le RGPD dans ses articles 33 et 34.
Ce manquement est d’autant plus préoccupant qu’il touche des données potentiellement sensibles. Dans ce cas précis, les utilisateurs concernés ont été exposés à des risques accrus de harcèlement, d’usurpation d’identité ou encore de discrimination. Le site a été lourdement sanctionné, la CNIL estimant que l’absence de transparence et de réactivité démontrait une négligence grave dans la gestion de la sécurité des données personnelles.
Ces nouvelles décisions illustrent l’évolution d’une régulation devenue plus pragmatique, mais également plus ferme. En instaurant une procédure simplifiée, la CNIL s’est dotée d’un levier efficace pour traiter rapidement les infractions les plus évidentes. Cela permet d’envoyer un signal clair au tissu entrepreneurial : le respect du RGPD n’est pas une option, mais une exigence incontournable.
Le montant cumulé des amendes, s’élevant à 104 000 euros depuis le début de l’année, peut paraître modeste à l’échelle des grandes entreprises. Mais il reflète une volonté assumée de rappeler à l’ordre les structures de toutes tailles, en particulier les PME, qui sont les premières concernées par ces pratiques de surveillance insuffisamment encadrées.
À travers ces décisions, la CNIL affirme sa mission de protection des libertés individuelles face à la tentation croissante de contrôler, d’analyser et de surveiller à outrance les comportements des salariés. Car au-delà de la conformité réglementaire, c’est une certaine vision du travail et du respect de la dignité humaine qui se dessine.
Rejoignez-nous sur la Lettre d’actualité gratuité de ZATAZ S’abonner à la newsletter ou encore sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.
