Délibération SAN-2023-021 du 27 décembre 2023

Délibération de la formation restreinte n°SAN-2023-021 du 27 décembre 2023 concernant la société AMAZON FRANCE LOGISTIQUE

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, Mme Christine MAUGÜÉ et M. Alain DRU, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après " le RGPD " ou " le Règlement ") ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la saisine n° […] ;

Vu la décision n° 2019-187C du 26 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements de données à caractère personnel mis en œuvre pour la société AMAZON FRANCE LOGISTIQUE (ci-après " la société " ou " AFL ") ou pour son compte ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 28 janvier 2021 ;

Vu le rapport de M. François PELLEGRINI, commissaire rapporteur, notifié à la société AFL le 4 avril 2022 ;

Vu les observations écrites versées par la société AFL le 20 juin 2022 ;

Vu l’audition de la société AFL en date du 9 novembre 2022 ;

Vu la réponse du rapporteur aux observations de la société, notifiée le 6 décembre 2022 à la société AFL ;

Vu les observations écrites versées par la société AFL le 23 mai 2023 ;

Vu la lettre du 22 septembre 2023, adressée par la société AFL au président de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 14 septembre 2023 :

- M. François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société AFL :

- […];

- […];

- […];

- […];

- […];

- […];

- […];

- […];

- […];

La société AFL ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La société AFL, société par actions simplifiée immatriculée au registre du commerce et des sociétés le 3 janvier 2000, est située 67 boulevard du général Leclerc à Clichy (92110). Son chiffre d’affaires s’élevait à 1,135 milliard d’euros en 2021, pour un résultat net de 58,9 millions d’euros.

2. La société AFL est directement détenue par la société Amazon EU SARL située au Luxembourg, elle-même détenue à 100% par la société Amazon.com Inc., située aux Etats-Unis.

3. La société fournit des services de support logistique dans le cadre de son activité de distribution de colis en France. Elle gère ainsi des centres de distribution de grande taille en France, au sein desquels elle reçoit, stocke les articles et prépare les colis à livrer. En novembre 2019, la société comptait environ 6 200 employés en contrat à durée indéterminée. Pour l’année 2019, elle avait eu recours à 21 582 intérimaires.

4. En novembre 2019, en application de la décision n° 2019-187C de la présidente de la Commission du 26 septembre 2019, plusieurs missions de contrôle sur place ont été menées dans les locaux administratifs occupés par plusieurs entités françaises d’Amazon et au sein de la société. Les deux premières missions de contrôle, menées les 5 et 6 novembre 2019, ont permis aux services de la CNIL d’appréhender les traitements de données à caractère personnel mis en œuvre par les entités du groupe Amazon en France à l’égard de ses salariés. Les trois dernières missions de contrôle des 13, 14 et 19 novembre 2019, réalisées au sein des entrepôts de Lauwin-Planque et de Montélimar, se sont concentrées sur les traitements mis en œuvre par la société AFL, à savoir, les traitements relatifs au suivi de l’activité des salariés ainsi que les dispositifs de vidéosurveillance mis en œuvre par la société. Ces missions ont donné lieu à l’établissement des procès-verbaux n° 2019-187.1, 2019-187.2, 2019-187.4, 2019-187.5 et 2019-187.6.

5. A la suite des contrôles sur place, une instruction écrite s’est poursuivie et de nombreux échanges ont eu lieu entre les services de la CNIL et la société du mois de novembre 2019 au mois de janvier 2021.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 28 janvier 2021, désigné M. François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 22 de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après " la loi du 6 janvier 1978 modifiée " ou " la loi Informatique et Libertés ").

7. À l’issue de son instruction, le rapporteur a, le 4 avril 2022, fait notifier à la société un rapport détaillant les manquements aux articles 5-1-a), 5-1-c), 6, 12, 13 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le Règlement " ou le " RGPD ") qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

8. Le 20 juin 2022, la société a produit ses observations en réponse au rapport de sanction.

9. Le 9 novembre 2022, la société a été entendue à sa demande afin d’apporter des précisions sur les traitements de données mis en œuvre à l’égard de ses salariés. Cette audition a donné lieu à l’établissement d’un procès-verbal sur lequel la société a formulé des commentaires transmis à la Commission et au rapporteur le 14 novembre 2022. La société a également adressé au rapporteur, par courriel du 16 novembre 2022, des réponses aux questions listées dans le procès-verbal d’audition.

10. Le rapporteur a répondu aux observations de la société le 6 décembre 2022.

11. Le 23 mai 2023, la société a produit de nouvelles observations en réponse à celles du rapporteur.

12. Par courrier du 20 juillet 2023, le rapporteur a informé la société et le président de la formation restreinte de la clôture de l’instruction.

13. Le 24 juillet 2023, le président de la formation restreinte a adressé à la société une convocation à la séance de la formation restreinte du 14 septembre 2023.

14. Le rapporteur et la société ont présenté des observations orales lors de cette séance.  

II. Motifs de la décision

A. Sur le grief tiré de l’irrégularité de la tenue de la séance

15. Lors de l’audience devant la formation restreinte, le président de la formation restreinte a, en application de l’article 13 du règlement intérieur de la CNIL demandé l’audition d’un agent ayant participé aux contrôles. Tous les agents ayant participé aux contrôles ayant quitté les services de la Commission, la parole a été donnée à […], agent ayant participé à une partie des contrôles menés au sein de centres de distribution d’Amazon en France.

16. La société fait valoir qu’une irrégularité procédurale résulterait de l’audition d’un agent de la CNIL, interrogé sur des faits qu’il aurait pu observer dans le cadre de la série de contrôles effectuée en novembre 2019 au sein d’entités Amazon en France, dans la mesure où cet agent n’a pas participé aux contrôles menés au sein de la société AFL. Celle-ci relève que cet agent n’a participé qu’aux contrôles au sein des locaux administratifs occupés par plusieurs entités françaises d’Amazon et dans l’entrepôt d’une autre société du groupe, […].

17. La formation restreinte relève que l’agent entendu, auditeur des systèmes d’information, a indiqué qu’il considérait que les outils et méthodes de suivi de l’activité des salariés au sein d’autres entités françaises d’Amazon sont les mêmes qu’au sein de la société AFL. En outre, l’intervention de l’agent n’a pas apporté d’élément nouveau sur les traitements mis en œuvre dans des entrepôts et la présente décision n’est pas fondée sur un élément indiqué par cet agent.

18. Par suite, le grief tiré de l’irrégularité de la tenue de la séance doit, en tout état de cause, être écarté.

B. Sur la présentation des traitements mis en œuvre à l’aide des scanners et de leurs finalités

1. Sur le traitement d’indicateurs individuels relatifs à la qualité du travail, à la productivité et aux périodes d’inactivité

19. Les salariés travaillant au sein des entrepôts de la société sont chargés, d’une part, de réceptionner et stocker les articles provenant de fournisseurs (inventaire) et, d’autre part, de prélever et d’emballer ces articles, en vue de leur envoi aux clients dans le cadre de l’exécution de leurs commandes. Pour ce faire, ils sont affectés aux postes correspondant à l’activité concernée (" réception ", " rangement ", " prélèvement " et " emballage "). Ces postes correspondent en grande partie, selon la terminologie d’Amazon, à des " processus directs " ou " tâches directes ", c’est-à-dire des tâches sur lesquelles le volume de production peut être mesuré au moyen de scanners dont sont munis les salariés. Les scanners sont de petits boîtiers dotés d’un écran permettant au salarié de s’identifier et de recevoir des consignes, ainsi que d’un lecteur à code-barres permettant de scanner les étiquettes des articles qu’il traite, ou encore des emplacements sur lesquels il range ou prélève les articles. Les salariés peuvent également être affectés à des " tâches indirectes ", lesquelles ne sont pas ou pas entièrement réalisées au moyen des scanners (par exemple, le transport des bacs vers les zones de prélèvement, la recherche des erreurs de processus, ou la formation des nouveaux employés aux processus de base). Les salariés peuvent être amenés à occuper des postes distincts au cours d’une même journée de travail.

20. Au moyen des scanners, la société collecte en continu des données relatives à l’activité des salariés affectés à des tâches directes : les scans réalisés par chaque salarié permettent ainsi non seulement de suivre la bonne progression de chaque article tout au long des différentes étapes de préparation et de distribution, mais également de mesurer l’activité du salarié, en décomptant le nombre d’unités qu’il traite sur une période donnée, en comptabilisant les périodes de temps durant lesquelles il ne traite aucune unité et en analysant le niveau de qualité avec lequel ces unités sont traitées, au regard de critères détaillés. L’utilisation des scanners permet également de repérer des erreurs, ou des probabilités d’erreur.

21. L’ensemble de ces données d’activité collectées en continu au moyen des scanners sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité. Une très grande partie de ces données constituent donc des données à caractère personnel. Ces indicateurs sont accessibles au sein d’outils informatiques de suivi de l’activité. Il résulte des pièces du dossier que le terme d’indicateur vise, dans la terminologie d’Amazon, différentes formes sous lesquelles les données apparaissent dans les outils : il recouvre ainsi les données brutes collectées et les statistiques qui en sont tirées en continu (selon les cas, horaires, journalières ou semi-journalières, hebdomadaires, par exemple : X produits traités sur la dernière heure ; X erreurs commises sur une demi-journée ; X erreurs commises sur une semaine). Par ailleurs, la société utilise également le terme d’indicateur pour désigner des types d’indicateurs spécifiques, divisés dans les trois catégories décrites ci-après.

22. La société utilise ainsi 43 " indicateurs qualité " qui correspondent aux " actions des salariés susceptibles d’engendrer des erreurs de qualité ", telles que la mise en stock d’un article à un autre emplacement que celui préconisé ou le scan trop rapide des articles. Ces indicateurs permettent de signaler des erreurs probables ou avérées du salarié dans le processus d’acheminement des articles.

23. La société produit également des indicateurs relatifs à la productivité de chaque salarié, qu’elle distingue des " indicateurs qualité " et qui comprennent notamment le nombre d’articles traités par heure, les derniers scans effectués et leur heure exacte, le type d'article, sa taille et sa quantité.

24. La société traite enfin des indicateurs destinés à contrôler les interruptions des salariés durant leur temps de travail sur les tâches directes. Ainsi, le fait qu’aucune donnée n’est reçue par le scanner durant un certain temps est matérialisé par différents " indicateurs " dans les outils. En particulier, l’indicateur " Inferred time " (temps inféré d’inactivité d’un scanner), collecté par défaut après dix minutes consécutives d’inactivité d’un scanner, peut correspondre à plusieurs situations, dont l’" idle time ", qui est une période d’inactivité dépourvue de justification apparente. Un autre indicateur enregistre tout " temps de latence inférieur à dix minutes à des moments critiques de la journée ", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

25. A noter que si la société désigne l’ensemble des données sous le terme " d’indicateur ", la formation restreinte distinguera parfois, dans la présente décision, les données brutes et les autres indicateurs, statistiques, qui sont calculées à partir de ces données brutes.

26. Il est précisé que les tâches indirectes ne font quant à elles pas l’objet d’un suivi aussi fin que les tâches directes.

27. La présente décision concerne les traitements ainsi décrits dans l’ensemble des entrepôts de la société où ils sont opérés en France, dès lors qu’il ressort des pièces du dossier qu’il s’agit de traitements définis pour toute la France. En revanche, les traitements de vidéoprotection également mis en cause ne sont relatifs qu’aux entrepôts de Lauwin-Planque et de Montélimar.

2. Sur la périodicité du traitement des indicateurs et leur accessibilité dans les outils

28. La formation restreinte note que, premièrement, les trois catégories d’indicateurs traités par la société (qualité, productivité, périodes d’inactivité) remontent en temps réel, pour chaque salarié, au sein des outils de suivi de l’activité à la disposition des supérieurs hiérarchiques. Ainsi, ces derniers ont accès, notamment et pour chaque salarié qu’ils supervisent, aux dernières erreurs commises, à l’heure de chaque scan effectué, au nombre d’articles traités au cours de la dernière heure, au détail du temps de travail du salarié sur un processus donné et à tout temps d’interruption de son scanner.

29. Deuxièmement, l’ensemble de ces indicateurs relatifs à l’activité de chaque salarié sont conservés dans les outils durant 31 jours et peuvent ainsi être consultés, aussi bien via les données brutes que sous forme de statistiques, par exemple sur une heure ou une demi-journée.

30. Troisièmement et enfin, des rapports de performance hebdomadaire sont établis pour chaque salarié sur la base des indicateurs collectés en continu. Ils contiennent des statistiques hebdomadaires, quotidiennes et horaires relatives au respect des procédures qualité et à la productivité ainsi que les données brutes relatives aux erreurs qualité. Enfin, les idle times, qui n’apparaissent pas dans ces rapports de performance, sont néanmoins comptabilisés chaque semaine et sont parfois à l’origine de l’envoi de courriers de sensibilisation.

31. Les outils de suivi de l’activité identifiés dans le cadre de la procédure sont les suivants :

- […] permet d’accéder aux indicateurs nominatifs de productivité des salariés, y compris le détail de son temps de travail sur un même process. […] permet également de suivre des indicateurs agrégés (productivité globale d’un site par type d’activité). Ces données sont accessibles en temps réel et sur les 31 derniers jours.

- […] est utilisé pour suivre les indicateurs de qualité nominatifs associés à la réalisation des tâches directes par les salariés. Il permet également d’accéder à des indicateurs de qualité agrégés (par catégorie d’erreur ou par poste, par exemple). Ces données sont accessibles en temps réel et sur les 31 derniers jours.

- […] permet de consulter le détail des tâches effectuées par l’employé (y compris ses temps d’inactivité). Ce détail est accessible en temps réel et sur les 31 derniers jours.

- […] est un outil de supervision du travail qui comprend notamment […], […] et […].

- […] fournit pour chaque salarié des statistiques de qualité et de productivité (par semaine, par jour ou par heure) et les données brutes concernant les erreurs qualité.

3. Sur les finalités des traitements d’indicateurs nominatifs

32. La société indique que les traitements d’indicateurs poursuivent des finalités d’assurance qualité et sécurité, de gestion des entrepôts et de leur charge de travail (y compris à des fins de réaffectation des salariés en temps réel), de planification du travail, d’évaluation des salariés, de coaching (ou support) et de formation individuelle ainsi que de gestion des obligations du salarié concernant le respect du temps de travail. Elle précise que les trois catégories d’indicateurs ne sont pas toutes traitées ensemble pour toutes les finalités.

33. Le rapporteur estime que plusieurs des finalités avancées par la société recouvrent des réalités très proches et, en conséquence, les regroupe en deux ensembles, à savoir, d’une part, la gestion des commandes en temps réel et, d’autre part, la planification du travail et l’évaluation des performances au sens large.

34. A cet égard, la formation restreinte note que le premier ensemble de finalités défini par le rapporteur, relatif à la gestion des commandes en temps réel dans l’entrepôt, regroupe les problématiques de gestion de l’inventaire (réception et entreposage) et des commandes (prélèvement, emballage, expédition) dans le respect des exigences de qualité et de sécurité. La société souligne que ces processus impliquent de repérer toute anomalie le plus vite possible, de donner des conseils et fournir un support en temps réel aux salariés (coaching) et parfois de les réaffecter en temps réel. Elle considère que ce regroupement des problématiques liées à la gestion en temps réel de l’inventaire, des commandes et, par extension, des salariés qui les traitent, est pertinent. Elle souligne enfin que si cette finalité a trait à la gestion en temps réel au cours du travail dans les entrepôts, elle s’appuie à la fois sur des données de temps réel, correspondant à la journée de travail en cours, et sur un historique de données passées de 31 jours.

35. La formation restreinte observe que le second ensemble de finalités regroupe l’ensemble des usages des données qui ne s’effectuent pas en temps réel au cours des processus de gestion de l’inventaire et des commandes. Il s’agit de tout ce qui a trait, d’une part, à la planification du travail ex ante, qui consiste notamment à décider des affectations des salariés pour une journée de travail en fonction de leurs performances passées, et, d’autre part, à l’évaluation des performances au sens large, ex post qui comprend le contrôle du temps de travail, l’évaluation hebdomadaire et la formation individuelle des salariés. Elle estime que le regroupement de ce second ensemble de finalités, qui utilisent toutes les données d’évaluation de la performance du salarié pour prendre des décisions qui ne concernent pas la gestion des processus opérationnel en temps réel, est pertinent pour l’examen du dossier. Elle relève en outre que ce second ensemble de finalités, par opposition au premier, repose principalement sur des données passées, hormis s’agissant de la finalité relative au contrôle du temps de travail, qui se fait tant pour le passé que par un accès en temps réel aux indicateurs traités.

36. Partant, la formation restreinte considère qu’il y a lieu de suivre le regroupement de finalités opéré par le rapporteur au sein des deux ensembles identifiés.

C. Sur la qualité de la société à l’égard des traitements en cause

37. Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme " la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ".

38. Le rapporteur considère que la société AFL agit en qualité de responsable des traitements en cause, en ce qu’elle détermine les finalités et les moyens des traitements des données de performance de ses salariés au moyen des scanners, de même que des traitements de vidéosurveillance.

39. La société partage l’analyse du rapporteur sur ce point.

40. La formation restreinte souligne que les traitements mis en œuvre par la société à des fins de suivi de l’activité et d’évaluation de la performance de ses salariés sont liés à la gestion des ressources humaines et sont ainsi, pour l’essentiel, réalisés pour le compte de ladite société en tant que bénéficiaire du travail fourni par ses salariés. La formation restreinte relève en outre que si les processus de gestion des salariés (recrutement, licenciement) reposent sur un cadre commun aux entités du groupe Amazon, ceux-ci sont déclinés et opérés au niveau national et dans le respect de chaque législation nationale ; en outre, ceux-ci " font l’objet d’adaptations locales, décidées en autonomie par la société ". La formation restreinte considère dès lors que la société est autonome dans la gestion individuelle de ses salariés, tout comme elle est libre d’adapter localement les critères élaborés au niveau du groupe pour évaluer la performance des salariés travaillant dans ses entrepôts.

41. S’agissant des traitements de vidéosurveillance mis en œuvre par la société dans ses entrepôts de Lauwin-Planque et de Montélimar, la formation restreinte relève que le guide relatif au cadre juridique pour l’installation de caméras de vidéosurveillance dans les locaux du groupe Amazon, établi pour la zone Europe et contenant des spécifications par pays, prévoit que chaque société du groupe décide, en tenant compte du cadre juridique, de l’installation de ces caméras de surveillance aux fins légitimes qu’elle détermine.

42. Il résulte de ce qui précède que la société AFL agit en qualité de responsable des traitements des données de suivi de l’activité et d’évaluation de la performance de ses salariés au moyen des scanners, de même que des traitements de vidéosurveillance.

43. Il appartient dès lors à la formation restreinte d’examiner, au regard de cette qualité, les griefs formulés par le rapporteur à l’encontre de la société.

D. Sur la compétence de la CNIL

44. Aux termes de l’article 55.1 du RGPD, " [c]haque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ".

45. L’article 4 (23) définit le traitement transfrontalier comme :

" a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs Etats membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs Etats membres ; ou

b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable de traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs Etats membres ".

46. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler les opérations de traitement en cause, lesquelles ne présentent pas de caractère transfrontalier au sens de l’article 4 (23) du RGPD précité.

47. En application de l’article 55.1 du RGPD, la formation restreinte considère que la CNIL est compétente pour engager une procédure de sanction concernant les traitements de données à caractère personnel mis en œuvre par la société relevant du champ du RGPD, sous réserve que ces traitements se rattachent à sa compétence territoriale.

48. A cet égard, la formation restreinte relève tout d’abord que les traitements de données à caractère personnel des salariés sont effectués dans le cadre des activités d’un établissement d’un responsable de traitement sur le territoire de l’UE au sens de l’article 3 du RGPD. En effet, les traitements des données à caractère personnel des salariés sont mis en œuvre dans le cadre des activités de la société AFL, qui a son siège social en France.

49. Ensuite, la formation restreinte relève que les traitements en cause sont effectués dans le cadre des activités de la société AFL et qu’ils affectent ou sont susceptibles d’affecter exclusivement les salariés travaillant dans les entrepôts de la société situés en France. Partant, ils ne présentent pas de caractère transfrontalier au sens de l’article 4 (23) du RGPD et la procédure de coopération entre autorités de contrôle prévue au chapitre VII du RGPD n’a donc pas vocation à s’appliquer en l’espèce.

50. Cette analyse n’est pas contestée par la société.

51. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler les opérations de traitements en cause.

E. Sur les manquements relatifs aux traitements des données de suivi de l’activité et d’évaluation de la performance des salariés

1. Sur le cadre juridique applicable

52. En premier lieu, l’article 5. 1. c) du RGPD dispose que les données à caractère personnel doivent être " adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ". Il résulte de ces dispositions qu’il est illégal de traiter des données personnelles des salariés pour certaines finalités si celles-ci peuvent être atteintes sans y avoir recours.

53. En second lieu, d’une part, aux termes de l’article 6. 1. f) du RGPD, " le traitement n’est licite que si, et dans la mesure où, au moins l’une des conditions suivantes est remplie : (…) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel […] ".

54. Le considérant 47 du RGPD précise que " [l]es intérêts légitimes d'un responsable du traitement […] peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. […] En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. […] "

55. Dans son avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, adopté le 9 avril 2014, le groupe de travail de l’article 29 (dit " G29 ", devenu le Comité européen de la protection des données - CEPD) a souligné qu’il convenait de donner une interprétation large aux notions d’" intérêts " et de " droits ", en ce sens que " tous les intérêts pertinents de la personne concernée devraient être pris en compte ". Le G29 a également précisé que lors de l’évaluation de l’incidence du traitement, " en plus des conséquences négatives qui peuvent être spécifiquement prévues, il faut aussi tenir compte des répercussions morales, comme l’irritation, la crainte et le désarroi qui peuvent résulter de la perte du contrôle exercé par la personne concernée sur ses informations à caractère personnel, ou de la découverte d’une utilisation abusive […] de ces informations […]. […] Le terme " incidence ", tel qu’il est employé dans le présent avis, couvre toutes les conséquences possibles (potentielles ou effectives) du traitement de données ".

56. Enfin, le considérant 75 du RGPD apporte des précisions sur les risques pour les droits et libertés des personnes physiques pouvant être induits par certains traitements, dont le degré de gravité et de probabilité varie, et qui peuvent entraîner des dommages physiques, matériels ou un préjudice moral. Parmi ces risques, le considérant évoque en particulier ceux résultant de traitements qui visent des personnes physiques vulnérables et/ou portent sur un volume important de données.

57. La formation restreinte relève que compte tenu de la nature des traitements en cause, les fondements juridiques prévus par les dispositions de l’article 6.1 b), c), d) et e) du RGPD et liés à l’exécution d’un contrat, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique et à l’exécution d’une mission d’intérêt public ne trouvent pas à s’appliquer. Il appartient dès lors à la formation restreinte d’examiner si la société peut se prévaloir de son intérêt légitime pour procéder aux traitements en cause, cette base juridique étant la seule susceptible d’être mobilisée.

58. Aux termes de l’article L. 1121-1 du code du travail : " Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ". Les droits et libertés protégés sont, en particulier, le droit à la vie privée et personnelle, la protection des données à caractère personnel, le droit à la protection de son intégrité physique et mentale. Il résulte d’une jurisprudence constante de la Cour de cassation que si l’employeur a le droit de surveiller ses salariés, il doit le faire par des moyens proportionnés aux objectifs poursuivis (voir par exemple Cass. Soc., 23 juin 2021, n° 19-13.856).

59. Il résulte de l’ensemble des dispositions précitées que les traitements de données personnelles tels que ceux mis en œuvre à l’égard des salariés ou intérimaires de la société dans le cadre de la gestion de ses centres de distribution ne peuvent reposer, pour l’application de l’article 6 du RGPD, que sur la base légale de l’intérêt légitime, à condition de ne pas porter une atteinte disproportionnée aux droits, libertés et intérêts des salariés.

2. Sur les manquements en lien avec la finalité de gestion des stocks et commandes en temps réel dans l’entrepôt : réception des articles, stockage de l’inventaire, préparation des commandes, expédition des colis, incluant le coaching aux salariés et leur réaffectation

60. A titre liminaire, la formation restreinte relève que la société fait valoir qu’elle gère des processus d’une extrême complexité puisque, pour offrir à chacun de ses clients une expérience d’achat optimale, elle réceptionne, contrôle la qualité, range, prélève, emballe, trie prépare et expédie environ […] et employant un grand nombre de salariés (4372 salariés employés sur le site de Lauwin-Planque en 2019). La préparation et l’expédition journalière de ces millions d’articles de nature diverse doivent être effectués dans les délais correspondant aux attentes des clients de la société et, s’agissant des clients Amazon Prime, au service qu’ils ont spécifiquement payé, par exemple une livraison dans la journée. La société fait valoir que ses salariés sont au cœur de ces opérations et que les traitements automatisés dans ses centres de distribution sont donc indispensables pour accompagner leur travail, de manière à contrôler les stocks et les colis traités, garantir la sécurité, la qualité et l’efficacité des opérations tant au niveau individuel que collectif. Ils sont, selon la société, également conçus pour garantir que le flux opérationnel est maintenu à un rythme approprié.

61. Dans les entrepôts d’Amazon, les objets ne sont pas classés mais rangés au fil de l’eau sur les étagères, là où il y a des places disponibles, ce qui rend crucial que chaque manipulation de chaque objet soit tracée dans le système d’information des entrepôts au moyen des scanners. La société a souligné que la moindre erreur pouvait avoir des conséquences importantes sur le suivi des commandes, la qualité du service rendu et potentiellement, sur la sécurité des salariés. Il est donc nécessaire de repérer et pouvoir réagir en temps réel à la moindre erreur ou aux écarts par rapport aux objectifs.

62. La formation restreinte ne remet pas en cause le fait que le service rendu par Amazon à ses clients entraîne des contraintes exceptionnelles, en raison des volumes traités et des objectifs de courts délais de livraison, ce qui rend nécessaire un suivi très précis, en temps réel, de toutes les manipulations des objets dans l’entrepôt et de la situation de chaque poste de travail, donc de chaque salarié. Ce suivi entraîne le traitement d’un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois que le colis est manipulé par un salarié dans le cadre des tâches directes.

63. Suivant en cela la position du rapporteur, la formation restreinte ne remet donc pas en cause de façon générale le traitement en temps réel par la société des données brutes et indicateurs décrits ci-dessus pour la bonne gestion des stocks et des commandes. Elle estime en revanche, ainsi qu’il sera développé ci-dessous, que certains des indicateurs utilisés méconnaissent le RGPD, ainsi que le fait de conserver 31 jours l’ensemble des données remontées par les scanners et d’utiliser cet ensemble de données et tous les indicateurs qui en sont extraits.

64. Les analyses développées dans la présente décision portent à la fois sur les salariés et les intérimaires, même si par commodité de langage, il ne sera souvent fait référence qu’aux salariés.

2.1. Sur l’illicéité du traitement de trois indicateurs pour la gestion des stocks et commandes

65. Le rapporteur reproche à la société de procéder au traitement des indicateurs Stow Machine Gun, des idle times et des temps de latence inférieurs à dix minutes et ainsi de méconnaître l’article 6 du RGPD, dès lors qu’il porte une atteinte disproportionnée aux droits des salariés à la vie privée, à la protection de leurs données personnelles, à des conditions de travail qui respectent leur sécurité, leur santé et leur dignité, et en particulier au droit de ne pas faire l’objet d’une surveillance excessive en application de l’article L. 1121-1 du code du travail.

2.1.1. Sur le traitement de la donnée brute de qualité liée à la vitesse d’exécution d’une tâche (indicateur Stow Machine Gun)

66. L’indicateur dont le traitement est examiné dans cette sous-partie est la donnée brute de qualité correspondant à l’indicateur Stow Machine Gun, rattachée à chaque salarié affecté à une tâche directe et accessible en temps réel dans l’outil de suivi des erreurs qualité […].

67. Le rapporteur observe que, parmi les 43 indicateurs qualité traités par la société, figure l’indicateur Stow Machine Gun, qui signale " le rangement d’un article dans les (sic)1,25 seconde du rangement de l’article précédent ". Le rapporteur relève que cet indicateur lié à la vitesse d’exécution d’une tâche est collecté en temps réel pour chaque salarié dans l’outil de suivi des erreurs qualité. Or, il considère que le traitement de cette donnée est disproportionné puisqu’il conduit à une surveillance informatique excessive du salarié au regard des objectifs poursuivis.

68. En défense, la société fait valoir que le traitement de cet indicateur repose sur son intérêt légitime à assurer la sécurité et la qualité dans ses entrepôts. Elle indique que le processus de rangement des articles nécessite la réalisation de plusieurs actions par le salarié (scan de l’article, scan de l’emplacement…) et que si un intervalle aussi court que 1,25 seconde est atteint lors du rangement successif de plusieurs articles, ceci signalerait quasi systématiquement une erreur de qualité, de nature à créer un risque pour la sécurité ou des erreurs d’inventaire.

69. A cet égard, la formation restreinte relève que l'intérêt de la société, en tant qu'employeur, à assurer la qualité et la sécurité de ses processus dans ses centres logistiques, à la fois pour le client et le salarié, constitue un intérêt légitime au sens de l'article 6.1. f) du RGPD.

70. En l’occurrence, la formation restreinte ne conteste pas que l’indicateur Stow Machine Gun permet de s’assurer que des successions de scans trop rapides n’engendrent pas d’erreur.

71. Pour autant, l’intérêt de la société à assurer la sécurité et la qualité dans ses centres logistiques doit être mis en balance avec les intérêts ou les libertés et droits fondamentaux des personnes concernées, compte tenu de leurs attentes raisonnables, fondées sur leur relation avec le responsable du traitement, conformément à l’article 6.1.f) du RGPD, lu à la lumière du considérant 47 et de l’avis précité sur la notion d’intérêt légitime.

72. En l’espèce, la formation restreinte constate que la collecte de l’indicateur Stow Machine Gun revient en pratique à suivre la vitesse de succession des actions du salarié, dans chacun des gestes qu’il effectue sur une tâche directe, en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde. Or, la formation restreinte relève que cette information révèle un comportement du salarié dans la façon dont il exécute ses tâches directes et est de nature à exercer sur lui une surveillance continue des délais associés à chacune de ses actions sur des tâches directes, avec une mesure de l’ordre de la seconde. Elle considère donc que cet indicateur présente un caractère intrusif important et que son traitement est de nature à avoir des répercussions morales négatives sur le salarié, pouvant résulter de ce suivi continu qu’il permet de son activité sur les tâches directes. La formation restreinte relève également que le traitement de cet indicateur concerne un nombre élevé de personnes, puisqu’il vise tous les salariés travaillant dans ses entrepôts.

73. Par ailleurs, la formation restreinte considère qu’une surveillance d’une telle précision excède les attentes raisonnables des salariés qui, s’ils peuvent s’attendre, en tant que salariés de la société, à ce que leur travail fasse l’objet d’une certaine surveillance, ne sauraient toutefois raisonnablement s’attendre à ce que leurs actions réalisées avec les scanners soient suivies à la seconde près.

74. Partant, la formation restreinte considère que le traitement de cet indicateur excède ce qui est nécessaire aux fins des intérêts légitimes de la société à assurer la qualité et la sécurité dans ses centres logistiques, puisqu’il porte une atteinte excessive aux droits et intérêts des salariés travaillant au sein des entrepôts - en particulier ceux à la protection de leur vie privée et personnelle, ainsi qu’à leur droit à des conditions de travail qui respectent leur santé et leur sécurité.

75. En conséquence, la formation restreinte considère que le traitement de l’indicateur Stow Machine Gun rattaché à l’identité du salarié ne repose sur aucune base juridique, en méconnaissance de l’article 6 du RGPD.

76. La formation restreinte relève que dans ses dernières observations écrites, la société a annoncé l’arrêt prochain du traitement de l’indicateur Stow machine gun. Elle note toutefois que cette mesure n’est pas effective au jour de la séance et qu’elle ne saurait en tout état de cause exonérer la société de sa responsabilité pour le passé.

2.1.2. Sur le traitement des idle times et des temps de latence inférieurs à dix minutes

77. Les indicateurs dont le traitement est examiné dans cette sous-partie sont deux indicateurs relatifs à des périodes d’inactivité collectés via les scanners, à savoir les idle times, qualifiés à partir des inferred time qui enregistrent tout temps de latence d’un scanner supérieur à dix minutes et les temps de latence inférieurs à dix minutes des salariés affectés à une tâche directe, qu’ils soient accessibles en temps réel ou sur les 31 derniers jours. L’idle time relève des temps de plus de dix minutes d’inactivité sur une tâche directe dépourvus de justification apparente et le temps de latence inférieur à 10 minutes mesure, comme son nom l’indique, des temps inférieurs à dix minutes " à des moments critiques de la journée ", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

78. Le rapporteur relève, d’une part, qu’il ressort des investigations que la société traite les idle times, qui apparaissent dans les outils sous la forme d’une barre bleue après une période de dix minutes d’inactivité d’un scanner. Il note que selon la société, un idle time peut matérialiser trois situations : (1) l’employé rencontre un problème technique empêchant la bonne exécution de sa tâche directe, (2) l’employé ne maîtrise pas suffisamment un processus direct et a besoin d'un support spécifique, (3) l’employé n’effectue pas ses tâches directes en raison de pauses excessives non autorisées et hors des temps de pause. Le rapporteur relève, d’autre part, qu’il ressort également des investigations et des dernières observations de la société que cette dernière traite un indicateur relatif aux périodes d’inactivité des scanners inférieures à dix minutes (temps de latence inférieurs à dix minutes), se matérialisant également dans les outils sous la forme d’une barre bleue. Il note que selon la société, cet indicateur refléterait " des temps de latence à des moments critiques de la journée ", c’est-à-dire lorsque tous les salariés prennent ou quittent leur poste de travail sur une tâche directe, soit en début ou fin de session de travail ou juste avant ou après la pause.

79. Le rapporteur considère que le traitement nominatif de l’idle time et des temps de latence inférieurs à dix minutes est disproportionné à des fins de gestion des inventaires et commandes en temps réel, y compris afin prodiguer un conseil ou un support à un salarié qui rencontrerait un problème sur une tâche. Au demeurant, compte tenu de la taille des équipes gérées par les superviseurs, qui peuvent compter jusqu’à 250 personnes, le rapporteur s’interroge sur la capacité d’un superviseur à détecter des temps de latence aussi réduits pour un salarié de son équipe et à intervenir immédiatement afin de vérifier qu’il ne rencontre pas de problème.

80. En défense, la société fait valoir que le traitement des idle times est nécessaire à la gestion des entrepôts et de leurs flux de travail, en ce qu’il permettrait de révéler et de résoudre rapidement un problème sur un processus direct. S’agissant de l’indicateur relatif aux temps de latence inférieurs à dix minutes, la société soutient qu’il viserait à identifier et à résoudre les problèmes pratiques rencontrés par un salarié susceptibles de perturber les transitions entre équipes ou les reprises de poste, dans un contexte où le contrôle visuel par les superviseurs est impossible.

81. La formation restreinte observe que l’objectif de la société de gestion de l’entrepôt et de sa charge de travail correspond plus concrètement à la gestion des inventaires et commandes en temps réel dans le respect des exigences de qualité et de sécurité et qu’il constitue un intérêt légitime au sens de l'article 6.1. f) du RGPD. Elle relève que l’objectif de coaching d’un salarié qui rencontre des difficultés dans l’exécution d’une tâche constitue également un intérêt légitime au sens de cette disposition.

82. Cependant, d’une part, la formation restreinte relève tout d’abord que les superviseurs ont accès à de nombreux indicateurs agrégés (non nominatifs) de qualité (par catégorie d’erreur, par cause, par poste, etc.) et de productivité (par type d’activité, par équipe) pour gérer les entrepôts et leurs flux de travail. Elle souligne que ces indicateurs agrégés leur permettent d’identifier en temps réel des variations de productivité auxquelles il est nécessaire de remédier immédiatement ou des taux d’erreurs susceptibles d’impacter significativement la bonne marche de l’entrepôt. De plus, la formation restreinte souligne que le rapporteur ne conteste pas la nécessité d’accéder aux indicateurs de qualité de chaque salarié pour détecter et résoudre des problèmes qui gênent la bonne circulation des articles dans l’entrepôt et l’exécution des commandes dans le respect des exigences de qualité et de sécurité (erreurs, retards, flux etc.). Ainsi, la formation restreinte relève que les superviseurs peuvent en particulier, comme c’est déjà le cas, établir un lien entre le salarié et une erreur qualité commise en temps réel afin de la résoudre et d’éviter des ralentissements ou blocages dans la chaîne de traitement.

83. Ensuite, la formation restreinte relève que le traitement des idle times rattachés à l’identité de chaque salarié présente un caractère intrusif important, puisqu’il contraint en pratique le salarié à être en mesure de justifier de tout temps considéré comme non productif. Ainsi, la formation restreinte considère que si les salariés peuvent s’attendre à voir leurs indicateurs de qualité utilisés afin d’assurer la gestion sécurisée et qualitative des articles et colis en temps réel dans l’entrepôt, ils ne sauraient toutefois raisonnablement s’attendre à devoir potentiellement justifier à tout moment de très courtes interruptions, temps considéré comme non productif, lorsqu’elles se produisent. Elle considère que le traitement des idle times à des fins de coaching des salariés est également disproportionné, pour ces mêmes raisons. La formation restreinte estime en effet que le traitement de cet indicateur est de nature à avoir des répercussions négatives sur le salarié, pouvant résulter du suivi continu qu’il permet des temps très courts sur les tâches directes considérés comme non productifs.

84. Partant, la formation restreinte considère que, compte tenu du contrôle excessivement resserré du salarié qu’il permet et au regard du suivi des difficultés déjà permis par l’accès aux indicateurs individuels de qualité de chaque salarié et aux indicateurs agrégés de qualité et de productivité, le traitement des idle times nominatifs est disproportionné au regard des intérêts légitimes de la société visant, d’une part, à assurer une gestion qualitative et sécurisée des articles et colis en temps réel dans l’entrepôt et, d’autre part, à fournir un conseil ou support immédiat au salarié. Elle précise que l’utilisation de cet indicateur pour le contrôle du respect des obligations relatives au temps de travail, ainsi que pour l’évaluation et la formation des salariés, sera examiné plus tard.

85. D’autre part, pour des motifs identiques, la formation restreinte considère que le traitement de l’indicateur relatif aux temps de latence inférieurs à dix minutes porte, a fortiori, une atteinte excessive aux droits des salariés au regard de l’intérêt légitime de gestion qualitative et sécurisée des colis et articles en temps réel. La formation restreinte relève que cet indicateur permet notamment de savoir combien de minutes (entre une et dix) se sont écoulées " entre le moment où un employé a badgé à l’entrée du site et celui où il a effectué son premier scan de la journée ". Or, d’une part, les superviseurs peuvent déjà s’appuyer sur de nombreux indicateurs de productivité et de qualité agrégés, ainsi que sur certains indicateurs individuels, pour détecter et résoudre immédiatement des problèmes entravant la bonne exécution des commandes. D’autre part, le traitement de cet indicateur conduit le salarié à devoir potentiellement justifier, à chaque arrivée sur site, transition ou reprise de poste, de tout temps de latence de son scanner inférieur à dix minutes. Il présente dès lors, comme les idles times, un caractère intrusif fort de nature à avoir les mêmes répercussions négatives sur le salarié.

86. La formation restreinte note que dans ses dernières observations, la société annonce qu’elle augmentera à 30 minutes le seuil au-delà duquel les informations relatives à l’inferred time seront enregistrées dans les outils et que ces informations seront accessibles aux superviseurs non plus en temps réel, mais à l’issue d’un délai de deux heures. Lors de la séance de la formation restreinte, la société a affirmé que l’augmentation de la durée déclenchant l’enregistrement des inferred times s’appliquerait à tous les cas de figure qu’ils couvrent.

87. Au vu de ce qui précède, la formation restreinte estime que le traitement des idle times afin de gérer l’inventaire et les commandes dans l’entrepôt en temps réel et à des fins de fourniture de conseils ou support aux salariés (coaching) est disproportionné au regard des intérêts et droits fondamentaux des salariés, en particulier de leur droit à la protection de leur vie privée et personnelle ainsi que de celui à des conditions de travail qui respectent leur santé et leur sécurité. Il en va de même du traitement des temps de latence inférieurs à dix minutes mis en œuvre pour la gestion sécurisée et qualitative de l’inventaire et des commandes dans l’entrepôt en temps réel.

88. Partant, le traitement de ces deux indicateurs ne repose sur aucune base juridique, en méconnaissance de l’article 6 du RGPD.

2.2. Sur le traitement des indicateurs de qualité et de productivité à des fins de réaffectation et de conseil/support (coaching) des salariés en temps réel

89. Les indicateurs dont le traitement est examiné dans cette sous-partie sont les données brutes et statistiques de qualité et de productivité de chaque salarié collectées et accessibles à la fois en temps réel et sur les 31 derniers jours.

90. Le rapporteur relève qu’afin de réaffecter des salariés en temps réel dans l’entrepôt, la société accède aux indicateurs de qualité et de productivité de chaque salarié en temps réel et sur une profondeur de 31 jours. Il estime qu’afin de réaffecter des salariés dans le but de s’ajuster à tout moment aux flux, à la demande ou d’assurer une répartition équitable du travail, des statistiques individuelles hebdomadaires, qui s’ajoutent aux nombreuses autres données disponibles sur l’activité de l’entrepôt en temps réel, sont suffisantes et même plus adaptées à cette fin. Il relève également que la société n’a pas besoin d’accéder à ces mêmes indicateurs à des fins de coaching des salariés en temps réel, dans la mesure où un besoin de coaching peut être identifié sur la base de données hebdomadaires agrégées par salarié.

91. En défense, la société estime qu’afin d’identifier les plus performants d’entre eux et de les réaffecter ou les répartir différemment en cas de besoin, elle doit pouvoir accéder en temps réel, pour chaque salarié, aux indicateurs de qualité et de productivité, qui incluent les dernières erreurs qualité signalées ou commises, le détail des derniers articles traités (heure, taille, type, quantité etc.) et le nombre total d’articles traités au cours de la dernière heure. La société souligne également la nécessité de s’appuyer sur les indicateurs nominatifs détaillés des 31 derniers jours, puisqu’ils offriraient aux supérieurs hiérarchiques " une vue fiable et complète des performances d'un employé particulier sur un process spécifique lorsqu'ils ont besoin d'affecter rapidement quelqu'un ayant de l'expérience sur ce process ". Selon la société, ces indicateurs permettraient aux superviseurs d'examiner après des congés les niveaux de qualité et de productivité antérieurs des salariés, d’expliquer les causes de variations individuelles de productivité et de détecter s'il y a lieu d'améliorer certains process.

92. S’agissant du coaching, la société affirme, premièrement, que les superviseurs doivent accéder à la fois aux indicateurs de qualité et de productivité de chaque salarié en temps réel et à ceux des 31 derniers jours pour pouvoir fournir un support immédiat au salarié, par exemple s’il rencontre des difficultés sur un processus, afin de savoir s'il a déjà rencontré ce type de problème et de décider de l’opportunité et de la nature du support. Elle admet toutefois qu’un coaching peut être fourni ultérieurement concernant des difficultés moins urgentes, dans le cadre de l’évaluation hebdomadaire. La société soutient que des données hebdomadaires agrégées ne fourniraient que des tendances générales et ne seraient pas suffisamment précises pour identifier des problèmes spécifiques rencontrés par les salariés et leur contexte.

93. La formation restreinte examine, à ce stade de sa décision, l’utilisation des données à caractère personnel collectées via les scanners pour les finalités de réaffectation et de conseil ou support (coaching) des salariés, en temps réel, au cours des heures de travail. Il ressort des pièces du dossier que, au-delà de la bonne gestion des objets (réception, stockage, récupération pour une commande, emballage, expédition) que permettent les données collectées par les scanners, la conduite opérationnelle de l’activité d’Amazon nécessite de repérer en temps réel des salariés en difficulté pour l’exécution des tâches et des objectifs qui leur sont assignés par la société, ou des pics d’activité à certains endroits nécessitant l’affectation de nouveaux salariés performants. S’il incombe à la société de veiller à ce que ces objectifs et la cadence soient compatibles avec les exigences du droit du travail, la formation restreinte rappelle qu’il ne lui appartient pas d’examiner ce point. Elle estime que les finalités d’optimisation des processus de travail, par la réaffectation des salariés ou par des conseils et supports (coachings) prodigués en temps réel sont légitimes.

94. Pour ces finalités de réaffectation et de conseil/support (coaching) des salariés travaillant sur des processus directs dans l’entrepôt, la société utilise l’ensemble des données brutes et statistiques de qualité et de productivité de chaque salarié. Les données accessibles sont à la fois les données en temps réel et les données des 31 derniers jours.

95. La formation restreinte relève que la société illustre la mise en œuvre des traitements à des fins de réaffectation des salariés en temps réel en s’appuyant sur quelques exemples portant sur le besoin d’affectation ou de réaffectation de salariés particulièrement performants sur une tâche pour garantir la livraison dans les temps ou pour améliorer la productivité globale du centre. Elle observe que selon les déclarations de la société, les réaffectations n’interviennent dans les faits que " deux à trois fois par jour " et souligne que la société procède déjà à une planification permettant une anticipation des besoins.

96. La formation restreinte ne met pas en cause le besoin opérationnel consistant à pouvoir repérer en temps réel tout besoin de conseil/support ou de réaffectation, puis celui consistant à pouvoir déterminer le meilleur conseil ou support, ou la meilleure réaffectation en disposant de données sur les compétences et performances relatives de ses salariés. Elle estime cependant, pour les raisons suivantes, que ces besoins ne nécessitent pas de conserver et d’utiliser toutes les données brutes issues des scanners et indicateurs relatifs aux tâches directes sur une profondeur de 31 jours.

97. D’une part, la formation restreinte rappelle que, à l’exception des trois indicateurs jugés disproportionnés et mentionnés ci-dessus, elle ne remet pas en cause la faculté, pour la société, de visionner l’ensemble des données brutes et indicateurs sur l’activité en temps réel relative aux tâches directes, afin de pouvoir gérer au mieux le stockage de l’inventaire et la gestion des commandes. La remontée des données permet en particulier de repérer en temps réel toute anomalie, tout pic d’activité inattendu ou le fait que des objectifs opérationnels ne sont pas atteints, pour pouvoir adopter immédiatement des mesures correctrices adaptées. Parmi ces mesures, figure la fourniture d’un conseil ou un support à un salarié, ou sa réaffectation.

98. D’autre part, il est également légitime, pour pouvoir procéder à ce conseil/support (coaching) ou à cette réaffectation, de disposer d’éléments d’évaluation des salariés, notamment pour pouvoir choisir le ou les salariés à réaffecter. Cela peut conduire à consulter des données personnelles sur leurs performances respectives.

99. Cependant, la formation restreinte estime que la conservation et l’accès à toutes les données utilisées à ces fins sur 31 jours n’est pas nécessaire. S’agissant des exemples donnés par la société relatifs au besoin d’apporter un conseil/support (coaching) aux salariés en difficulté sur certaines tâches, ou au besoin d’affectation ou de réaffectation de salariés particulièrement performants sur une tâche pour garantir une livraison dans les temps ou pour améliorer la productivité globale du centre, la formation restreinte note que la société dispose de statistiques hebdomadaires individuelles relatives à la productivité et à la qualité sur lesquelles s’appuyer en cas de besoin de réaffectation rapide d’une personne expérimentée. A titre d’exemple, ces statistiques permettent de savoir qu’un salarié n’a commis aucune ou que très peu d’erreurs qualité sur un poste ou de connaître le nombre d’articles qu’il a emballés au cours de la semaine. Il n’y a donc pas de nécessité d’accéder au moindre détail des données brutes ou de ses indicateurs sur les 31 derniers jours, des plus généraux aux plus fins (jusqu’à des statistiques sur une heure) pour identifier un salarié particulièrement performant ou pour connaître ses qualités particulières. Corrélativement, la formation restreinte note que la société utilise des statistiques hebdomadaires individuelles permettant de constater une baisse des performances pour un salarié donné. Dans la mesure où ces statistiques hebdomadaires existent - lesquelles n’excluent pas que la société puisse concevoir d’autres formes de statistiques nettement plus limitées que l’ensemble des données et indicateurs actuellement utilisées - la formation restreinte estime que la société dispose d’une vue représentative des performances d’un salarié afin de lui procurer le meilleur conseil/support (coaching) au cours de ses heures de travail ou de décider de son éventuelle réaffectation. La formation restreinte considère en conséquence que la conservation et l’accès aux données brutes et au détail des indicateurs de qualité et de productivité sur une profondeur de 31 jours n’est pas nécessaire.

100. S’agissant des exemples cités par la société, relatifs au cas d’un salarié affecté trop longtemps au traitement d’articles volumineux ou au mauvais rangement d’articles dangereux, que permettraient de détecter les traitements actuels d’indicateurs afin de décider respectivement d’une réaffectation ou d’un support immédiat, la formation restreinte estime que le repérage de ces situations ne nécessite pas de conserver et d’accéder à un historique aussi précis des tâches directes de chaque salarié sur 31 jours : la seule consultation des données et indicateurs de la journée de travail, en temps réel, apparaît suffisante. Une fois cette situation repérée, il est possible d’y remédier en utilisant certaines données permettant d’évaluer les capacités relatives des salariés, sans avoir besoin de conserver et d’utiliser l’ensemble des données en cause sur une profondeur de 31 jours. L’accès pendant un mois à une telle profusion de données à caractère personnel, relatives à chaque action de chaque salarié au moyen d’un scanner ou à des statistiques établies sur de très courtes périodes relatives à ces actions n’est pas nécessaire pour déterminer le bon conseil à donner ou pour décider de la bonne réaffectation. Une sélection de données agrégées, notamment hebdomadaire ou sous une autre forme, en complément des données décrivant la situation en temps réel pendant la journée de travail, est suffisante.

101. Partant, la formation restreinte considère qu’en procédant au traitement d’indicateurs individuels de qualité et de productivité sur une profondeur de 31 jours à des fins de réaffectation et de conseil/support (coaching) des salariés, la société a manqué au principe de minimisation prévu à l’article 5. 1. c) du RGPD, dans la mesure où ces indicateurs ne sont pas nécessaires en l’espèce. Ainsi, si les superviseurs peuvent s’appuyer sur des données individuelles pour réaffecter des salariés ou pour leur apporter des conseils / support (coaching), la granularité et les modalités de consultation des indicateurs collectés sont inappropriées.

2.3. Sur les effets des changements annoncés par la société s’agissant des finalités de réaffectation des salariés et de coaching en temps réel

102. La formation restreinte note que dans ses dernières observations, la société annonce qu’elle mettra prochainement en œuvre une mesure de réduction de 31 à 7 jours de la période passée durant laquelle les données individuelles de productivité et de qualité sont accessibles aux superviseurs dans les outils et, au-delà de cette période, elle procédera à une agrégation des données. Lors de la séance de la formation restreinte, la société a précisé que cette agrégation prendrait la forme d’une agrégation des données sur la semaine. En outre, comme cela a déjà été indiqué, la société annonce l’augmentation à 30 minutes du seuil au-delà duquel les informations relatives à l’inferred time seront enregistrées dans les outils et précise que les superviseurs n’accéderont à cette information dans les outils qu’après un délai de deux heures.

103. La formation restreinte relève que ces changements, positifs, annoncés à l’issue de plus de trois ans de procédure, ne sont pas encore effectifs au jour de la séance et qu’ils n’exonèrent pas la société de sa responsabilité pour le passé.

3. Sur les manquements en lien avec la planification du travail et l’évaluation des salariés

104. Les faits qui suivent sont examinés au regard de l’article 5. 1. c) et de l’article 6.1. f) du RGPD.

3.1. Sur les traitements mis en œuvre à des fins de planification du travail

105. Les indicateurs dont le traitement est examiné dans cette sous-partie sont les données brutes et statistiques de productivité de chaque salarié accessibles sur les 31 derniers jours.

106. Le rapporteur relève qu’à des fins de planification du travail dans l’entrepôt, la société accède au détail des indicateurs de productivité de chaque salarié sur les 31 derniers jours. Selon le rapporteur, l’accès à une telle granularité de données n’est pas nécessaire, dans la mesure où des indicateurs agrégés par salarié sur la semaine suffisent à avoir une vue représentative de sa productivité individuelle et à planifier le travail dans l’entrepôt.

107. En défense, la société affirme que l’accès aux indicateurs de productivité des 31 derniers jours pour chaque salarié est nécessaire afin de constituer les équipes de manière pertinente en tenant compte des capacités et de l’expérience des employés sur une tâche donnée, ceux-ci n’ayant pas nécessairement reçu de formation sur certains processus spécifiques. Elle fait en particulier valoir que l’accès aux types d’articles traités par les employés permettrait de vérifier leur niveau de maîtrise d’une tâche et de désigner les plus aptes à l’exécuter (par exemple, pour le traitement d’articles dangereux). Des données agrégées par semaine ne fourniraient pas d’information différenciée tenant compte des articles traités.

108. La formation restreinte considère, à l’instar du rapporteur, que la planification du travail dans l’entrepôt peut être réalisée sur la base des statistiques de productivité agrégées sur la semaine par salarié, qui offrent une vue objective des tâches directes effectuées par le salarié (nombre de fois où il a traité un certain type d’article, temps global qu’il a passé sur un poste donné au cours de la semaine précédente), et permettant ainsi d’apprécier son niveau de maîtrise des différentes tâches et de composer des équipes pertinentes. La formation restreinte estime que les statistiques hebdomadaires ne sont pas les seules légalement utilisables, d’autres dispositifs étant possibles, mais elle constate que la planification peut être réalisée en traitant nettement moins de données. Dès lors, elle estime que les données détaillées de productivité des 31 derniers jours de chaque salarié ne sont pas limitées à ce qui est nécessaire pour établir la planification du travail de l’entrepôt.

109. S’agissant de l’argument de la société selon lequel les salariés ne sont pas tous formés à des tâches ou process spécifiques, ce qui rendrait nécessaire l’accès à des indicateurs détaillés affichant le type d’articles traités dans le passé, la formation restreinte souligne que l’information selon laquelle un salarié a été formé sur une tâche spécifique est distincte de la question du traitement des indicateurs de productivité des 31 derniers jours, qui n’ont pas vocation à fournir spécifiquement une telle information.

110. En conséquence, la formation restreinte considère que l’accès aux indicateurs de productivité détaillés des salariés sur les 31 derniers jours à des fins de planification du travail constitue un manquement à l’article 5. 1. c) du RGPD.

3.2. Sur les traitements mis en œuvre à des fins d’évaluation des salariés

111. La formation restreinte rappelle que les finalités couvertes par l’évaluation des salariés au sens large comprennent le contrôle du temps de travail, l’évaluation hebdomadaire et la formation individuelle des salariés.

3.2.1. Sur la question spécifique du traitement des idle times afin de contrôler le travail effectif durant le temps de travail

112. Le rapporteur relève que la société traite les idle times afin de s’assurer que les employés respectent leurs obligations en matière de temps de travail. Selon lui, ces indicateurs ne sont pas nécessaires à des fins de contrôle du temps de travail des salariés. En effet, il estime que le suivi du temps de présence au travail permis par le système de pointage à l’arrivée et au départ de la journée pour le contrôle des horaires de travail (système […]) est suffisant à cette fin. En tout état de cause, il considère que le traitement de cet indicateur à cette fin est disproportionné.

113. En défense, la société affirme que l’idle time est nécessaire pour cette finalité. Il permettrait notamment de détecter qu’un salarié n’effectue pas ses tâches directes durant des périodes significatives et en dehors des pauses autorisées. Selon la société, l’idle time ne serait pas analysé en temps réel mais sur des périodes plus longues et n’aurait pas la même vocation que le système […]. Dans ses dernières observations écrites, la société distingue deux objectifs, à savoir, d’une part, la " gestion des obligations de l’employé en matière de respect du temps de travail " (qui serait poursuivi par le traitement des idle times) et, d’autre part, celui visant à " suivre le temps de travail du salarié " (qui serait poursuivi par le système […]).

114. La formation restreinte estime que le traitement de données à caractère personnel strictement nécessaires à des fins de contrôle du temps de travail du salarié et de leur travail effectif durant ces périodes, constitue un intérêt légitime de la société au sens de l’article 6. 1. f) du RGPD. Le traitement de l’idle time contribue effectivement à ce contrôle dans la mesure où il permet de repérer toute interruption d’une certaine durée dans le traitement des tâches directes. Cependant, la formation restreinte estime que l’utilisation de cet indicateur dans ce cadre est disproportionnée, puisqu’il contraint le salarié à être en mesure de justifier de tout temps considéré comme non productif et équivaut ainsi à surveiller informatiquement ses interruptions tout au long de sa journée de travail lorsqu’il travaille sur des tâches directes. Le traitement des idle times pour contrôler le respect du temps de travail du salarié est donc de nature à avoir des répercussions négatives sur ce dernier, induites par la pression pouvant résulter du fait de devoir justifier en permanence des temps d’interruption de son scanner, même lorsqu’ils sont brefs.

115. Partant, la formation restreinte considère que le traitement des idle times de chaque salarié à des fins de contrôle du travail effectif durant ce temps de travail ne repose sur aucune base juridique, en méconnaissance de l’article 6 du RGPD.

3.2.2. Sur les traitements d’indicateurs mis en œuvre à des fins d’évaluation hebdomadaire des performances et à des fins de formation individuelle

116. Les indicateurs dont le traitement est examiné dans cette sous-partie sont, pour chaque salarié :

 les données brutes et statistiques de qualité et de productivité des 31 derniers jours ;

 les données comptabilisées dans les rapports de performance hebdomadaire individuelle, à savoir les données statistiques de qualité et de productivité par semaine, par jour et/ou par heure, ainsi que les données brutes concernant les erreurs de qualité ;

 les idle times comptabilisés chaque semaine.

117. Le rapporteur relève, d’une part, qu’afin d’évaluer le salarié, la société établit des rapports de performance hebdomadaire individuelle destinés aux supérieurs hiérarchiques des salariés et contenant des données statistiques de qualité et de productivité par semaine, mais également par jour ou par heure, ainsi que les données brutes concernant les erreurs de qualité. En outre, à des fins de formation individuelle comme d’évaluation du salarié, les supérieurs hiérarchiques des salariés peuvent également accéder à et utiliser l’ensemble des données brutes et statistiques de qualité et de productivité de chaque salarié, qui sont conservées durant 31 jours. Or, le rapporteur estime que l’intégralité de ces données n’est pas nécessaire et que l’établissement de statistiques de qualité et de productivité par salarié, agrégées par exemple sur la semaine, est suffisant pour évaluer le salarié, à la fois de façon générale et pour déterminer un éventuel besoin de formation. D’autre part, le rapporteur estime que le traitement des idle times, comptabilisés chaque semaine, est disproportionné tant à des fins d’évaluation que de formation individuelle du salarié.

118. En défense, la société affirme que la proposition du rapporteur de se fonder sur des statistiques individuelles hebdomadaires de qualité et de productivité rendrait impossible des évaluations fiables des salariés. Elle soutient que l’accès au détail brut des erreurs de qualité et à leur cause serait nécessaire, de même que l’accès à des données de productivité par jour et par heure, afin de permettre au salarié et à son supérieur hiérarchique d’identifier de fines variations et d’échanger sur des bases permettant une évaluation fiable. Dans ses dernières observations, la société précise qu’elle accède également aux indicateurs détaillés des 31 derniers jours à des fins d’évaluation des salariés, mais réaffirme qu’elle ne traite pas l’idle time à cette fin et que les conclusions du rapporteur sur ce point doivent être écartées. S’agissant plus spécifiquement des besoins en formation, la société fait valoir que les indicateurs détaillés des 31 derniers jours sont nécessaires, notamment en ce qu’ils permettent de suivre la courbe d’apprentissage des employés en cours de formation depuis le début et de décider si celle-ci doit ou non se poursuivre. Après avoir effectué des déclarations contradictoires s’agissant du traitement des idle times à des fins de formation, la société a finalement indiqué, lors de la séance devant la formation restreinte, que ces indicateurs n’étaient en principe pas traités dans ce cadre mais pouvaient l’être dans des cas particuliers.

119. La formation restreinte ne remet pas en cause la faculté de procéder à des évaluations individuelles régulières, notamment afin d’identifier d’éventuels axes d’amélioration ou des besoins de formation, en s’appuyant pour ce faire sur des données individuelles. Toutefois, à l’instar du rapporteur, elle considère non nécessaires et, à tout le moins, disproportionnées la conservation et l’utilisation de données aussi fines et riches que les données brutes remontées par les scanners et les données statistiques, y compris sur de courtes périodes (une heure) et sur une profondeur de 31 jours. A cet égard, la formation restreinte relève que la société dispose déjà de statistiques individuelles de qualité et de productivité hebdomadaires permettant d’apprécier, d’une part, la productivité d’un salarié, au moyen de la comptabilisation du nombre total d’articles traités sur la semaine sur les différents processus (avec des sous-distinctions, par type d’article traité par exemple) au regard du temps travaillé et, d’autre part, la qualité de son travail, via des indicateurs présentant une incidence élevée pour un salarié sur une semaine donnée. Quant à l’intérêt allégué par la société de consigner le détail brut de chaque erreur qualité pour en identifier les causes, la formation restreinte note que lors de la séance, la société a confirmé qu’elle procédait déjà à l’établissement de statistiques individuelles hebdomadaires relatives aux causes des erreurs signalées par les scanners. La formation restreinte considère donc que de telles statistiques sont suffisantes pour identifier une éventuelle récurrence dans les causes des erreurs commises par un salarié sur une semaine. Partant, ces données statistiques suffisent pour réaliser une appréciation fiable et objective des performances du salarié sur la semaine. De même, elle considère, à l’instar du rapporteur, que l’identification de besoins en formation peut se fonder sur des données agrégées sur des périodes de temps permettant de fournir un aperçu représentatif du travail du salarié, par exemple sur une semaine, et que l’accès à l’intégralité des données brutes et statistiques, de qualité et de productivité, des 31 derniers jours de chaque salarié n’est donc pas nécessaire. S’agissant de la nécessité invoquée par la société de suivre la courbe de progression d’un salarié, la formation restreinte relève que plusieurs erreurs qualité de même type ou ayant la même cause, commises au cours de la semaine précédente sur un processus par un salarié en cours de formation ou récemment formé sur ce processus, sont suffisantes pour déterminer si la formation doit être poursuivie ou complétée. Elle observe que la société n’a pas précisé la durée moyenne des formations mais considère que, quelle que soit cette durée (quelques heures, jours ou semaines), l’évaluation hebdomadaire est l’occasion d’examiner si la formation pratique a été suffisante. En tout état de cause, la formation restreinte estime qu’une telle quantité de données brutes et d’indicateurs n’est pas nécessaire pour assurer le suivi de la progression d’un salarié durant toute sa période de formation.

120. Enfin, la formation restreinte constate que les idle times sont, de fait, traités à des fins d’évaluation des salariés puisqu’ils sont comptabilisés chaque semaine et sont parfois à l’origine de l’envoi de courriers de sensibilisation. De même, elle estime que compte tenu des explications équivoques fournies par la société lors de la séance devant la formation restreinte au sujet du traitement des idle times à des fins de formation individuelle – la société a indiqué qu’elle ne les traitait pas en principe pour cette finalité mais qu’ils pouvaient l’être pour des cas particuliers - il y a lieu de considérer que ces indicateurs sont bien traités dans ce cadre. Or, tout d’abord, la formation restreinte considère que le traitement de données à caractère personnel strictement nécessaires à des fins d’évaluation et de formation individuelle des salariés constitue un intérêt légitime de la société. Néanmoins, la formation restreinte relève, d’une part, que le traitement des idle times n’est pas nécessaire à ces fins, puisque tant la réalisation d’une évaluation fiable de la performance du salarié que l’identification d’un éventuel besoin de formation du salarié sur un processus mal maîtrisé sont déjà permises par le traitement des indicateurs pertinents de productivité et de qualité agrégés sur la semaine, comme relevé ci-dessus. D’autre part et en tout état de cause, la formation restreinte observe que le traitement des idle times dans ce cadre conduit à recenser informatiquement l’intégralité des temps d’interruption d’un salarié supérieurs à dix minutes sur des tâches directes et à les cumuler sur la semaine, ce qui porte ainsi une atteinte excessive, notamment, au droit à la vie privée et personnelle du salarié ainsi qu’à son droit à des conditions de travail qui respectent sa santé et sa sécurité.

121. Partant, la formation restreinte considère qu’en évaluant ses salariés sur la base de l’intégralité des données brutes et statistiques de productivité et de qualité des 31 derniers jours accédés par les superviseurs ainsi que, s’agissant de la finalité d’évaluation, sur la base des données très fines contenues dans les rapports de performance hebdomadaire, la société a manqué à ses obligations au titre du principe de minimisation de l’article 5. 1. c) du RGPD et, en tout état de cause, porté une atteinte disproportionnée aux droits du salarié contraire à l’article 6 du RGPD. En outre, le traitement des idle times pour ces finalités porte une atteinte disproportionnée aux droits et intérêts des salariés et ne repose donc sur aucune base juridique, en méconnaissance de l’article 6 du RGPD.

3.3. Sur les effets des changements annoncés par la société s’agissant des finalités de planification du travail et d’évaluation des salariés

122. La formation restreinte rappelle que dans ses dernières observations, la société a annoncé la réduction de 31 à 7 jours de la période passée durant laquelle les données de productivité et de qualité des salariés seront accessibles aux superviseurs dans les outils. Au-delà, les données seront agrégées sur la semaine, ainsi que la société l’a précisé lors de la séance. En outre, la société a annoncé l’augmentation à 30 minutes du seuil d’enregistrement de l’inferred time et le report de son apparition dans les outils de deux heures.

123. La formation restreinte rappelle que ces changements, positifs mais annoncés tardivement, ne sont pas encore effectifs au jour de la séance et qu’ils ne remédient en tout état de cause pas aux manquements constitués pour le passé.

4. Sur le caractère disproportionné de la conservation de l’ensemble des données à caractère personnel relatives aux " tâches directes " effectuées par les salariés sur 31 jours, au regard de l’ensemble des finalités poursuivies

124. Les indicateurs dont le traitement est examiné dans cette sous-partie sont, pour chaque salarié :

 les données brutes et statistiques de qualité et de productivité des 31 derniers jours ;

 les idle times comptabilisés chaque semaine.

125. Après avoir examiné les différents usages qui sont faits des données à caractère personnel des salariés, la formation restreinte estime opportun, comme l’y invite le rapporteur, de considérer globalement le fait que la société conserve en permanence une masse considérable de données à caractère personnel sur ses employés, pour les différentes finalités mentionnées.

126. La formation restreinte rappelle que la société conserve, pour chaque salarié, l’ensemble des données brutes et des indicateurs correspondant aux tâches directes relevées par les scanners, sur une profondeur de 31 jours. Par ailleurs, toutes les finalités avancées par la société correspondent, abstraitement, à ses intérêts légitimes. Cependant, il résulte de ce qui a été exposé ci-dessus que la formation restreinte estime qu’une telle masse de données, aussi précise et détaillant chaque action (et inaction) des salariés pour les tâches directes effectuées durant 31 jours, n’est pas nécessaire pour atteindre les différentes finalités, qu’il s’agisse de planifier le travail dans les entrepôts ou d’évaluer les performances des salariés. De même, pour la gestion en temps réel des processus de stockage des objets, de gestion de l’inventaire et d’expédition des commandes, il n’apparaît pas nécessaire de conserver une telle masse de données sur les 31 jours précédents pour prendre les décisions permettant la gestion opérationnelle de l’entrepôt et la résolution des éventuelles difficultés.

127. En outre, la conservation d’une telle masse de données sur les salariés des entrepôts présente un caractère particulièrement intrusif. Ainsi que le rapporteur le relève, les outils informatiques de la société permettent la consultation par les supérieurs hiérarchiques de l’intégralité des données d’activité et de performance détaillées collectées et conservées pour chaque, y compris le détail du temps de travail au sein d’un même processus, avec une profondeur de 31 jours.

128. Ensuite, la formation restreinte relève que selon la société, les traitements de données en cause ne concerneraient que l’exécution des tâches directes et les tâches indirectes représenteraient 43 % des tâches effectuées dans les entrepôts. A supposer exact ce chiffre – il ne ressort pas des pièces du dossier -, force est de constater que la société stocke des données relatives à un nombre considérable d’actions effectuées par les salariés des entrepôts durant leurs heures de travail. En outre, la formation restreinte souligne que, sans être de même nature que celui des tâches directes, un suivi des tâches indirectes est également permis au moyen des données remontées des scanners. En particulier, à l’instar du temps passé sur une tâche directe, le temps passé sur une tâche indirecte est comptabilisé dans l’outil de suivi du temps de travail et s’y intègre. Il est ainsi permis au superviseur qui consulte les outils de suivi de l’activité de savoir à quel moment exact et pour quelle durée un salarié a travaillé sur des tâches indirectes.

129. Enfin, la formation restreinte note que ces traitements excèdent les attentes raisonnables des salariés, puisque s’ils peuvent s’attendre à un certain suivi de leurs tâches au quotidien afin d’assurer une gestion fluide de l’entrepôt, ils ne sauraient en revanche s’attendre à voir l’intégralité de leurs actions consignées dans des outils informatiques et consultables dans leurs moindres détails sur une profondeur des 31 derniers jours, que ce soit pour suivre l’inventaire et les commandes, leur temps de travail, décider d’un coaching ou d’une réaffectation, les former ou les évaluer.

130. Au regard de l’ensemble de ces éléments, la formation restreinte considère que la conservation et l’accès à une telle quantité de données par salarié sur les 31 derniers jours constitue une forme de surveillance informatique disproportionnée des salariés, qui apparaît excessive au regard des intérêts économiques et commerciaux poursuivis par la société à travers ces traitements. En effet, la formation restreinte considère que de tels traitements portent une atteinte disproportionnée à la protection de la vie privée et personnelle des salariés ainsi qu’à leur droit à des conditions de travail qui respectent leur santé et leur sécurité.

131. En conclusion, si la formation restreinte ne remet pas en cause, sauf pour trois des indicateurs, la collecte et l’utilisation des données en temps réel pour la gestion quotidienne et opérationnelle des inventaires et des livraisons d’Amazon, elle considère globalement non nécessaire et disproportionné le fait de conserver l’ensemble de ces données sur 31 jours, dès lors que, selon son analyse précédemment développée, cette conservation ne s’est révélée nécessaire au regard d’aucune des finalités avancées par la société. Ces traitements sont effectués en méconnaissance des articles 5.1.c) et 6 du RGPD, puisqu’ils méconnaissent le principe de minimisation et excèdent ce qu’autorise la poursuite de l’intérêt légitime de la société. La formation restreinte précise qu’elle ne retient pas ici un manquement autonome, mais tire les conclusions générales de l’analyse des traitements finalité par finalité.

5. Sur le manquement à l’obligation d’information des intérimaires

132. Aux termes de l’article 12 du RGPD, " le responsable de traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible ".

133. L’article 13 du RGPD prévoit également que le responsable de traitement fournit à la personne concernée par le traitement, au moment où les données à caractère personnel sont obtenues auprès d’elle, plusieurs informations listées au même article. Le Règlement ne prescrit pas la forme au moyen de laquelle ces informations doivent être fournies. En pratique, ces informations sont généralement regroupées au sein d’une politique de confidentialité.

134. Le rapporteur relève que, dans le cadre des échanges postérieurs aux contrôles sur place, la société a indiqué à la délégation que sa politique de confidentialité applicable en matière de ressources humaines, était à la disposition des intérimaires sur l’intranet. Le rapporteur considère que les intérimaires n’étaient pas correctement informés des traitements mis en œuvre à leur égard au moyen des scanners puisqu’ils ne se voyaient pas remettre directement ladite politique et qu’ils n’étaient pas non plus invités à en prendre connaissance d’une quelconque manière. Toutefois, il prend acte de ce que, depuis avril 2020, la société s’assure de l’information des intérimaires, en exigeant de la part des agences d’intérim la remise d’une politique additionnelle de confidentialité relative aux indicateurs de performance contre accusé de réception.

135. En défense, la société conteste le manquement. Elle fait notamment valoir que la fourniture de l’information aux intérimaires via l’intranet était suffisante et que la CNIL recommande elle-même le recours à l’intranet comme un moyen de communication valable. En tout état de cause, la société souligne qu’elle documente désormais la communication de l’information aux intérimaires et considère qu’à supposer le manquement établi, la formation restreinte devrait distinguer le montant de l’amende attribué à ce manquement du montant total et le diminuer pour tenir compte des améliorations adoptées.

136. La formation restreinte rappelle que la fourniture aux personnes concernées par le responsable de traitement des informations prévues à l’article 13 du RGPD doit être faite au plus tard au moment où leurs données à caractère personnel sont collectées, sous une forme qui soit accessible. Or, ainsi que l’a relevé le rapporteur, jusqu’en avril 2020, dans un contexte où les intérimaires ne se voyaient pas remettre la politique de confidentialité applicable en matière de ressources humaines et n’étaient pas davantage invités à en prendre connaissance sur l’intranet, cette seule mise à disposition de ce document sur l’intranet de la société ne permettait pas de satisfaire à ces obligations en s’assurant, notamment, que chaque intérimaire avait été mis en mesure de prendre connaissance de ce document préalablement à la collecte de ses données à caractère personnel.

137. La formation restreinte observe que les intérimaires se trouvent dans une situation identique à celle des employés vis-à-vis des traitements mis en œuvre à leur égard au moyen de scanners et doivent en être informés. S’agissant de l’argument selon lequel la CNIL recommanderait elle-même l’intranet comme un moyen de communication valable, la formation restreinte relève que la CNIL recommande que l’information soit faite " selon les modalités les plus appropriées en fonction de l’organisation et du fonctionnement de l’entreprise ". En l’occurrence, elle considère qu’une information sur l’intranet destinée à des salariés travaillant au quotidien dans des entrepôts et n’ayant pas vocation à travailler dans un bureau sur un ordinateur, sans aucune incitation à s’y rendre, ne constitue pas une modalité d’information satisfaisante.

138. Partant, la formation restreinte considère qu’un manquement aux articles 12 et 13 du RGPD est constitué pour la période antérieure au mois d’avril 2020.

F. Sur les manquements relatifs aux traitements de vidéosurveillance

1. Sur le manquement à l’obligation d’information des personnes

139. Aux termes de l’article 13 du RGPD, le responsable du traitement doit fournir à la personne concernée par le traitement plusieurs informations au plus tard au moment où les données sont obtenues directement auprès d’elles. Parmi ces informations, l’article 13. 1 du RGPD dispose que doivent être fournies " les coordonnées du délégué à la protection des données ". En outre, en vertu de l’article 13. 2 du RGPD, lorsque cela est nécessaire pour garantir un traitement équitable et transparent, doivent être indiqués " la durée de conservation des données " et " le droit d’introduire une réclamation auprès d’une autorité de contrôle ".

140. Le rapporteur relève qu’à la date des contrôles (en novembre 2019), les panneaux d’information relatifs à la mise en œuvre des dispositifs de vidéosurveillance, affichés dans les entrepôts de Lauwin-Planque et de Montélimar pour informer les salariés et les éventuels visiteurs, n’indiquaient ni les coordonnées du délégué à la protection des données, ni la durée de conservation des données, ni le droit d’introduire une réclamation auprès de la CNIL. Il note en outre que les informations manquantes n’étaient fournies sur aucun autre support ou document.

141. En défense, la société conteste avoir été en infraction à la date des contrôles. Elle fait valoir que plusieurs documents contenaient des informations relatives aux traitements de vidéosurveillance et que les panneaux affichés dans ses entrepôts étaient conformes aux recommandations de la CNIL de l’époque. Elle se prévaut en particulier d’un communiqué de la CNIL daté de 2015 (et disponible le 12 juin 2018 sur son site internet) et du fait que les lignes directrices du CEPD sur la vidéosurveillance n’ont été adoptées qu’au mois de janvier 2020, soit postérieurement aux contrôles. Elle précise que depuis l’adoption des lignes directrices du CEPD, les panneaux d’information et la notice d’information ont été mis à jour conformément aux lignes directrices précitées. Quoi qu’il en soit, elle indique avoir mis ses panneaux d’information en conformité en cours de procédure.

142. La formation restreinte relève qu’à la date des contrôles, soit au mois de novembre 2019, le RGPD était applicable depuis un an et demi et que son article 13 contenait les informations devant obligatoirement être fournies aux personnes concernées au moment de la collecte de leurs données à caractère personnel. Elle relève que les lignes directrices sur la transparence au sens du règlement (UE) 2016/679, adoptées le 29 novembre 2017 par le G29 qui prévoyaient la possibilité d’une approche à plusieurs niveaux pour la fourniture des informations obligatoires de l’article 13 du RGPD, soulignaient déjà leur égale importance et le fait qu’elles doivent être fournies à la personne concernée. La CNIL a communiqué au sujet de ces lignes directrices le 16 juillet 2019, en soulignant que " Prioriser ne signifie pas transmettre une information incomplète aux personnes concernées : il s’agit de mettre en avant les informations essentielles et d'offrir un accès simple et immédiat aux autres informations " (https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence). En matière de vidéosurveillance, il est en effet habituel que les panneaux d’information, pour rester concis et compréhensibles, ne comprennent que les informations principales sur le traitement, mais c’est à condition qu’ils renvoient vers les documents contenant les informations complémentaires obligatoires.

143. La formation restreinte relève que le communiqué de la CNIL daté de 2015 n’avait pas encore été mis à jour moins de trois semaines après l’entrée en application du RGPD. S’agissant des lignes directrices du CEPD sur la vidéosurveillance, celles-ci ont certes formalisé la possibilité de fournir les informations obligatoires de l’article 13 du RGPD en deux étapes. Néanmoins, leur l’objet n’était pas de fixer de nouvelles obligations en la matière mais d’éclairer les acteurs sur la manière d’appliquer le RGPD dans le cadre des traitements de vidéosurveillance. Par suite, la société ne peut être exonérée de sa responsabilité.

144. En l’espèce, la formation restreinte relève, ainsi que l’a souligné le rapporteur, que plusieurs informations exigées par l’article 13 du RGPD, telles que l’indication de la durée de conservation des données, du droit d’effectuer une réclamation auprès de la CNIL et des coordonnées du délégué à la protection des données, n’étaient fournies par la société ni sur les panneaux eux-mêmes, ni sur aucun autre support ou document. Tout d’abord, elle note que la politique de confidentialité applicable en matière de ressources humaines se bornait à mentionner l’existence de traitements de vidéosurveillance impliquant le traitement de données de sécurité et d’images. Le règlement intérieur, affiché au sein de l’entrepôt concerné, indiquait quant à lui, dans une section consacrée aux " entrées et sorties " du site, que " les salariés doivent se soumettre aux mesures de contrôle des entrées et sorties " du site, au nombre desquelles figure la vidéosurveillance. Enfin, le livret d’accueil se bornait à informer le salarié de l’existence d’un dispositif de vidéosurveillance pour sa propre sécurité et celle des biens, et du fait que chaque sortie fait l’objet d’un contrôle. Par ailleurs, la formation restreinte relève qu’il ne ressortait d’aucun des éléments du dossier qu’une information complémentaire aux panneaux d’information était remise – ou tenue à la disposition des visiteurs extérieurs. Quant au guide d’installation de la vidéosurveillance, mentionné par la société dans ses observations, la formation restreinte observe que le contenu de ce document, rédigé en anglais, est relatif à la procédure interne d’installation et d’utilisation de la vidéosurveillance et qu’il n’est manifestement pas destiné aux salariés.

145. Dès lors, la formation restreinte considère que la société a manqué à son obligation de fournir les coordonnées du délégué à la protection des données, en méconnaissance de l’article 13. 1 du RGPD. En outre, la société a également manqué à l’article 13. 2 du même règlement en n’informant pas les personnes concernées de la durée de conservation des données et de leur droit d’introduire une réclamation devant la CNIL, informations qui étaient pourtant nécessaires pour garantir un traitement équitable et transparent, s’agissant de traitements conduisant à filmer en permanence des salariés sur leur lieu de travail.

146. La formation restreinte relève que dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec l’article 13 du RGPD, ce qui ne remet pas en cause le fait que le manquement est constitué pour le passé.

2. Sur les manquements à l’obligation d’assurer la sécurité des données à caractère personnel

147. Aux termes de l’article 32 du RGPD, " 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; […] ".

148. Le rapporteur relève, d’une part, que le compte d’accès au logiciel de vidéosurveillance qui gère les deux tiers des caméras installées sur le site de Montélimar était commun à l’ensemble des personnes habilitées à accéder aux images de vidéosurveillance et, d’autre part, que le mot de passe associé à ce compte était constitué de douze caractères, comportant uniquement des lettres minuscules et des chiffres et qu’il était donc insuffisamment robuste.

149. En défense, la société ne conteste pas le manquement. Elle fait toutefois valoir qu’il résulte de mauvaises pratiques isolées, qu’elle impute au fournisseur du logiciel. S’agissant en particulier du partage des comptes, la société soutient dans ses dernières observations qu’il relèverait de l’une des situations exceptionnelles dans lesquelles un partage serait autorisé par la CNIL et l’Agence nationale de la sécurité des systèmes d’information (" ANSSI "), à savoir celle dans laquelle son fournisseur aurait mal configuré le logiciel et rendu le partage inévitable. S’agissant du mot de passe d’accès au logiciel, elle ajoute que son insuffisante robustesse aurait été compensée par d’autres mesures, telles que l’authentification Windows préalable pour accéder au logiciel de vidéosurveillance.

150. La formation restreinte rappelle qu’il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie, d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures.

151. En premier lieu, s’agissant du partage des comptes, la formation restreinte rappelle que l’interdiction des comptes partagés figure parmi les précautions indispensables afin de garantir une traçabilité effective des accès et des actions effectuées dans un système d’information. La formation restreinte rappelle également à titre d’éclairage que la CNIL précisait déjà, à l’époque des contrôles, les bonnes pratiques en la matière. Ainsi, dans l’édition 2018 de son guide relatif à la sécurité des données personnelles, la CNIL relevait au titre des précautions élémentaires à prendre à des fins d’authentification des utilisateurs, le fait de " Définir un identifiant unique par utilisateur et interdire les comptes partagés entre plusieurs utilisateurs " (https://www.cnil.fr/sites/cnil/files/atoms/files/cnil_guide_securite_personnelle.pdf). Cette exigence était rappelée à plusieurs étapes du guide, en particulier dans les sections relatives à la façon de garantir une bonne gestion des habilitations et la sécurisation des serveurs.

152. En l’espèce, une telle absence de traçabilité des accès rend beaucoup plus difficile l'imputabilité d'une action sur le système informatique et complique le travail d’investigation en cas d’accès frauduleux, de détérioration ou de suppression des images. S’agissant de l’argument de la société relatif à l’inévitabilité du partage, la formation restreinte note que ce partage ne relève pas d’une impossibilité technique mais d’un problème de configuration du logiciel et qu’il appartenait à la société de faire modifier celle-ci par le fournisseur.

153. Il en résulte que ces faits constituent un manquement à l’article 32 du RGPD.

154. En second lieu, s’agissant du mot de passe d’accès au logiciel de vidéosurveillance, la formation restreinte considère que des règles de complexité des mots de passe trop permissives, qui autorisent l’utilisation de mots de passe insuffisamment robustes, peuvent conduire à des attaques par des tiers non autorisés, telles que des attaques par "force brute" ou "par dictionnaire", qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent.

155. La formation restreinte relève, à cet égard, que la nécessité d’un mot de passe fort est recommandée tant par l’ANSSI que par la Commission dans sa délibération n° 2017-012 du 19 janvier 2017, exigence confirmée dans sa délibération n° 2022-100 du 21 juillet 2022. En particulier, elle rappelle que dans la délibération n° 2017-012, la CNIL recommandait, en l’absence de mesure de blocage, que le mot de passe soit composé de douze caractères au minimum et contienne quatre séries de caractères (minuscules, majuscules, chiffres et caractères spéciaux). Lorsqu’une mesure de restriction d’accès au compte était prévue, la CNIL recommandait que le mot de passe soit composé de huit caractères au minimum et comporte trois des quatre séries de caractères ci-dessus rappelées.

156. La formation restreinte souligne qu’elle a, depuis plusieurs années, adopté des sanctions pécuniaires où la caractérisation d’un manquement à l’article 32 du RGPD est le résultat de mesures insuffisantes pour garantir la sécurité des données traitées. Les délibérations n° SAN-2019-006 du 13 juin 2019, n° SAN-2019-007 du 18 juillet 2019 et n° SAN-2022-018 du 8 septembre 2022 visent notamment l’insuffisante robustesse des mots de passe.

157. En l’espèce, la formation restreinte considère que dans la mesure où le mot de passe d’accès au logiciel de vidéosurveillance ne comporte que deux séries de caractères et où aucune mesure de sécurité complémentaire telle qu’une temporisation d’accès au compte après plusieurs échecs n’est mise en place, il ne permet pas d’assurer un niveau de sécurité et de confidentialité suffisant des images de vidéosurveillance.

158. Enfin, la formation restreinte relève que contrairement à ce que fait valoir la société, l’authentification des personnes habilitées à un compte individuel Windows préalablement à leur connexion au logiciel de vidéosurveillance n’était pas suffisante pour compenser les vulnérabilités résultant de l’accès à ce logiciel à partir d’un compte partagé et à l’aide d’un mot de passe insuffisamment robuste. A cet égard, la formation restreinte relève que le logiciel de vidéosurveillance est accessible à partir de sept ordinateurs et que vingt-deux personnes sont habilitées à y accéder. Elle considère ainsi que le partage du mot de passe d’accès au logiciel, au demeurant insuffisamment robuste, entre toutes ces personnes, a augmenté le risque de sa compromission et altéré la traçabilité des accès aux images du dispositif vidéo. En effet, le fait que tous les utilisateurs du dispositif soient identifiés au moyen d’un même identifiant rend l’imputabilité des actions dans le logiciel peu ou pas exploitable. Dès lors, l’authentification préalable au moyen d’un compte Windows n’était pas de nature à pallier les risques résultant de la conjugaison des carences en termes de sécurité liées au partage du compte d’accès au logiciel de vidéosurveillance et à l’utilisation d’un mot de passe trop faible pour se connecter à ce compte partagé, accessible à de nombreuses personnes et à partir de plusieurs ordinateurs.

159. En conséquence, la formation restreinte considère que ces faits constituent également un manquement aux obligations qui découlent de l’article 32 du RGPD.

160. Elle relève que dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations de l’article 32 du RGPD, lesquelles ne sauraient toutefois l’exonérer de sa responsabilité pour le passé.

III. Sur la mesure correctrice et sa publicité

161. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. "

162. L’article 83 du RGPD prévoit que " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de cette amende.

A. Sur le prononcé d’une amende administrative et son montant

163. Le rapporteur propose de prononcer une amende publique à l’encontre de la société. Il estime qu’il y a lieu de déterminer le montant maximal d’amende par référence au chiffre d’affaires de l’entreprise au sens d’unité économique formée par la société et Amazon.com Inc.

164. En défense, la société soutient que l’amende proposée est illégale. Faisant valoir qu’elle est le seul responsable de traitement identifié en l’espèce, elle considère que le montant de l’amende doit être déterminé sur la base de son chiffre d’affaires et non sur celle du chiffre d’affaires d’Amazon.com Inc., dans la mesure où les manquements n’ont pas été imputés préalablement à l’unité économique qu’elle forme avec Amazon.com Inc. En tout état de cause, la société fait valoir que l’amende proposée est disproportionnée par rapport aux manquements allégués ainsi qu’à sa conduite, puisqu’elle estime avoir pleinement coopéré avec les services de la CNIL et adopté des mesures de mise en conformité.

165. La formation restreinte rappelle tout d’abord qu’elle doit tenir compte, pour décider s’il y a lieu de prononcer une amende administrative, des critères précisés à l’article 83 du RGPD.

166. En premier lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité des manquements constatés en lien avec les traitements de données mis en œuvre à des fins de suivi de l’activité et d’évaluation de la performance des salariés, compte tenu de la portée des traitements et du nombre de personnes concernées par ces derniers.

167. La formation restreinte considère que les traitements de données des salariés à des fins de suivi de l’activité et d’évaluation de la performance sont tellement précis qu’ils provoquent un changement d’échelle par rapport aux méthodes de suivi d’activité classiques. Elle estime que ces traitements, qui permettent un contrôle extrêmement précis des salariés, pour chaque action réalisée sur les tâches directes, maintiennent les salariés sous une surveillance constante pour toutes les tâches effectuées avec des scanners et créent ainsi une pression permanente.

168. Les manquements aux principes de minimisation et à l’obligation de disposer d’une base juridique se traduisent donc par des traitements quasi continus et massifs d’indicateurs relatifs à toutes les tâches directes et à la performance des salariés, qui aboutissent à une surveillance informatique disproportionnée de leur activité. Elle rappelle que ces traitements permettent d’évaluer le salarié travaillant sur des tâches directes au moyen de la consultation détaillée des données dans les outils, afin de maintenir une certaine cadence et qualité de son activité. Elle souligne que des courriers de sensibilisation peuvent être envoyés à la suite d’une ou deux erreurs de qualité seulement, constatées sur une semaine, ou d’une baisse de productivité dans certains cas inférieure à 10 % et note que sur certains postes, une " sous-performance " constatée sur une seule journée peut donner lieu à la mise en place d’un coaching. Partant, elle considère que ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société.

169. S’agissant du manquement à l’obligation d’information des intérimaires (jusqu’en avril 2020) la formation restreinte relève qu’il présente également une gravité particulière, dans la mesure où la société ne s’assurait pas que les intérimaires, qui se trouvent souvent dans des situations professionnelles précaires, étaient mis en mesure de prendre connaissance des informations relatives aux traitements de données mis en œuvre à leur égard au moyen des scanners.

170. En deuxième lieu, la formation restreinte considère que la société a fait preuve de négligence grave s’agissant de principes fondamentaux du RGPD puisque les manquements constitués portent sur le principe de minimisation des données, l’obligation de disposer d’une base juridique, l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel. S’agissant spécifiquement des traitements de vidéosurveillance, la formation restreinte considère que le manquement à la sécurité résultant du partage du compte d’accès au logiciel de vidéosurveillance et de l’insuffisante robustesse du mot de passe d’accès à ce compte témoigne d’une négligence certaine dans la mise en œuvre de principes élémentaires du RGPD destinés à assurer la sécurité des données à caractère personnel traitées.

171. En troisième lieu, la formation restreinte relève le nombre important de salariés concernés par les manquements : à la date des contrôles, les sites de Lauwin-Planque et Montélimar comptaient en tout 2714 salariés en contrat à durée indéterminée et environ 3000 intérimaires à cette date. Si les manquements relatifs à la vidéosurveillance ne concernent que ces sites contrôlés, la formation restreinte estime qu’il ressort des pièces du dossier, et n’est pas contesté par la société, que les dispositifs excessifs de traitement de données de ses salariés étaient mis en œuvre sur l’ensemble des six sites de la société en France, lesquels comptaient 6200 salariés en contrat à durée indéterminée au moment des contrôles, étant précisé que la société a fait appel à un total de 21 000 intérimaires sur l’année 2019.

172. En quatrième lieu, la formation restreinte souligne que la société a adopté des mesures de mise en conformité partielle. S’agissant du manquement à l’information des intérimaires, elle note que depuis avril 2020, les intérimaires sont informés des traitements de leurs données mis en œuvre au moyen des scanners. S’agissant des traitements de vidéosurveillance, la formation restreinte prend acte de la mise en conformité de la société en cours de procédure, résultant de panneaux d’information désormais complets et du plan de migration des caméras de l’entrepôt de Montélimar, qui a permis de remédier aux problématiques de partage des comptes d’accès à l’ancien logiciel et à l’insuffisante robustesse du mot de passe d’accès.

173. La formation restreinte observe également que dans ses dernières observations, la société a annoncé des changements significatifs relatifs aux traitements des données de ses salariés au moyen des scanners. La société a souligné qu’elle estime ne pas être tenue légalement à ces changements et qu’elle les met en œuvre pour tenir compte des recommandations du rapporteur. La formation restreinte relève que les changements opérés répondent en effet à plusieurs griefs du rapporteur. Elle note également que ces mesures ne seront finalisées qu’au cours du premier trimestre 2024.

174. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements constitués aux articles 5-1-c), 6, 12, 13 et 32 du RGPD.

175. A cet égard, la formation restreinte relève que les manquements relatifs aux articles 5-1-c), 6, 12 et 13 du RGPD sont des manquements à des principes fondamentaux du RGPD, susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 000 000 euros et jusqu’à 4 % du chiffre d’affaires annuel mondial total réalisé par l’entreprise au cours de l’exercice précédent, le montant le plus élevé étant retenu. L’entreprise est définie comme l’unité économique, poursuivant un but économique déterminé, à laquelle appartient le responsable de traitement, quel que soit le statut juridique de cette unité.

176. Tout d’abord, la formation restreinte considère que l’unité économique à prendre en compte au regard de l’activité liée aux traitements en cause est en l’espèce la société AFL.

177. La formation restreinte rappelle ensuite que les amendes administratives doivent être à la fois effectives, proportionnées et dissuasives. Elle relève que la société AFL a réalisé, en 2021, un chiffre d’affaires de 1,135 milliard d’euros, pour un résultat net de 58,9 millions d’euros.

178. La formation restreinte considère que la pression exercée sur les salariés des entrepôts via ces traitements participe directement aux gains économiques engendrés au profit de la société et lui permettent de bénéficier d’un avantage concurrentiel sur les autres entreprises du secteur de la vente en ligne. Partant, et au regard de l’ensemble des considérations qui précèdent, la formation restreinte considère qu’une amende de 32 000 000 euros (trente-deux millions d’euros), équivalant à près de 3 % du chiffre d’affaires réalisé en 2021 par la société, apparaît justifiée.

B. Sur la publicité

179. En défense, la société conteste la proposition du rapporteur de rendre publique la présente décision. Elle fait valoir que la décision contiendrait des secrets d’affaires, en particulier des informations détaillées concernant les outils qu’elle utilise et leur fonctionnement ainsi que sur la manière dont elle gère ses relations avec ses employés. Pour justifier cette demande de publicité, le rapporteur invoque notamment l’importance d’informer les personnes concernées de la nature des manquements commis par la société.

180. La formation restreinte considère que la publicité de la présente délibération se justifie au regard de la gravité des manquements en cause, du nombre et de la vulnérabilité des personnes concernées. La formation restreinte considère également que la publicité de la sanction permettra d’informer l’ensemble des personnes concernées des suites apportées aux manquements, mais aussi d’informer plus largement toute personne susceptible de travailler dans l’un des entrepôts des pratiques de la société ainsi que des droits dont elle dispose à l’égard de ses données à caractère personnel dans ce contexte. Enfin, s’agissant de l’argument lié à la divulgation de secret d’affaires, la formation restreinte relève que de nombreux articles de presse ont déjà été publiés sur les traitements de données mis en œuvre par la société à l’égard de ses salariés et rappelle en tout état de cause que les informations relevant des secrets d’affaires sont occultées des décisions publiées par la formation restreinte.

181. Enfin, la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

prononcer à l’encontre de la société AMAZON FRANCE LOGISTIQUE une amende administrative d’un montant de trente-deux millions d’euros (32 000 000 euros) pour manquements aux articles 5-1-c), 6, 12, 13 et 32 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page