Scannez, Vous êtes pistés ! : comment Amazon France a été sanctionné par la CNIL
La Commission nationale de l’informatique et des libertés (Cnil) a infligé une amende record de 32 millions d’euros à Amazon France Logistique (AFL) le mardi 23 janvier 2024. La raison ? La filiale française a mis en place un système de surveillance de l’activité et des performances de ses salariés, une pratique jugée excessivement intrusive.
Dans la gestion de son stock, Amazon fournit à ses employés des scanners pour traiter les colis. Cependant, ces scanners enregistrent un grand nombre de données personnelles, notamment :
- Les temps d’inactivité
- Le rythme de travail
- La qualité des tâches effectuées.
Ces données sont ensuite transmises aux managers, qui vont les utiliser pour évaluer les performances de chaque salarié.
La Cnil estime que ce système place les salariés sous une pression permanente, les obligeant à justifier constamment les interruptions de travail, même de quelques minutes. Plusieurs manquements ont été constatés. Notamment, elle a relevé que AFL n’informait pas correctement les employés sur ce système de surveillance puisque certains intérimaires, voyaient leurs données personnelles être collectées au moyen des scanners avant d’avoir pris connaissance de la politique de confidentialité.
Les trois indicateurs les plus intrusifs
Parmi les indicateurs les plus intrusifs et considérés illégaux par la Cnil, on peut citer :
- Le “stow machine gun” : signale lorsqu’un article est scanné trop rapidement, en moins de 1,25 seconde.
- L'”idle time” : signale une période d’inactivité d’un scanner pendant plus de dix minutes.
- Le “temps de latence inférieur à dix minutes” : signale des périodes d’interruption d’un scanner entre une à 10 minutes.
L’amende infligée à Amazon France Logistique est la troisième plus élevée jamais prononcée par la Cnil. Elle est également la première à être prononcée pour un manquement à la protection des données personnelles des salariés.
Depuis le début de l’année, 3 entreprises ont été sanctionnés par la CNIL. Cette décision montre que la Cnil est déterminée à faire respecter le règlement général sur la protection des données (RGPD), notamment en matière de protection des données personnelles des salariés.
Comment éviter les sanctions liées au manquement à la protection des données ?
Les entreprises qui collectent ou traitent des données personnelles doivent se conformer au RGPD. Elles doivent notamment :
- Déterminer un ou plusieurs objectifs déterminé(s) et légitime(s) au traitement des données Définir une base légale appropriée qui autorise le traitement des données
- Ne collecter que les données strictement nécessaires pour atteindre le ou les objectifs déterminé(s)
- Informer les personnes concernées de la manière dont leurs données sont collectées et utilisées.
- Sécuriser leurs données.
Pour aider les entreprises à se conformer au RGPD, nous proposons des audits de conformité, de l’accompagnement RGPD et même des formations.
Notre objectif est d’aider les entreprises à éviter les sanctions liées au manquement à la protection des données et à protéger les droits des personnes concernées.
Nos audits de conformité permettent aux entreprises d’identifier les risques liés à la protection des données et de mettre en place les mesures nécessaires pour les réduire.
Notre accompagnement RGPD permet aux entreprises de mettre en œuvre les exigences du RGPD de manière efficace et efficiente.
Nos formations permettent aux salariés des entreprises de comprendre leurs obligations en matière de protection des données et de les mettre en œuvre dans leur pratique quotidienne. Pour en savoir plus sur nos services, n’hésitez pas à nous contacter.