Tiré de: CNIL, Délibération de la formation restreinte n°SAN-2024-021 du 19 décembre 2024 concernant la société […] (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT0000511203319):

La société […] (ci-après  » la société « ), société par actions simplifiée dont le siège social est situé […], a un établissement secondaire situé […]. La société, qui exerce une activité d’agence immobilière, propose notamment à sa clientèle, majoritairement des acheteurs professionnels, d’identifier les biens immobiliers présentant la plus forte rentabilité.

En 2022, la société employait environ […] personnes, majoritairement des alternants. Pour la période du 1er avril 2020 au 31 décembre 2021, la société a réalisé un chiffre d’affaires de […] euros pour un résultat net de […] euros, puis, en 2022, un chiffre d’affaires de […] euros pour un résultat net de […] euros. En 2023, la société a réalisé un chiffre d’affaires de […] euros, pour un résultat net de […] euros.

La société a mis en place le logiciel TIME DOCTOR (ci-après  » le logiciel « ) dans le cadre du télétravail de ses employés à compter du mois de septembre 2021, pour le suivi de leur activité, puis l’a désactivé le 17 octobre 2022. Installé sur les ordinateurs utilisés par les salariés non cadres de ses départements  » marketing/communication « ,  » chasse  » (sic!),  » gestion locative  » et  » tech « , les données qu’il collectait étaient consultables par les encadrants à travers une application web.

Le logiciel était installé sous deux versions, la première, dite  » interactive « , sur les ordinateurs personnels des employés, nécessitant une activation et une désactivation manuelle par ces derniers pendant leur temps de travail et de pause, et la seconde, dite  » silencieuse « , installée sur les ordinateurs fournis par la société, pour laquelle l’activation et la désactivation étaient automatiques lors du démarrage et de l’arrêt des ordinateurs.

Extraits des considérants :

« B. Sur les manquements relatifs au dispositif de vidéosurveillance et au logiciel de mesure de l’activité des salariés

1. Sur le cadre applicable

24. En premier lieu, l’article 5, paragraphe 1, c) du RGPD prévoit que  » [l]es données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « . Le considérant 39 du RGPD précise que  » les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens « .

25. En second lieu, aux termes de l’article 6, paragraphe 1, f) du RGPD,  » le traitement n’est licite que si, et dans la mesure où, au moins l’une des conditions suivantes est remplie : […] le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel […] « .

26. Le considérant 47 du RGPD précise que  » [l]es intérêts légitimes d’un responsable du traitement […] peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée […] « .

27. Ainsi, la base légale de l’intérêt légitime repose sur trois conditions : que l’intérêt poursuivi soit légitime, qu’il soit nécessaire de traiter les données à caractère personnel pour la réalisation de cet intérêt légitime et que le traitement ne heurte pas les droits et libertés fondamentaux des personnes dont les données sont traitées, compte tenu de leurs attentes raisonnables. L’atteinte portée aux droits et libertés des salariés constitue l’élément essentiel à prendre en compte dans la mise en balance des intérêts, quand bien même il est également tenu compte d’autres éléments tels que la nature des données à caractère personnel en cause, la nature et les modalités du traitement, ainsi que les attentes raisonnables de la personne concernée (CJUE, 11 décembre 2019, Asociatja de Proprietari bloc M5A-ScaraA, aff. C-708/18 du 11 décembre 2019, § 40, § 56 et 58).

28. Enfin, le considérant 75 du RGPD apporte des précisions sur les risques pour les droits et libertés des personnes physiques pouvant être induits par certains traitements, dont le degré de gravité et de probabilité varie, et qui peuvent entraîner des dommages physiques, matériels ou un préjudice moral. Parmi ces risques, le considérant évoque en particulier ceux résultant de traitements qui visent des personnes physiques vulnérables et/ou portent sur un volume important de données.

29. La formation restreinte relève que, compte tenu de la nature des traitements en cause et leurs conditions de mise en œuvre, les fondements juridiques prévus par les dispositions de l’article 6.1 sous a), b), c), d) et e) du RGPD – liés à l’exécution du contrat, au consentement des personnes, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public – ne trouvent pas à s’appliquer en l’espèce, de sorte que seule la base légale liée aux intérêts légitimes poursuivis par le responsable de traitement, prévue par les dispositions de l’article 6.1 sous f), peut trouver à s’appliquer.

30. Elle relève que l’intérêt de la société, en tant qu’employeur, à prévenir les atteintes aux biens dans ses locaux, ainsi qu’à mesurer le temps de travail et à évaluer le travail de ses salariés, constitue un intérêt légitime au sens de l’article 6, paragraphe 1, f) du RGPD. Elle considère que cet intérêt est licite, qu’il est déterminé de façon suffisamment claire et précise et qu’il est, enfin, réel et présent pour la société. Néanmoins, la formation restreinte rappelle que, pour être admis comme base légale du traitement, celui-ci ne doit pas porter une atteinte disproportionnée aux droits et libertés des personnes, eu égard aux finalités poursuivies (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

31. Par ailleurs, aux termes de l’article L. 1121-1 du code du travail :  » Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché « . Les droits et libertés protégés sont, en particulier, le droit à la vie privée et personnelle, la protection des données à caractère personnel, le droit à la protection de son intégrité physique et mentale. Il résulte d’une jurisprudence constante de la Cour de cassation que si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (Cass. Soc., 23 juin 2021, n° 19-13.856), l’utilisation d’un tel dispositif de surveillance n’étant licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace (Cass. Soc., 19 décembre 2018, n°17-14.631). Cette position est également confirmée par le Conseil d’Etat (CE, 15 décembre 2017, n°403776).

32. Ainsi, c’est à l’aune de ces principes qu’il convient d’apprécier la proportionnalité (…) du logiciel TIME DOCTOR mis en œuvre pour les finalités recherchées, qui peuvent aboutir à une surveillance permanente disproportionnée des salariés et de leur activité. (…)

3. Sur le manquement en lien avec le dispositif TIME DOCTOR

(…)

3.1. Sur la finalité de mesure du temps de travail

44. La formation restreinte rappelle, d’une part, que la CNIL considère les dispositifs de surveillance automatisée permanente des salariés, tels que la prise de captures d’écran du salarié à intervalles réguliers ou l’utilisation de «  keyloggers  » (enregistreurs de frappe / de surveillance de la fréquence des frappes de clavier et des clics de souris permettant d’enregistrer à distance toutes les actions accomplies sur un ordinateur) comme disproportionnés au regard des intérêts légitimes de l’employeur, sauf circonstances exceptionnelles (CNIL, mise en demeure n° MED 2023-102 du 17 novembre 2023, cf. Tables Informatique et Libertés (TIL) sur le site web de la CNIL). La formation restreinte a de même considéré, dans une décision de sanction récente portant sur un système de surveillance automatisée des salariés mesurant très précisément les interruptions d’activité de ces derniers, qu’un tel système  » conduit à recenser informatiquement l’intégralité des temps d’interruption d’un salarié […] et à les cumuler sur la semaine, ce qui porte ainsi une atteinte excessive, notamment, au droit à la vie privée et personnelle du salarié ainsi qu’à son droit à des conditions de travail qui respectent sa santé et sa sécurité « . Il ne peut dès lors être mis en œuvre sur le fondement de l’intérêt légitime de l’employeur (CNIL, Sanction SAN-2023-021 du 27 décembre 2023).

45. D’autre part, en application de L.3121-1 du code du travail, la formation restreinte précise en outre que le temps de travail est défini comme  » le temps pendant lequel le salarié est à la disposition de l’employeur et se conforme à ses directives sans pouvoir vaquer librement à des occupations personnelles « . Il résulte de ce qui précède que le temps de travail effectif ne se limite pas à la réalisation d’une action continue, circonscrite à une activité de frappe sur un clavier ou un mouvement de souris. Il s’analyse plus largement, comme un temps durant lequel le salarié est à la disposition de son employeur, pour agir selon ses directives, et sans que ce temps se limite nécessairement à la réalisation d’une tâche continue matérialisée par des actions faites sur ordinateur.

46. En l’espèce, la formation restreinte relève qu’il ressort tant des constatations de la délégation de contrôle que des éléments de réponse de la société, que le logiciel utilisé pour effectuer un décompte du temps de travail incluait une fonctionnalité  » time out « , laquelle  » permettait de soustraire les temps de pause des périodes de travail actives des salariés « . Cette fonctionnalité était ainsi utilisée pour mesurer nominativement les temps considérés par la société comme étant des temps  » d’inactivité  » des salariés, identifiés en fonction d’une durée préalablement paramétrée, entre trois et quinze minutes, au cours de laquelle le salarié n’avait effectué aucune frappe sur son clavier d’ordinateur ou aucun mouvement de souris (ce temps correspondant ainsi à des  » idle minutes  » – minutes d’inactivité). Sur cette base, le logiciel calculait le pourcentage de temps d’inactivité eu égard au temps de travail considéré comme effectif, en tenant compte des horaires d’activation et de désactivation du logiciel. Ce temps de travail effectif était ainsi considéré comme un temps pendant lequel le salarié était constamment en activité, qui se matérialisait à travers les mouvements effectués sur son ordinateur. Les temps  » d’inactivité  » comptabilisés, que la société considérait comme non travaillés, à défaut d’être justifiés par le salarié ou rattrapés, pouvaient faire l’objet d’une retenue sur salaire. La société demandait en effet à ses salariés de justifier de ces heures comptabilisées comme non travaillées, a posteriori, lors du décompte précédant la paie. Pour les salariés ne pouvant en justifier, la société procédait à une retenue sur salaire.

47. Au vu de ces éléments, la formation restreinte relève que les traitements mis en œuvre via le dispositif TIME DOCTOR – dont la finalité poursuivie était, selon la société, le seul  » décompte du temps de travail « , conduisaient à analyser et comptabiliser de manière automatisée, tout au long de la journée, chaque temps  » d’inactivité  » des salariés supérieur à une durée préalablement et individuellement déterminée pour chacun d’entre eux. La société précise que ce dispositif était utilisé en vue de réaliser un décompte journalier des heures de travail considérées comme effectives et celles jugées comme ne l’étant pas, ces dernières étant identifiées au travers de ces périodes d’absences de frappe sur un clavier ou de mouvement de la souris. Le logiciel permettait ainsi d’analyser toutes les actions – ou absences d’actions – effectuées par les salariés sur leur ordinateur et d’en conclure que certaines périodes correspondaient à du temps travaillé, et d’autres non.

48. Or, la formation restreinte relève tout d’abord que des périodes pendant lesquelles le salarié n’utilise pas son matériel informatique peuvent également correspondre à du temps de travail effectif au cours duquel il peut effectuer diverses tâches, dans le cadre de ses missions, comme par exemple des réunions, du travail manuel à la demande d’un responsable, ou encore des appels téléphoniques. Il ressort des éléments communiqués par la société que de telles tâches sont bien confiées à ses salariés. (…)

49. En défense, la société met en avant le fait que ces temps d’inactivité pouvaient être justifiés par les salariés et que, en cas de justification satisfaisante, aucune retenue sur salaire n’était effectuée. La formation restreinte considère que cet argument, loin de constituer une garantie, illustre au contraire le fait que le décompte du temps de travail via ce dispositif, particulièrement intrusif, n’est pas révélateur et que son utilisation n’est pas adaptée à l’atteinte de la finalité poursuivie. Elle observe en outre que de telles justifications peuvent en pratique être difficiles à apporter par les salariés, compte tenu non seulement du temps écoulé depuis le décompte des périodes d’inactivité relevées par le logiciel, mais aussi du volume des temps comptabilisés dont il leur est demandé de justifier. La formation restreinte relève ainsi, à titre d’exemple, une demande de justification faite à un salarié portant sur quarante-trois heures à justifier au cours du moins précédent. Un tel dispositif, reposant en partie sur la possibilité pour les salariés de justifier de leurs actes a posteriori, lors du décompte précédant la paie, ne saurait constituer un système fiable de décompte des heures de travail.

50. Par conséquent, un tel dispositif de mesure du temps de travail, déduisant de ce décompte des temps  » d’inactivité  » identifiés en fonction des modalités décrites ci-dessus, ne constitue pas un élément de mesure fiable au sens des dispositions de l’article L.3171-4 du code du travail, qui requiert que  » le décompte des heures de travail accomplies par chaque salarié, [dès lors qu’il] est assuré par un système d’enregistrement automatique, [soit] fiable et infalsifiable « .

51. En outre, la formation restreinte estime que l’atteinte portée par le dispositif aux droits des salariés était, en tout état de cause disproportionnée. Elle relève que les traitements mis en œuvre via ce logiciel, excédant largement dans ses modalités de mise en œuvre le seul décompte du temps de travail, ne pouvaient entrer dans les attentes légitimes des salariés. En effet, si ces derniers pouvaient s’attendre à un décompte de leur temps de travail – notamment du fait de l’information orale fournie dont fait état en défense la société – ils ne pouvaient raisonnablement s’attendre, pour cette finalité, à une telle surveillance permanente par l’enregistrement, tout au long de la journée, à partir de leurs mouvements de frappe sur leur clavier ou de souris. La formation restreinte estime ainsi que les traitements mis en œuvre via le logiciel TIME DOCTOR constituent un dispositif de surveillance automatisée permanente des salariés, disproportionné au regard de la finalité de mesure du temps de travail, ne pouvant entrer dans leurs attentes raisonnables. La formation restreinte relève de surcroît que plus de la moitié des salariés concernés par l’installation du logiciel disposait d’un ordinateur professionnel, et était soumise à sa version  » silencieuse « , ne leur permettant pas d’activer ou de désactiver le logiciel pendant les temps de pause, ajoutant au caractère disproportionné du dispositif TIME DOCTOR.

52. La formation restreinte relève que la société ne fait état d’aucune circonstance exceptionnelle pouvant justifier une telle mise sous surveillance permanente de ses salariés. Le télétravail ne saurait constituer une telle justification dans la mesure où des moyens alternatifs, moins intrusifs, peuvent être mis en place pour encadrer et contrôler le temps de travail et l’activité des salariés (tels qu’une badgeuse électronique, des plannings prévisionnels ou des échanges réguliers avec l’encadrant).

53. Compte tenu de tout ce qui précède, la formation restreinte considère que l’utilisation de ce dispositif pour la mise en œuvre des traitements opérés par le logiciel TIME DOCTOR, n’est pas nécessaire pour l’atteinte de la finalité poursuivie et porte une atteinte disproportionnée à leurs droits au regard de l’intérêt légitime de mesure du temps de travail poursuivi par la société.

54. Par conséquent, la formation restreinte considère que les traitements des données à caractère personnel des salariés de la société par le logiciel TIME DOCTOR ne reposent sur aucune base juridique en méconnaissance de l’article 6 du RGPD. »

Me Philippe Ehrenström, avocat, LLM