Quelles pratiques de surveillance sont considérées comme abusives par la CNPD ?
Réponse courte
La CNPD qualifie d'abusives toutes les pratiques de surveillance qui dépassent la finalité déclarée, les principes de proportionnalité et de minimisation, ou qui violent les droits fondamentaux des salariés. En pratique, la surveillance permanente du poste, la fishing expedition dans les courriels professionnels et l'accès aux données privées sans procédure encadrée figurent en tête des manquements sanctionnés.
Sont également abusifs : la conservation des images au-delà de 30 jours sans justification, la collecte de données sensibles sans base légale (article 9 RGPD), l'absence d'AIPD pour les traitements à risque élevé, la non-consultation de la délégation et le défaut d'information individuelle. Ces manquements exposent à des sanctions allant jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial.
Définition
Une pratique abusive au sens de la CNPD désigne tout traitement de données issu d'un dispositif de surveillance qui ne respecte pas les principes du RGPD (licéité, loyauté, transparence, minimisation, limitation des finalités, sécurité) ou qui porte atteinte de manière disproportionnée à la vie privée des salariés.
L'abus peut résulter de la conception du dispositif (finalité indéterminée, surveillance généralisée), de sa mise en œuvre (absence d'information, accès non encadré) ou de son exploitation (utilisation à des fins disciplinaires non prévues, conservation excessive).
Questions fréquentes
Conditions d’exercice
La CNPD considère comme abusive la surveillance permanente du poste de travail, même justifiée par la sécurité, et exige toujours la démonstration qu'aucun moyen moins intrusif n'est disponible.
| Condition | Pratique abusive |
|---|---|
| Surveillance permanente | Caméra en continu sur un poste, monitoring keyboard, capture d'écran systématique |
| Fishing expedition | Inspection de courriels sans soupçon précis ni cadre procédural |
| Données privées | Accès aux dossiers ou messageries marquées "personnel" |
| Données sensibles | Collecte santé, opinions, syndicale, biométrie sans base article 9 RGPD |
| Conservation excessive | Au-delà de 30 jours pour images sans justification documentée |
Modalités pratiques
L'absence d'AIPD préalable pour un dispositif à risque élevé est une infraction autonome sanctionnable indépendamment du caractère licite ou non du traitement.
| Démarche défaillante | Conséquence |
|---|---|
| Absence d'AIPD | Sanction RGPD jusqu'à 10 M€ ou 2 % CA (article 35 et 83 RGPD) |
| Pas de consultation délégation | Procédure illicite, preuves irrecevables (L.414-9) |
| Information collective ou individuelle absente | Violation des articles 12-13 RGPD, sanction administrative |
| Pas de registre des traitements | Manquement à l'accountability (article 30 RGPD) |
| Sous-traitant non encadré | Responsabilité du donneur d'ordre engagée (article 28 RGPD) |
| Décision automatisée seule | Article 22 RGPD : intervention humaine obligatoire |
| Détournement de finalité | Usage des données pour un autre objectif que celui déclaré |
Pratiques et recommandations
Justifier chaque caméra ou outil de monitoring individuellement par une finalité écrite et concrète.
Limiter dans le temps et l'espace tout dispositif de surveillance, en privilégiant les mesures ciblées et ponctuelles.
Exclure systématiquement les zones de vie privée et les espaces marqués comme personnels par le salarié.
Documenter la démonstration que des moyens moins intrusifs ont été examinés et écartés.
Auditer annuellement la pertinence des dispositifs en place avec la délégation et le DPO.
Saisir la CNPD pour avis préalable en cas de doute sur la conformité d'un dispositif.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.261-2 du Code du travail | Sanctions pénales en cas de violation |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel pour les installations de contrôle |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Art. 5, 6, 9, 22, 28, 30, 35, 83 du RGPD | Principes, données sensibles, sous-traitance, AIPD, sanctions |
| Lignes directrices CNPD | Vidéosurveillance et cybersurveillance sur le lieu de travail |
Note
Les sanctions cumulent l'amende administrative RGPD (jusqu'à 4 % du chiffre d'affaires mondial), les sanctions pénales de l'article L.261-2 (8 jours à 1 an d'emprisonnement et amende de 251 € à 125 000 €), l'irrecevabilité des preuves et l'inopposabilité des sanctions disciplinaires fondées sur ces preuves. La CNPD privilégie la régularisation lorsque l'employeur coopère de bonne foi.