Le sujet de la surveillance persiste à être d’une actualité brûlante, ce qui est cohérent dans une société s’interrogeant légitimement sur les limites de cette dernière, qu’elles soient pratiques, philosophiques ou juridiques (justement).
La CNIL a dans une décision du 27 décembre dernier, infligé une amende de – excusez du peu - 32 millions d’Euros à Amazon, sanctionnant le système de surveillance de ses salariés.
Qu’est-il reproché au géant américain de la distribution : d’avoir mis en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif par le biais de boitiers de scan. La société est à cette occasion également sanctionnée pour son dispositif de vidéosurveillance sans information et insuffisamment sécurisé (Délib. Cnil 27-12-2023 no 2023-21).
L’importance de la décision et les montants en jeu justifient quelques explications.
Au début de l’histoire, la Cnil a été saisie de plusieurs plaintes de salariés et avait également été préalablement alertée par des coupures de presse afférente au suivi du travail des salariés dans les entrepôts d’Amazon (sans blague !). Elle a alors engagé plusieurs missions de contrôle qui ont finalement abouti à cette condamnation maousse.
L’organisation du travail est la suivante : les salariés travaillant au sein des entrepôts sont chargés, d’une part, de réceptionner et stocker les articles provenant des fournisseurs et, d’autre part, de prélever et d’emballer ces articles en vue de leur envoi aux clients dans le cadre de l’exécution de leurs commandes. La répartition des tâches fait la répartition des salariés.
L’activité des salariés est suivie en temps réel via des scanners – petits boitiers dotés d’un écran qui permettent au salarié de s’identifier et de recevoir des consignes ainsi que d’un lecteur à code-barre permettant de scanner les étiquettes des articles qu’il traite, ou encore des emplacements sur lesquels il range ou prélève les articles.
Cette petite « merveille » technologique permettait de collecter en continu toutes sortes de données, comme la bonne progression de chaque article tout au long des différentes étapes de préparation et de distribution. Mais surtout, cela rendait possible la mesure de l’activité des salariés en décomptant le nombre d’unités qu’ils traitaient sur une période donnée, en comptabilisant les périodes de temps durant lesquelles ils n’en traitaient aucune (décompte des interruptions du temps de travail). Le boitier permettait également d’analyser le niveau de qualité avec lequel ces unités étaient traitées au regard de critères détaillés (43 !). Enfin, le scanner permettait aussi de repérer des erreurs ou des probabilités d’erreur.
Pour justifier un flicage aussi systématique que précis, Amazon mettait en avant des impératifs de qualité et de sécurité, la gestion la charge et du temps de travail, l’évaluation des salariés etc.
La Cnil fait ici logiquement son travail et recherche sur quelle disposition du RGPD la société a pu s’appuyer pour justifier la mise en place de ce processus de contrôle et de collecte des données. Il en ressort l’article 6 du RGPD qui permet un traitement de données personnelles sur la base légale de l’intérêt légitime, la Cnil écartant les autres motifs (sauvegarde d’intérêts vitaux, exécution d’une mission d’intérêt public, etc.).
La Cnil ne conteste pas qu’Amazon ait des impératifs de service aux clients un peu hors-normes au regard des quantités dont il est question, ce qui pouvait justifier un suivi très précis en temps réel de toutes les manipulations des objets dans l’entrepôt et de la situation de chaque poste de travail et donc de chaque salarié. Toutefois, elle s’offusque quand même de l’ampleur du dispositif et le considère comme excessif.
Sont ainsi pointés :
Les indicateurs mesurant les temps d’inactivité. Pour la Cnil, la rigueur et la précision de ce système de mesure justifie qu’il soit qualifié d’illégal comme portant une atteinte disproportionnée aux droits des salariés à la vie privée, à la protection de leurs données personnelles, à des conditions de travail qui respectent leur sécurité, leur santé et leur dignité et en particulier au droit de ne pas faire l’objet d’une surveillance excessive en application de l’article L 1121-1 du Code du travail (pour ce qui est du contrôle du temps de travail, l’argument est considéré comme inopérant du fait de l’existence d’un système de pointage à l’arrivée et au départ de la journée).
L’indicateur permettant d’identifier si l’article a été rangé dans les 1,25 seconde du rangement de l’article précédent (!), comme excédant les intérêts légitimes de la société.
La conservation de toutes les données recueillies par le dispositif ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, pendant 31 jours.
Amazon France Logistique est condamnée à une amende de 32 millions d’euros. Un tel montant ne se détermine évidemment pas au doigt mouillé et la CNIL a pris en compte les éléments suivants :
Les traitements des données des salariés au moyen des scanners conduisaient à un suivi très resserré et détaillé du travail des salariés, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société ;
Le nombre important de personnes concernées, à savoir plusieurs milliers ;
Le chiffre d’affaire de la société : 1,135 milliard d’Euros en 2021 pour un résultat net de 58,9 millions d’Euros ;
Les contraintes imposées aux salariés via ce suivi informatique participaient directement aux gains économiques de la société et lui permettaient de bénéficier d’un avantage concurrentiel sur les autres entreprises du secteur de la vente en ligne.
Enfin, contrairement aux discours tenus, les changements annoncés par la société n’étaient toujours pas mis en œuvre au jour de la séance de délibération, au terme de trois années de procédure.
Last, but not least, la société est également condamnée pour des manquements liés au dispositif de vidéosurveillance : ne pas avoir fourni les coordonnées du délégué à la protection des données personnelles, ne pas avoir informé les personnes concernées de la durée de conservation des données et de leur droit d’introduire une réclamation devant la Cnil en violation des articles 13.1 et 13.2 du RGPD et un manquement à l’article 32 du RGPD constitué par l’absence de traçabilité des accès à la vidéosurveillance compliquant le travail d’investigation en cas d’accès frauduleux, de détérioration ou de suppression d’images. La Cnil souligne également que le mot de passe d’accès au dispositif de vidéosurveillance n’était pas suffisamment sécurisé.
Rappelons que les décisions de la Cnil sont susceptibles de recours devant le Conseil d’Etat et qu’Amazon a déjà indiqué entendre poursuivre cette voie.
En condamnant de manière aussi exemplaire une société emblématique d’un système, la Cnil vient indéniablement de rappeler son existence, et de ce qu’il serait imprudent de faire comme si elle n’existait pas dans l’analyse des risques auxquels s’expose toute entreprise installant des systèmes de mesure et de surveillance.
Sébastien Bourdon