Le 23 janvier 2024, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé avoir sanctionné Amazon à hauteur de 32 millions d’euros. La décision a clos quatre ans de procédure depuis les plaintes de salariés et les premiers contrôles.
La CNIL reproche à Amazon France Logistique d’avoir mis en place un système de surveillance de l’activité et des performances des salariés "excessivement intrusif". Plusieurs manquements au respect du règlement général sur la protection des données (RGPD) lui valent une amende équivalant à environ 3% du chiffre d'affaires de l'entreprise en 2021.
Une surveillance informatique excessive
Stockage ou prélèvement d’un article dans les rayonnages, rangement ou emballage… Munis d’un scanner, les salariés devaient reporter en temps réel l’exécution de leurs tâches. Or, la CNIL juge :
- "illégale", la mise en place d’un système qui mesure aussi précisément les interruptions d’activité des salariés. Ce système conduit les salariés à devoir "potentiellement justifier de chaque pause ou interruption" ;
- "excessif", le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles ;
- "excessif", le dispositif de conservation de "toutes les données recueillies par le dispositif ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours".
Des violations du règlement général sur la protection des données (RGPD)
La CNIL a sanctionné Amazon sur les fondements du règlement général sur la protection des données (RGPD) :
- manquement au principe de minimisation des données (article 5.1.c du RGPD). La société a justifié les contraintes par le besoin d’apporter une aide ou d’effectuer une réaffectation en temps réel d’un salarié. Mais, d'après la CNIL, ces buts ne justifiaient pas une surveillance aussi étroite de chaque indicateur et la conservation des données collectées pendant un mois ;
- manquement au caractère licite du traitement (article 6 du RGPD). Selon l'entreprise, la collecte des données en cause était justifiée par l’intérêt légitime de qualité de service et de sécurité des entrepôts. Or, pour la CNIL, il s’agissait d’un traitement excessif et donc infondé ;
- manquements aux obligations d’information et de transparence (articles 12 et 13 du RGPD), ainsi qu’à l’obligation de sécurité (article 32 du RGPD). Le système de vidéosurveillance des entrepôts n’était pas porté à la connaissance des salariés et des visiteurs extérieurs, a constaté la CNIL. En outre, le mot de passe du logiciel n’était pas suffisamment robuste et était partagé par plusieurs utilisateurs.
Pour calculer le montant de la sanction, la CNIL a pris en compte le mode de contrôle qui conduit à un "suivi très resserré et détaillé du travail des salariés", au maintien de ces derniers "sous une surveillance étroite" et à une "pression continue". La CNIL a également considéré le nombre de salariés concernés (plusieurs milliers) et les gains économiques de l'entreprise grâce au dispositif imposé au personnel.
