Une nouvelle sanction de 32 millions d’euros infligée par la CNIL à Amazon

Publié par le dans | Consulté 46 Fois

par Lola DUSSERRE-BRESSON, étudiante du Master 2 Droit des médias électroniques

Avec le développement incessant de nouvelles technologies numériques, de nouveaux moyens de surveillance émergent : certains profitent aux entreprises pour surveiller leurs salariés, notamment pour évaluer leur productivité. Or, ces innovations peuvent être néfastes si elles heurtent les libertés dont jouissent les travailleurs, alors épiés. 

Le 27 décembre 2023, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a rendu une décision dans laquelle elle sanctionne Amazon France Logistique avec une amende de 32 millions d’euros. Cette décision est motivée par un certain nombre de manquement au Règlement Général sur la Protection des Données (RGPD), effectués par le leader de la vente en ligne. 

L’entreprise a fourni des scanners, destinés à être utilisés par les employés, les plaçant dans une situation de surveillance constante, en enregistrant notamment des données concernant leur activité, dans le but de contrôler leur productivité. Les employés, munis de leurs scanners, devaient informer, en temps réel, les actions qu’ils réalisaient. Ces scans étaient utilisés pour une activité de gestion des stocks et dans des missions de préparation de commandes. 

La CNIL a notamment soulevé des violations en ce qui concerne le suivi de l’activité et des performances des salariés, une mauvaise information des intérimaires sur la collecte de leurs données par l’entreprise grâce à l’utilisation d’un scanner, l’utilisation d’indicateurs illicites et pour finir, une accessibilité relativement aisée au logiciel de vidéosurveillance. 

Cette décision rendue par l’autorité administrative indépendante remet sur le devant de la scène des problématiques cruciales, liées notamment à la responsabilité des entreprises dans la gestion des données à caractère personnel de leurs employés, et de l’importance croissante de la mise en conformité à effectuer au sein du domaine d’activité de la vente en ligne, à étendre plus largement à toutes les entreprises qui effectuent des traitements de données. 

LES DIVERS MANQUEMENTS RELEVÉS PAR LA CNIL : DES ATTEINTES AU RGPD.

Amazon n’a pas agi en conformité avec le RGPD dans cette affaire. Ce dernier a établi des normes claires en ce qui concerne la collecte des données, leur stockage, ainsi que leur traitement. Des manquements sont constatables dans leur façon d’effectuer les traitements des données, ce qui est à l’origine d’une atteinte aux droits individuels de leurs employés. 

Il est tout d’abord possible de constater plusieurs manquements à l’article 5 du RGPD. Les données personnelles collectées par Amazon n’étaient pas « traitées de manière licite, loyale et transparente » : effectivement, une collecte de données accomplie dans le but de renseigner sur la productivité d’un salarié, grâce au développement d’un « système mesurant précisément les interruptions d’activité » ne respecte pas les dispositions du règlement. 

Le traitement ne semblait donc pas licite : l’article 6 énonce que la personne dont on collecte les données doit avoir « consenti au traitement » de ces dernières. Or, en l’espèce, même si les salariés acceptaient cette collecte, l’utilisation d’indicateurs statistiques permettant de juger les compétences des employés étaient « disproportionnée » selon la CNIL. L’autorité administrative a effectivement considéré que les indicateurs utilisés (« stow Machine Gun », «idle time » et « temps de latence inférieur à dix minutes ») pouvaient être perçus comme des termes à l’origine d’une « surveillance informatique excessive » des employés. 

L’autorité administrative indépendante retient également un manquement au principe de minimisation des données. Ce dernier impose que les entreprises ne collectent que les données nécessaires à la finalité du traitement, et de ne pas les conserver au-delà de la période nécessaire à son accomplissement. 

Tout d’abord, la formation restreinte estime que les données collectées par Amazon étaient disproportionnées au regard de la finalité déterminée. Elle affirme que l’utilisation de « statistiques » est bien plus adaptée au cas d’espèce. 

La CNIL estime également que le stockage des données pendant une durée de « 31 jours » excède celle nécessaire à la finalité : en l’espèce, le calcul de la productivité, de la qualité du travail et des périodes d’inactivité des salariés. L’autorité administrative indépendante a admis que la durée de stockage des données collectées par Amazon était disproportionnée au regard de la finalité poursuivie : il y a donc manquement au principe de minimisation des données. 

Le dernier manquement relevé par la CNIL concerne la violation des dispositions énoncées aux articles 12 et 13 du RGPD, qui concernent l’obligation d’information et de transparence. Les individus dont les données ont été récoltées auraient dû être informés quant à la raison de cette collecte, ainsi que de l’usage de ces données. Or, la CNIL a retenu que les intérimaires n’étaient pas dûment informés de cette utilisation. Amazon n’a pas pris les mesures adéquates pour garantir que la politique de confidentialité, chargée d’expliquer ce processus, ait été remise aux travailleurs, les laissant dans l’ignorance de l’usage fait de ces données. Au-delà du RGPD, c’est également une violation du Code du Travail qui est constatable, étant donné qu’aucune information qui ne concerne un salarié ne peut être collectée par un dispositif inconnu de ce dernier. 

VERS UN ENCADREMENT DE LA SURVEILLANCE DES SALARIÉS GRÂCE À LA COLLECTE DE DONNÉES PERSONNELLES

Suite à la décision de la CNIL, le géant du e-commerce a réagi en postant une déclaration sur son site Internet. La plateforme marchande affirme être en « profond désaccord » avec la sanction infligée, et affirme qu’elle se réserve le droit de « faire appel » , car l’usage de « systèmes de gestion d’entrepôt » est répandu dans ces industries. 

Amazon semble légitimer l’utilisation des scanners et de la collecte des données en les présentant comme nécessaires pour adapter la charge de travail entre les salariés des divers entrepôts. Quant aux indicateurs mentionnés antérieurement, ces derniers permettraient de détecter les produits défectueux et d’assurer  la sécurité de leurs employés, ainsi que de leurs opérations. 

Amazon ne semble en accord qu’en ce qui concerne la période de l’indicateur qui est chargé de l’identification des défaillances, celui appelé « Idle time » : actuellement fixée à 10 minutes, elle accepte de l’ajuster et de l’étendre de 10 à 30 minutes. 

Cette décision de l’autorité administrative indépendante, qui est à l’origine d’une réprimande de la surveillance excessive des salariés par le biais de la collecte de données personnelles de la part des entreprises, pourrait potentiellement conduire à la création d’une régulation hypothétique de cette surveillance effectuée par la collecte de données personnelles grâce à l’exploitation de nouvelles technologies innovantes. 

La médiatisation de cette affaire semble contribuer à la sensibilisation des enjeux dont les données personnelles sont à l’origine, en particulier de leur utilisation dans les pratiques internes des entreprises, et de l’importance d’effectuer un traitement qui respecte la finalité déterminée au préalable. 

Au-delà, il en va de la santé même des salariés exposés à ce type de pratiques. La pression psychologique générée par l’usage des scannettes Amazon avait déjà pu être dénoncée dans l’ouvrage de Jessica Bruder Nomad Land, dont un docu-fiction a été tiré en 2020.