Suivi des sites internet visités par les employés

Publié le 8 février 2025 par Me Philippe Ehrenström

Tiré de : CNIL, Délibération de la formation restreinte n°SAN-2024-021 du 19 décembre 2024 concernant la société […] (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT0000511203319)

La société […] (ci-après  » la société « ), société par actions simplifiée dont le siège social est situé […], a un établissement secondaire situé […]. La société, qui exerce une activité d’agence immobilière, propose notamment à sa clientèle, majoritairement des acheteurs professionnels, d’identifier les biens immobiliers présentant la plus forte rentabilité.

La société a mis en place le logiciel TIME DOCTOR (ci-après  » le logiciel « ) dans le cadre du télétravail de ses employés à compter du mois de septembre 2021, pour le suivi de leur activité, puis l’a désactivé le 17 octobre 2022. (…)

Extraits des considérants :

« 3.2. Sur la finalité de mesure de la productivité des salariés

55. La formation restreinte relève que le logiciel permettait de mesurer la productivité des salariés, sur la base d’une liste de sites web et de programmes préalablement identifiés et paramétrés comme productifs ou non, eu égard à l’historique de sites et de programmes effectivement consultés par les salariés concernés et recensés par le logiciel. Le logiciel collectait ainsi, pour chaque salarié, des données relatives aux pages web visitées et aux applications utilisées avec la durée afférente, au temps passé sur des sites web jugés productifs et non productifs par la société, et au pourcentage du temps passé sur chacune de ces catégorises de sites web par rapport au temps de travail effectué. Le logiciel permettait en outre d’effectuer des captures régulières de l’écran ( » screencast « ) de l’ordinateur de chaque employé concerné, dont la récurrence était paramétrée au cas par cas par la direction, par intervalles d’une durée entre trois et quinze minutes. Par ailleurs, dans la version  » silencieuse  » du logiciel, le salarié ne pouvait pas désactiver cette fonction  » screencast  » durant ses temps de pause, puisqu’il n’était pas en mesure d’avoir connaissance du caractère actif ou non du logiciel lors de l’utilisation de son ordinateur.

56. La formation restreinte souligne, d’une part, qu’un tel dispositif présente un caractère, si ce n’est permanent, quasi-permanent, compte tenu de la récurrence des captures d’écran, qui constitue ainsi une surveillance particulièrement intrusive des salariés. Elle relève, d’autre part, que la mise en œuvre de ce logiciel peut conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels), ce qui renforce encore le caractère intrusif du dispositif utilisé pour évaluer la productivité des salariés. Ce dispositif porte dès lors une atteinte disproportionnée à la vie privée des salariés.

57. La formation restreinte relève en outre que des moyens alternatifs moins intrusifs sont par ailleurs utilisés par la société afin d’évaluer la productivité des employés. Il ressort en effet des constatations effectuées lors des opérations de contrôle que, interrogée sur les modalités de mesure de la performance de ses salariés, la société a indiqué utiliser, pour le département  » chasse « , un outil statistique développé en interne, permettant de déterminer sur la base de différents critères le nombre de biens gérés par le salarié et de faire des comparaisons au sein de l’équipe, pour le département commercial, un outil de gestion de la relation clients pour déterminer le chiffre d’affaires réalisé par chaque salarié et, pour les départements pour lesquels la productivité du travail est plus difficilement quantifiable, une évaluation par les encadrants, lors d’entretiens, de la réalisation du travail effectué.

58. S’agissant de l’argument mis en avant par la société en défense, selon lequel elle n’aurait, in fine, pas utilisé les données collectées par le logiciel à des fins de mesure de la productivité de ses employés, il n’en demeure pas moins qu’elle a paramétré en amont le logiciel afin qu’il collecte ces mesures pour cette finalité, peu importe son choix ultérieur de ne pas les utiliser. En outre, la collecte et la conservation de données qui n’ont pas d’utilité avérée est contraire au principe de finalité prévu par l’article 5 du RGPD et dès lors illicite.

59. Par conséquent, la formation restreinte considère que les traitements de ces données étaient disproportionnés au regard des intérêts et droits fondamentaux des salariés, en particulier de leur droit à la protection de leur vie privée et personnelle, de sorte que les traitements de leurs données à caractère personnel effectués par ce logiciel ne reposaient sur aucune base juridique. Elle considère en outre que si la société a justifié avoir retiré le dispositif TIME DOCTOR, le manquement à l’article 6 du RGPD est néanmoins constitué pour le passé. »

Me Philippe Ehrenström, avocat, LLM

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire