FR EN

Toute l'actualité sur le public

17.12.2024 14:55

Altij & Oratio Avocats récompensé lors du tout premier Palmarès du Droit de Toulouse

Le cabinet Altij & Oratio avocats récompensé lors du Palmarès du Droit 2024

Lauréat du Prix du cabinet le plus innovant et plusieurs distinctions majeures, Altij & Oratio...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< Droit du Patrimoine : Anticiper l'incapacité du dirigeant
02.10.2023 09:43 Il y a: 1 year
Categorie: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Droit Social, Les essentiels, Veille Juridique
Auteur : France CHARRUYER, avocat associé, Agathe BAILLET, avocat collaborateur

Amazon France dans le viseur de la CNIL !


Le géant de la logistique risque une amende de 170 millions d’euros pour sa gestion des données à caractère personnel de ses salariés[1], laquelle ferait actuellement l’objet d’un contrôle de la CNIL.

 

Des outils de surveillance algorithmique auraient, en effet, été utilisés pour collecter automatiquement des données d’activité, en particulier la fréquence et la vitesse de rangement d’un article, afin d’évaluer la productivité des salariés.

 

Si la multinationale s’en défend[2], invoquant un objectif de planification des tâches, la CNIL vérifie l’existence ou non d’une surveillance constante et permanente de l’activité des salariés, laquelle est par principe interdite[3] (sauf circonstances exceptionnelles dûment justifiées par la nature de la tâche à accomplir) et sanctionnée[4].

 

Les données à caractère personnel traitées par les dispositifs de surveillance d’Amazon sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données[5]) ?

 

Il est à penser que si la finalité poursuivie est véritablement l’évaluation de la productivité des salariés, un tel objectif pourrait être atteint par la mise en œuvre de moyens moins intrusifs, quand bien même ils seraient moins efficaces (position adoptée par les Hautes juridictions à propos de dispositifs de géolocalisation utilisés pour contrôler le temps de travail des salariés[6]).

 

Dans ces conditions, le déploiement de tels dispositifs de surveillance de l’activité des salariés par Amazon France risque d’être considéré comme disproportionné et, partant, excessif, en violation de l’article 5.1 c) du RGPD.

 

Pour rappel, les sanctions encourues en cas de manquement à la règlementation relative à la protection des données à caractère personnel sont à la fois administratives (amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent[7]), pénales[8] et civiles.

 

De nombreux salariés d’Amazon, situés en Allemagne, Royaume-Uni, Italie, Pologne et Slovaquie, ont d’ailleurs exercé leur droit d’accès[9] afin d’obtenir la communication par leur employeur de l’ensemble de leurs données traitées par ce dernier.

 

Remarque : ce droit permet à toute personne d’obtenir, gratuitement, une copie de l’intégralité des données la concernant, en s’adressant directement à ceux qui les détiennent[10].

 

Le responsable de traitement doit, alors, fournir à la personne concernée, dans un délai imparti, les données qu’il traite à son sujet, mais également la renseigner sur les finalités de chaque traitement de celles-ci[11].

 

Sous réserve qu’elles soient transmises par le responsable de traitement, ces informations pourraient être utilisées par les salariés pour démontrer, le cas échéant, le caractère disproportionné des données collectées au vu de la finalité poursuivie, et ainsi caractériser d’éventuels manquements au RGPD, et une atteinte à la vie privée (à l’appui d’une demande de dommages-intérêts).

 

Elles pourraient également être utilisées, dans le cadre de contentieux prud’homaux, pour démontrer le bien-fondé de demandes relatives à l’exécution du contrat de travail, telles que des demandes de rappels de salaires (heures supplémentaires notamment), ou à la rupture du contrat de travail (annulation de sanctions disciplinaires, licenciement sans cause réelle et sérieuse, etc.).

 

L’exercice du droit d’accès par les salariés constitue, ainsi, un moyen efficace d’obtenir des preuves, dans l’éventualité d’un contentieux voire d’une alerte.

 

Il est à noter que la CNIL encourage l’exercice, par toute personne, de ses droits et a mis en ligne des formulaires à cette fin, de sorte que l’exercice du droit d’accès par un salarié ou ancien salarié est facilité.

 

En l’absence ou en cas d’impossibilité de la part de l’employeur de répondre à une telle demande, dans les délais impartis, à défaut d’avoir un niveau de conformité suffisant, le salarié pourrait s’en plaindre auprès de la CNIL, laquelle pourrait alors diligenter un contrôle de la société concernée.

 

La mise en œuvre par l’employeur des briques de conformité exigées par le RGPD s’avère donc indispensable, au vu des risques encourus.

 

Nos avocats du pôle RH-Social-DATA se tiennent à votre disposition pour vous assister dans la mise en conformité de vos Ressources humaines à la réglementation protectrice des données à caractère personnel et former vos équipes.

 

Découvrez nos offres de mise en conformité

 

Découvrez nos formations RH/data en partenariat avec la legaltech Trustbydesign

 

L'équipe RH / Data

 


[1]https://www.usine-digitale.fr/article/amazon-risque-une-amende-de-170-millions-d-euros-pour-sa-gestion-des-donnees-de-productivite-des-salaries.N2171902

[2]https://www.linkedin.com/feed/update/urn:li:activity:7108135414858723331/

[3] C. trav., art. L. 1121-1 ; RGPD, art. 5.1.c) ; Cass.soc., 23 juin 2021, n°19-13.856

[4] Sur la vidéosurveillance, notamment : Délibération CNIL SAN-2017-009 du 15 juin 2017 ; Délibération SAN-2019-006 du 13 juin 2019

[5] RGPD, art. 5.1.c)

[6] CE, 15 déc. 2017, nº 403.776 ; Cass. soc., 19 déc. 2018, nº 17-14.63 ; Cass. soc., 16 déc. 2020, nº 19-10.007

[7] RGPD, art. 83

[8] C. pén., art. 226-16 et suivants, notamment :

Art. 226-18 : Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.

[9]https://noyb.eu/fr/les-travailleurs-damazon-exigent-la-transparence-des-donnees

[10]https://www.cnil.fr/fr/definition/droit-dacces

[11] RGPD, art. 15