Contrôle de la surveillance numérique des salariés dans les entrepôts d’Amazon : le Conseil d’État freine l’impulsion donnée par la CNIL

05.03.2026

Il n’y a parfois pas besoin d’un système d’intelligence artificielle ultra sophistiqué pour mettre en place une redoutable surveillance des personnes ; constat qui n’a pas échappé à la CNIL lorsqu’elle a sanctionné la société Amazon Logistique France pour la mise en place d’un système de surveillance numérique des salariés particulièrement intrusif dans ses entrepôts. Or, par sa décision du 23 décembre 2025, le Conseil d’État tempère l’élan initié par la CNIL.

Contexte et procédure. La Commission nationale de l’informatique et des libertés (CNIL) a été saisie de plaintes à l’encontre de la société Amazon France Logistique pour des mesures excessives de surveillance des salariés dans ses centres de distribution en France. À partir de l’automne 2019, la CNIL a opéré plusieurs missions de contrôle dans les locaux administratifs de la société et deux de ses entrepôts, pour examiner les traitements de données à caractère personnel mis en œuvre par Amazon, dont les traitements relatifs au suivi de l’activité des salariés. Après une procédure d’environ trois ans, la formation restreinte de la CNIL a rendu une délibération le 27 décembre 2023 dans laquelle elle a condamné Amazon pour plusieurs manquements au RGPD à une sanction administrative de 32 millions d’euros et à la publication de la décision avec anonymisation à l’expiration d’un délai de deux ans (CNIL, Délib. SAN-2023-021 du 27 déc. 2023, CCE 2024. Comm. 26, obs. G. Loiseau). Amazon a formé un recours contre cette délibération devant le Conseil d’État qui a statué par une décision du 23 décembre 2025. En considérant que certains manquements établis par la CNIL n’étaient pas caractérisés, il a réduit l’amende administrative à 15 millions d’euros.

Présentation des traitements examinés. Dans sa décision, la CNIL commence par présenter de manière pédagogique les traitements mis en œuvre par la société. Deux types de traitements sont examinés. Les premiers sont les dispositifs de vidéosurveillance, installés dans les entrepôts, qui n’appellent pas de précisions particulières. Les seconds sont des traitements d’indicateurs individuels, relatifs à la qualité du travail, à la productivité et aux périodes d’inactivité des salariés, à partir des scanners dont ils sont équipés, lorsqu’ils sont affectés à des tâches dites « directes ». Ces tâches sont de quatre ordres (réception, rangement, prélèvement et emballage des marchandises) et sont à distinguer des tâches dites « indirectes », qui ne sont pas ou pas entièrement réalisées au moyen des scanners (comme la recherche des erreurs de processus ou la formation des nouveaux salariés aux processus de base). Les scanners permettent de mesurer le volume de production grâce aux données collectées en continu sur l’activité des salariés. Ces données brutes collectées sont ensuite transformées en statistiques et en indicateurs spécifiques associés à l’identité du salarié. D’un côté, les statistiques sont tirées en continu et peuvent être horaires, semi-journalières, journalières ou hebdomadaires (par ex., « X produits traités sur la dernière heure ; X erreurs commises sur une demi-journée ; X erreurs commises sur une semaine » (Délib. CNIL, préc., § 21). De l’autre côté, les indicateurs spécifiques issus des données sont classés en trois catégories. Premièrement, les indicateurs « qualité » correspondent aux actions des salariés susceptibles d’engendrer des erreurs de qualité (par exemple, scanner trop rapidement un article ou se tromper d’emplacement). Deuxièmement, les indicateurs « productivité » sont relatifs à la productivité de chaque salarié (par exemple, le nombre d’articles traités par heure ou les derniers scans effectués). Troisièmement, les indicateurs « périodes d’inactivité » sont destinés à contrôler les interruptions des salariés durant leur temps de travail. Toutes ces données sont accessibles en continu, et pendant trente-et-un jours, notamment par les managers, via les outils informatiques de suivi de l’activité. Par ailleurs, des rapports de performance hebdomadaires sont automatiquement établis pour chaque salarié sur la base des données collectées en continu.

Solutions divergentes. La CNIL a relevé des manquements aux articles 5, § 1, c (principe de minimisation des données), 6 (principe de licéité des traitements), 12 et 13 (obligation d’information des personnes concernées) et 32 (obligation d’assurer la sécurité des données) du règlement (UE) 2016/679 du 27 avril 2016 sur la protection des données (RGPD). Globalement, la CNIL reproche une « surveillance informatique disproportionnée » de l’activité des salariés dans les entrepôts par le biais des traitements mis en place (Délib. CNIL, § 168). Si le Conseil d’État approuve la violation du principe de minimisation des données, car le volume et la granularité des données traitées étaient disproportionnés par rapport aux finalités invoquées, il se montre autrement moins strict pour la violation du principe de licéité, ce qui le conduit à réformer substantiellement le montant de l’amende administrative prononcée. Du reste, si certains éléments de la décision de la CNIL n’étaient pas contestés, ils nous offrent d’utiles précisions sur les exigences du RGPD et méritent que l’on s’y arrête, certes plus brièvement.

Des manquements au RGPD confirmés

Des violations des obligations d’information et de sécurité des données non contestées

Exigence d’une information complète

La CNIL a relevé un double manquement à l’obligation d’information posée aux articles 12 et 13 du RGPD. Selon ces textes, qui participent au principe de transparence des traitements, les informations doivent être fournies, en principe par écrit, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Au travers de sa délibération, la CNIL rappelle d’abord, fort utilement pour le droit du travail, que l’information doit être effectivement donnée à toutes les personnes concernées, aussi bien aux salariés du responsable de traitement qu’aux intérimaires. En l’espèce, Amazon n’informait les intérimaires du traitement des données brutes et des indicateurs récoltés au moyen des scanners qu’en mettant un document à disposition sur l’intranet. Or, cette information était doublement insuffisante. D’une part, si le document était bien déposé sur l’intranet, les intérimaires n’étaient pas invités à en prendre connaissance avant la collecte de leurs données. D’autre part, la mise à disposition de l’information sur l’intranet n’est pas une mesure d’information suffisante pour des salariés qui travaillent au quotidien dans des entrepôts et non dans un bureau sur un ordinateur (Délib. CNIL, §§ 136 et 137). La CNIL rappelle ensuite que l’information doit être complète conformément à l’article 13 du RGPD. En l’espèce, à propos des dispositifs de vidéosurveillance, Amazon ne fournissait pas l’indication de la durée de conservation des données, du droit d’effectuer une réclamation auprès de la CNIL et des coordonnées du délégué à la protection des données, ni sur les panneaux eux-mêmes, ni sur tout autre support ou document auquel les panneaux auraient pu renvoyer (Délib. CNIL, §§ 139 à 145).

Exigence de sécurisation de l’accès aux données

La CNIL a également relevé un manquement à l’article 32 du RGPD, qui, avec l’article 5, § 1, f), élèvent l’obligation d’assurer la sécurité des données au rang des principes fondamentaux. Le responsable de traitement doit mettre en place des mesures suffisantes de sécurité qui s’apprécient au regard des caractéristiques du traitement et des risques qu’il induit, et de l’état des connaissances et du coût des mesures (Délib. CNIL, § 150). Deux défauts sont ici relevés. Premièrement, le compte d’accès au logiciel de vidéosurveillance d’un entrepôt était un compte partagé par toutes les personnes habilitées. Or, la CNIL rappelle que l’interdiction des comptes partagés figure parmi les précautions indispensables (Délib. CNIL, § 151). Deuxièmement, le mot de passe n’était pas assez robuste : il était seulement exigé qu’il comporte deux séries de caractères (minuscules et chiffres) et aucune mesure de sécurité complémentaire (telle qu’une temporisation d’accès au compte après plusieurs échecs) n’avait été mise en place (Délib. CNIL, § 157). Ce n’est pas la première fois que la CNIL rappelle la nécessité d’un mot de passe fort, en principe composé au moins de douze caractères et de quatre séries de caractères (Délib. CNIL n° 2017-012 du 19 janv. 2017 ; n° 2022-100 du 21 juill. 2022). Le Conseil d’État avait également eu l’occasion d’approuver une décision de la CNIL de sanctionner une société (prestataire de services informatiques) dont le mot de passe pour accéder aux données de vidéosurveillance était composé de cinq caractères correspondant au prénom de l’agent (CE 18 nov. 2015, PS Consulting, n° 371196).

Des violations du principe de minimisation approuvées

La sanction d’une surveillance informatique disproportionnée par la CNIL

Aux termes de l’article 5, § 1, c), du RGPD, les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe de minimisation des données implique ainsi deux exigences complémentaires. Non seulement les données doivent permettre de remplir la finalité avancée par le responsable de traitement, mais encore elles ne peuvent être que celles nécessaires à ces finalités. Le RGPD est ici plus strict que l’ancienne directive 95/46/CE qui exigeait seulement que les données traitées soient « non excessives au regard des finalités ». L’exigence est partagée par la Cour européenne des droits de l’homme (CEDH 18 avr. 2013, n° 19522/09, Dalloz actualité, 14 mai 2013, obs. M. Léna ; D. 2013. 1067, et les obs. ; ibid. 2014. 843, obs. J.-C. Galloux et H. Gaumont-Prat ; RSC 2013. 666, obs. D. Roets ). Le RGPD précise, en son considérant 39, que les données ne devraient être traitées « que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens » et leur durée de conservation doit être « limitée au strict minimum » (v. CEDP, Lignes directrices 4/2019 relatives à l’art. 25 – Protection des données dès la conception et protection des données par défaut, p. 25). L’appréciation des caractères adéquat, pertinent et limité s’opère donc au regard de la finalité du traitement. Aussi, appliquant une méthodologie rigoureuse, la CNIL a commencé par distinguer, quant aux données traitées, deux grandes finalités distinctes avancées par Amazon. La première réside dans la gestion des stocks et des commandes en temps réel : elle « regroupe les problématiques de gestion de l’inventaire (réception et entreposage) et des commandes (prélèvement, emballage, expédition) dans le respect des exigences de qualité et de sécurité » (Délib. CNIL, § 34) ; la seconde dans la planification du travail ex ante (affectation des salariés pour une journée de travail en fonction de leurs performances passées) et l’évaluation des performances ex post des salariés (contrôle du temps de travail, évaluation hebdomadaire et formation individuelle).

Cela lui permet ensuite d’étudier le respect des exigences du RGPD en fonction de ces finalités, dont le principe de minimisation. Premièrement, la CNIL reproche le traitement de données non nécessaires au regard de la finalité de gestion des stocks en temps réel. Pour atteindre cette finalité, Amazon accède aux indicateurs de qualité et aux indicateurs de productivité (données brutes et statistiques) de chaque salarié en temps réel et pendant trente-et-un jours. La CNIL « ne met pas en cause le besoin opérationnel consistant à pouvoir repérer en temps réel tout besoin de conseil/support ou de réaﬀectation, puis celui consistant à pouvoir déterminer le meilleur conseil ou support, ou la meilleure réaﬀectation en disposant de données sur les compétences et performances relatives de ses salariés. Elle estime cependant, pour les raisons suivantes, que ces besoins ne nécessitent pas de conserver et d’utiliser toutes les données brutes issues des scanners et indicateurs relatifs aux tâches directes sur une profondeur de trente-et-un jours » (Délib. CNIL, § 96). Deuxièmement, pour les traitements mis en œuvre à des fins de planification du travail, sont traitées et accessibles pendant trente-et-un jours les données brutes et les statistiques utilisées pour les indicateurs de productivité. Or, la CNIL considère à nouveau que la planification peut être réalisée en traitant moins de données (Délib. CNIL, § 108). Troisièmement, le traitement des données brutes et statistiques de qualité et de productivité des trente-et-un derniers jours, ainsi que les données comptabilisées dans les rapports de performance hebdomadaire individuelle et les « Idle times » comptabilisés chaque semaine n’est pas nécessaire pour l’évaluation hebdomadaire des performances et la formation individuelle des salariés (Délib. CNIL, § 119). La CNIL en conclut que la conservation pendant trente-et-un jours des données brutes et statistiques de qualité et de productivité, et leur accès libre par les supérieurs hiérarchiques pendant toute cette durée, constitue « une forme de surveillance informatique disproportionnée, qui apparaît excessive au regard des intérêts économiques et commerciaux poursuivis par la société à travers ces traitements » (Délib. CNIL, § 130).

Le constat de traitements de données non nécessaires partagé par le Conseil d’État

Le Conseil d’État approuve le raisonnement de la CNIL. Sans reprendre les détails de la décision de l’Autorité de contrôle, il considère qu’Amazon ne démontre pas la nécessité, au regard des finalités avancées, de conserver chacun des indicateurs sur une période de trente-et-un jours. La solution adoptée ne nous surprend pas. Le Conseil d’État avait pu confirmer une décision de la CNIL retenant que l’utilisation des données de géolocalisation des véhicules, pour contrôler le temps de travail des salariés, n’était pas nécessaire, dans la mesure où la société disposait d’autres moyens pour atteindre cette finalité, comme les documents déclaratifs remplis par les salariés ; et cela, peu importe que le contrôle du temps de travail soit « plus facile » au moyen des données de géolocalisation (CE 15 déc. 2017, Société Odeolis, n° 403776, Lebon avec les concl. ; AJDA 2018. 402 , concl. A. Bretonneau ; ibid. 2017. 2501 ; D. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ). Plus récemment, CNIL et Conseil d’État ont également conclu à un manquement au principe de minimisation, à propos d’un formulaire à compléter par des salariés, relatif aux demandes de mobilité au sein du groupe, impliquant de renseigner certaines rubriques relatives entre autres à leur famille (noms, prénoms, date de naissance, sexe, situation maritale, numéro de téléphone, employeur et fonction de leurs conjoints, parents, frères, sœurs et enfants). Même si la société indiquait que ces données étaient aussi utiles pour contacter les proches des salariés en cas d’urgence, toutes ces données excèdent ce qui est nécessaire à un tel objectif ainsi qu’à celui d’identifier les salariés potentiellement intéressés par une mobilité (CE 19 nov. 2024, SAF Logistics, n° 489462). Dernièrement, la CNIL a également condamné un employeur, retenant que l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service et de formation était disproportionné (Délib. CNIL n° SAN-2024-014 du 26 sept. 2024). Il s’ensuit qu’en vertu du principe de minimisation, l’employeur ne peut collecter que les données strictement nécessaires aux finalités avancées et ne peut sous couvert d’autres finalités mettre en place un système de surveillance généralisée des salariés.

Le Conseil d’État ajoute, dans le prolongement de sa jurisprudence antérieure, que l’Autorité de contrôle n’était pas tenue de rechercher si le traitement d’un volume de données moins important pour une durée moins longue aurait été aussi efficace pour la société (§ 11). Pour autant, il faut relever que dans sa délibération, certes sans aller jusqu’à démontrer la même efficacité, la CNIL a tout de même montré que l’utilisation d’un nombre moins important d’indicateurs sur une durée plus courte aurait permis à la société d’atteindre ses objectifs. Le traitement de statistiques hebdomadaires ou des données journalières permettrait de gérer les stocks et commandes en temps réel (Délib. CNIL, §§ 99 et 100) ; la planification du travail pourrait être réalisée sur la seule base des statistiques de productivité agrégées sur la semaine par salarié, en ayant tout autant une vue objective sur les tâches directes effectuées par le salarié (§ 108) ; les statistiques hebdomadaires sont suffisantes pour identifier une éventuelle récurrence dans les causes des erreurs commises par les salariés et pour identifier leurs besoins en formation (§ 119).

Toutefois, si la décision du Conseil d’État semblait jusqu’ici aller dans le sens de la CNIL de sanctionner un système de surveillance disproportionné des salariés, mis en place par Amazon dans une organisation managériale au service d’une productivité maximale, c’était sans compter l’examen du principe de licéité des traitements.

Des manquements au RGPD réfutés

Une remise en cause étonnante de la violation du principe de licéité

Des traitements fondés sur la base juridique des intérêts légitimes du responsable de traitement

Tout traitement doit reposer sur une base juridique dont l’article 6 prévoit une liste exhaustive de six. La sélection de l’une de ces bases juridiques par le responsable de traitement est une condition de licéité du traitement. Dans le cas présent, la CNIL constate d’abord que la seule base légale sur laquelle les traitements des indicateurs peuvent être fondés est celle des intérêts légitimes du responsable de traitement prévue par l’article 6 § 1, f (Délib. CNIL, § 57). Elle relève expressément que les bases juridiques b), c), d) et e) ne peuvent pas s’appliquer. Nous ajouterons que la base relative au consentement du salarié (a) ne le peut davantage au regard du caractère non libre du consentement d’un salarié (CEPD, Lignes directrices 5/2020 sur le consentement au sens du règl. [UE] 2016/679, 4 mai 2020). La base des intérêts légitimes du responsable de traitement est toutefois un fondement particulier puisqu’il impose d’opérer une mise en balance avec les intérêts et droits fondamentaux des personnes concernées au terme d’une « évaluation attentive » (RGPD, consid. 47). Le G29 avait rendu un avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, récemment remplacé par les Lignes directrices 1/2024 du CEDP sur le traitement de données à caractère personnel fondé sur l’article 6, § 1, f), adoptées le 8 octobre 2024 (M. Musson, Précisions par le CEDP de l’intérêt légitime du traitement au sens du RGPD, Dalloz actualité, 25 oct. 2024). La mise en balance impose de vérifier que le responsable de traitement poursuit un intérêt légitime, puis de s’assurer que le traitement est nécessaire à la réalisation de cet intérêt, et enfin d’évaluer si les atteintes aux intérêts et droits fondamentaux des personnes concernées ne sont pas disproportionnées, notamment au regard de leurs attentes raisonnables (RGPD, consid. 47 ; CJUE 4 juill. 2023, Meta c/ Bundeskartellamt, aff. C-252/21, § 106, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2023. 1313 ; Dalloz IP/IT 2024. 45, obs. A. Lecourt ; RTD eur. 2023. 754, obs. L. Idot ). Au titre des incidences sur les intérêts et droits fondamentaux des personnes concernées, il faut également prendre en compte les « répercussions morales, comme l’irritation, la crainte et le désarroi » (G29, Avis 06/2014, préc., p. 41). Par ailleurs, le caractère nécessaire exclut le traitement si des moyens moins attentatoires aux intérêts et droits fondamentaux des personnes concernées sont possibles pour raisonnablement atteindre de manière aussi efficace ces intérêts légitimes (CJUE 4 juill. 2023, aff. C-252/21, préc., § 108). Si un moyen moins intrusif existe, le traitement ne peut être fondé sur cette base juridique (CEDP, Lignes directrices 1/2024, préc., § 29). Du reste, la CJUE a expressément rappelé que cette condition de nécessité doit être examinée conjointement avec le principe de minimisation des données (CJUE 4 juill. 2023, aff. C-252/21, préc., §§ 109 et 121).

Une mise en balance substantielle opérée par la CNIL, en fonction des intérêts légitimes de la société

La CNIL examine alors le traitement des différents indicateurs en fonction de la finalité suivie par Amazon. Premièrement, quant à la finalité relative à la gestion des stocks et commandes en temps réel, la CNIL précise qu’elle ne remet pas en cause le fait que le service proposé par Amazon à ses clients entraîne des « contraintes exceptionnelles » nécessitant un suivi très précis et en temps réel des stocks. Pour autant, elle constate que le traitement de certains indicateurs n’est pas nécessaire à cette finalité. Trois indicateurs sont concernés. Le premier est l’indicateur « Stow Machine Gun » émis dès lors que le temps entre la lecture de deux code-barres d’articles à ranger est inférieur à 1,25 seconde. Le traitement de cet indicateur excède ce qui est nécessaire aux fins des intérêts légitimes de la société à assurer la qualité et la sécurité dans ses centres logistiques, puisqu’il porte une atteinte excessive aux droits des salariés travaillant au sein des entrepôts – en particulier ceux à la protection de leur vie privée et personnelle ainsi qu’à des conditions de travail qui respectent leur santé et leur sécurité. En effet, la collecte de cet indicateur revient « en pratique à suivre la vitesse de succession des actions du salarié, dans chacun des gestes qu’il effectue sur une tâche directe, en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde » (Délib. CNIL, § 72). Selon la CNIL, l’effet de cet indicateur est de conduire à une « surveillance continue des délais associés à chacune de ses actions sur des tâches directes, avec une mesure de l’ordre de la seconde » (Délib. CNIL, § 72). Les deuxièmes et troisièmes sont les indicateurs « Idle times » et « Temps de latence », tous deux relatifs à des périodes d’inactivité des salariés. L’« Idle time » relève des temps de plus de dix minutes d’inactivité dépourvus de justification apparente ; le « Temps de latence » mesure des temps d’inactivité inférieurs à dix minutes à des moments dits critiques de la journée, soit en début et fin de session de travail ainsi qu’avant et après les pauses. Ces indicateurs présentent un caractère intrusif important puisqu’ils contraignent en pratique le salarié à être en mesure de justifier de tout temps considéré comme non productif. L’Autorité de contrôle ajoute que le suivi des difficultés est déjà permis par l’accès aux indicateurs individuels de qualité de chaque salarié et aux indicateurs agrégés (non nominatifs) de qualité et de productivité auxquels les superviseurs ont accès. En raison de l’atteinte disproportionnée aux droits fondamentaux des salariés, le traitement de ces indicateurs ne repose sur aucune base juridique.

Deuxièmement, si la CNIL constate que le contrôle du travail effectif des salariés durant le temps de travail constitue bien un intérêt légitime du responsable de traitement, l’utilisation de l’« Idle Time » est disproportionnée : cela contraint le salarié à être en mesure de justifier de tout temps considéré comme non productif et équivaut ainsi à surveiller informatiquement ses interruptions tout au long de sa journée de travail lorsqu’il travaille sur des tâches directes (Délib. CNIL, § 114). Le traitement de cet indicateur, pour cette finalité, porte une atteinte disproportionnée aux droits à la vie privée et à des conditions de travail respectueuses de la santé et de la sécurité des salariés et est donc dépourvu de base juridique. La conclusion est enfin la même pour le traitement de l’« Idle Time » à des fins d’évaluation professionnelle (Délib. CNIL, §§ 120 et 121).

Une mise en balance minimale réalisée par le Conseil d’État

Le Conseil d’État n’opte pas pour la même méthode et examine ces traitements d’indicateurs au regard de toutes les finalités prises dans leur ensemble. D’abord, quant à l’indicateur « Stow Machine Gun », le Conseil d’État considère qu’eu égard aux contraintes inhérentes à l’activité logistique d’Amazon, cet indicateur « ne peut être regardé comme excédant ce que la société peut raisonnablement attendre de l’activité de ses salariés » (§ 5). Les juges fondent leur appréciation sur trois indices : l’indicateur n’est mis en œuvre que pour l’exécution de l’une des quatre tâches directes (« rangement aléatoire ») ; l’indicateur n’est émis que lorsque moins de 1,25 seconde séparent deux lectures de code-barre d’articles à ranger ; l’indicateur a pour but de signaler que le temps entre deux gestes professionnels était trop bref, pour repérer des erreurs de manipulation et de rangement et pouvoir y remédier. Pour le Conseil d’État, il ne faut pas en déduire que cet indicateur impose aux salariés un rythme d’exécution des tâches. Néanmoins, ce n’est pas exactement la conclusion à laquelle était arrivée la CNIL. Cette dernière avait considéré que la collecte de cet indicateur revenait « en pratique à suivre la vitesse de succession des actions du salarié, dans chacun des gestes qu’il effectue sur une tâche directe, en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde » (Délib. CNIL, § 72). Le risque est donc moins celui d’un rythme imposé que d’une surveillance constante de la vitesse d’exécution, susceptible de générer un stress pour les salariés impactant leur santé mentale.

Ensuite, sur les indicateurs « Idle Time » et « Temps de latence », le Conseil d’État admet que ces indicateurs peuvent conduire les salariés, en raison de signalements émis, à devoir justifier des périodes d’inactivité par des motifs pouvant relever de leur vie privée. Mais il retient d’autres indices. D’une part, la finalité première de ces indicateurs est de signaler des interruptions d’inactivité, lesquelles ne peuvent pas être décelées par d’autres indicateurs. D’autre part, l’indicateur « Idle Time » est uniquement émis et traité lorsque le scanner est inactif pendant plus de dix minutes consécutives. Enfin cet indicateur n’a pas vocation à régir les temps de pause légalement et contractuellement prévus au bénéfice des salariés (§ 7). Ce dernier indice paraît étonnant, tant le contraire avait été relevé par le rapporteur et par la formation restreinte, ce qui n’était pas démenti par Amazon qui, en défense, avait indiqué que l’« Idle Time » permettait « notamment de détecter qu’un salarié n’effectue pas ses tâches directes durant des périodes significatives et en dehors des pauses autorisées » (Délib. CNIL, § 113). Quant à l’indicateur « Temps de latence », il n’est émis que pendant les temps avant et après les temps de pause, temps pendant lesquels les salariés peuvent s’adonner à leurs activités personnelles, ce qui ne porte pas non plus une atteinte excessive aux droits des salariés au respect de leur vie privée et à des conditions respectueuses de leur santé (§ 8).

Appréhender séparément ces indicateurs conduit à notre sens à minorer le risque d’atteinte aux droits des salariés ; en effet c’est justement la combinaison de ces deux indicateurs qui engendre une surveillance excessive, car non seulement sont signalés tous les temps d’inactivité supérieurs à dix minutes, mais encore ceux inférieurs à dix minutes à au moins quatre moments de la journée. En appréhendant séparément les indicateurs, est masqué un phénomène insidieux : la combinaison de plusieurs mécanismes, outils, indicateurs, décuple la sujétion.

Il nous semble que le Conseil d’État, dans cette décision, se soit contenté d’une absence de disproportion manifeste, entre l’intérêt économique d’Amazon et l’atteinte aux droits des salariés, au lieu d’un véritable contrôle de proportionnalité. L’étude du caractère nécessaire du traitement aurait notamment dû conduire à le déclarer illicite, dès lors qu’il existait des moyens plus respectueux des droits des salariés susceptibles de servir la même finalité. Pour ne s’attarder que sur le cas des indicateurs destinés au contrôle du temps de travail, la CNIL avait pourtant relevé que les salariés étaient déjà astreints à un système de badge. Du reste, selon le mode opératoire conseillé par le Comité européen de la protection des données (CEDP), lorsqu’une première mise en balance a révélé que les droits fondamentaux prévalaient sur les intérêts légitimes du responsable de traitement, une seconde mise en balance devrait être opérée, dans laquelle il faudrait prendre en compte des mesures « compensatoires » mises en œuvre par le responsable de traitement pour assurer un équilibre (CEDP, Lignes directrices 01/2024, § 56), étant entendu que ces mesures ne peuvent être que des mesures allant au-delà des obligations déjà imposées par le RGPD. Aucune trace de cette seconde mise en balance ne figure dans la motivation des juges, alors qu’il n’est pas aussi certain que les intérêts commerciaux et financiers d’Amazon prévalent sur les droits fondamentaux au respect de la vie privée et de la santé des salariés.

Une réduction peu justifiée de l’amende administrative

Lorsqu’un responsable de traitement a manqué aux principes fondamentaux d’un traitement ou aux droits des personnes concernées, l’amende administrative peut être portée à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent. L’article 83 du RGPD exige en outre que les amendes administratives soient dans ce cas « effectives, proportionnées et dissuasives » (§ 1) et pose des critères pour déterminer le montant de ces amendes (§ 2). Parmi ces derniers, pour fixer l’amende à 32 millions d’euros, la CNIL a retenu la gravité des manquements constatés, compte tenu de la portée des traitements (« les traitements de données des salariés à des fins de suivi de l’activité et d’évaluation de la performance sont tellement précis qu’ils provoquent un changement d’échelle par rapport aux méthodes de suivi d’activité classiques », Délib. CNIL, § 167) et du nombre de personnes concernées (environ 6 200 salariés en 2019, dont 21 000 intérimaires au cours de l’année 2019 qui « sont souvent dans des situations professionnelles précaires », § 169) ; la négligence grave d’Amazon dans la violation des principes fondamentaux du RGPD ; la mise en conformité partielle d’Amazon à l’issue de la procédure ; ainsi que les gains économiques engendrés par la pression exercée sur les salariés et l’avantage concurrentiel sur le marché. Le montant de l’amende atteignait alors 2,81 % du chiffre d’affaires de la société. Le montant de l’amende témoignait d’une intransigeance de l’Autorité de contrôle et d’une volonté de remettre en cause cette surveillance massive des salariés. La CNIL s’était réellement placée en gardienne des droits fondamentaux des salariés, dont le droit à la vie privée et à la santé, face à des procédés particulièrement intrusifs, pour lesquels les ressources du code du travail sont en pratique limitées pour obtenir une sanction forte en dehors d’un litige individuel intervenant souvent après un licenciement (v. en ce sens, G. Loiseau, CCE 2024. Comm. 26).

Si le Conseil d’État retient que la négligence grave dont a fait preuve Amazon justifie le prononcé d’une amende administrative, il en réforme le montant en considérant que le manquement au principe de licéité n’est pas caractérisé. Portant sur les manquements au principe de minimisation, à l’obligation d’information et à l’obligation de sécurité des données, le montant est réduit à 15 millions. Même si la sanction reste bien plus importante que ce qu’aurait permis une action sur le fondement de l’article L. 1121-1 du code du travail, ou sur l’obligation de prévention des risques professionnels, et peut être perçue en cela comme « effective et dissuasive », on peut s’interroger sur son caractère « proportionné », puisque le Conseil d’État l’a divisé par deux, avec pour seule justification que le manquement au principe de licéité n’était pas caractérisé. Elle est ramenée à 1,3 % du chiffre d’affaires, bien en-dessous des 4 %, malgré la violation avérée des principes fondamentaux.

par Fanny Gabroy, Professeur de droit privé, CY Cergy Paris Université

CE 23 déc. 2025, n° 492830

Source