Dix nouvelles sanctions prononcées par la CNIL en 2025 dans le cadre de la procédure simplifiée
Absence de minimisation des données, défaut d’information des personnes, durée de conservation excessive, défaut de coopération, manquement à la sécurité et violation de données : la CNIL a prononcé dix nouvelles sanctions simplifiées depuis janvier 2025, dont plusieurs liées à la surveillance des salariés.
Depuis janvier 2025, la CNIL a rendu dix nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée pour un montant cumulé d’amendes de 104 000 euros.
La surveillance des salariés est au cœur des sanctions prises
Six sanctions ont concerné la surveillance des salariés pour laquelle plusieurs manquements ont été retenus.
Qu’il s’agisse de la vidéosurveillance ou de la géolocalisation des véhicules des salariés, le manquement au principe de minimisation des données a été sanctionné par la CNIL.
En principe, l’employeur ne peut pas surveiller ses salariés de manière continue.
En effet, comme le rappelle régulièrement la CNIL, la surveillance vidéo permanente de salariés à leur poste de travail, non justifiée par des circonstances exceptionnelles liées par exemple à des enjeux de sécurité ou de lutte contre le vol, porte atteinte au principe de minimisation des données.
De même, la collecte en continu et la conservation des données de géolocalisation des véhicules des salariés vont à l’encontre du principe de minimisation des données. Le suivi du temps de travail, l’attribution de contraventions aux chauffeurs ou la lutte contre le vol ne justifient pas une telle surveillance, car ces objectifs peuvent être atteints par des moyens moins intrusifs. Par exemple, dans le cas du vol, le dispositif devrait se limiter à enregistrer uniquement la dernière position connue du véhicule.
D'autres manquements liés à la surveillance des salariés ont également été constatés, comme la durée de conservation excessive des images vidéo ou des données de géolocalisation, un manque d’information ou une information incomplète sur les dispositifs utilisés, ou encore l'absence de coopération de l’employeur avec la CNIL après une plainte concernant l’usage de caméras sur le lieu de travail.
Des manquements à la sécurité des données
La CNIL a également sanctionné une société pour un manque de robustesse des mots de passe et pour la gestion défaillante des habilitations d’accès au dispositif vidéo.
Le mot de passe permettant d’accéder au dispositif vidéo était constitué de 10 caractères (lettres et chiffres) et n’était assorti d’aucune mesure complémentaire de sécurité. Ce mot de passe n’avait jamais été renouvelé et était identique à celui utilisé par le précédent directeur de magasin.
Les modalités d’accès au dispositif vidéo permettaient à des personnes non habilitées, telles que des salariés, voire des personnes extérieures à la société, de visionner les images du dispositif en se rendant dans le bureau du directeur du magasin.
La société a ainsi été sanctionnée car elle n’avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque concernant les modalités d’accès à son dispositif de surveillance vidéo.
Un manquement à la notification d’une violation de données et à sa communication aux personnes concernées
La CNIL a sanctionné un site de rencontres qui avait subi une violation de données, car il n’avait ni notifié cette violation à la CNIL, ni informé les personnes concernées, ce qu’il aurait dû faire dans les meilleurs délais (articles 33 et 34 du RGPD). Cette violation était de nature à créer un risque élevé pour les droits et libertés de nombreux utilisateurs.
