Une amende de 32 millions d'euros infligée à Amazon France logistique
Le 27 décembre 2023, la Commission nationale de l’information et des libertés a condamné Amazon France Logistique à payer une amende de 32 millions d’euros pour un système de surveillance jugé excessivement intrusif envers ses salariés.
Cette sanction est le résultat de plusieurs contrôles qu’elle a effectués en réaction aux critiques émises par la presse et aux plaintes de salariés qu’elle a reçues. De son côté, Amazon a manifesté son désaccord et a l'intention de faire appel.
Le système de surveillance mis en place par Amazon
Amazon est une entreprise multinationale basée aux Etats-Unis. Elle détient plusieurs entrepôts dans différents pays y compris en France. Le représentant de la structure en France est Amazon France Logistique, qui gère les commandes des clients localisés en France.
Amazon dispose d’un système permettant à la société de collecter des données en temps réel sur chaque salarié. Ce dispositif est un scan qui permet de connaitre le temps d’exécution d’une tache, les missions de chaque employé et toutes les périodes d’interruptions des employés. Amazon dispose également d’un système de vidéosurveillance.
Dans sa décision du 27 décembre 2023, la Commission nationale de l’informatique et des libertés (ci-après «la Cnil ») a déclaré la fonctionnalité qui recense tous les moments d’interruption des employés « illégale », le dispositif qui évalue la vitesse d’exécution d’une tache « excessive » et la conservation des données collectées pendant 30 jours « excessive ».
Les manquements reprochés à Amazon au regard du RGPD
1-Manquement au principe de minimisation des données (article 5.1 du code du RGPD)
Selon Amazon, le système de collecte des données par le biais du scan est une fonctionnalité qui permet à l’entreprise de savoir si un salarié a besoin d’une formation ou d’une réorientation vers une mission plus adaptée à ses capacités.Alors que la Cnil rappelle qu’Amazon a accès aux données entemps réel, par conséquent si des mesures doivent être prises,elles devraient l’être immédiatement, ce qui rend inutile le fait de conserver ses données pendant 30 jours.
2-Manquement à la licéité du traitement (article 6 du RGPD)
La Cnil considère que les indicateurs du système d’Amazonsont exagérés. Dans un communiqué publié sur son site, Amazon a déclaré, après avoir défendu le but recherchéderrière la mise en place de ses indicateurs, que l’indicateur« Stow machine Gun » qui permet de connaitre la vitesse à laquelle un employé a scanné un article allait être désactivé.Concernant l’indicateur « Idle time », permettant de connaîtreune défaillance de 10 minutes en continu dans sa chaine d’approvisionnement, Amazon a exprimé son intentiond’étendre le seuil d’activation à 30 minutes.
3-Manquements concernant le système de vidéosurveillance
La Cnil signale un manquement à l’obligation d’information et de transparence précisée aux articles 12 et 13 du RGPD car Amazon n’a pas informé les personnes concernées (employés et visiteurs) de l’existence de vidéosurveillance par le biais de supports ou d’autres mécanismes d’information flagrants.
En outre, l’autorité souligne une violation à l’obligation de sécurité stipulée à l’article 32 du RGPD. Or, pour des raisons de sécurité, l’accès au dispositif de vidéosurveillance doit être restreint. Amazon ne respecte pas cette exigence car le mot de passe utilisé pour accéder à ces vidéos n’est pas robuste, et est partagé entre plusieurs utilisateurs.
Cette décision met l'accent sur l'importance de respecter les dispositions législatives lorsqu'il s'agit de choisir son système de surveillance dans un lieu de travail. Toutes les entreprises doivent tenir compte de la vie privée et des droits des employés lorsqu'elles prennent des décisions car il ne faut pas négliger les droits des travailleurs au profit de la sécurité de l'entreprise.