Le 27 décembre 2023, la Commission nationale de l'informatique et des libertés (CNIL) a condamné AMAZON FRANCE LOGISTIQUE à une amende de 32 millions d'euros pour avoir mis en place un système excessivement intrusif de contrôle de l'activité et de la performance des salariés. L'entreprise a également été sanctionnée pour une vidéosurveillance sans information ni sécurité suffisante.
L'essentiel
AMAZON FRANCE LOGISTIQUE gère les grands entrepôts du groupe AMAZON en France, où elle réceptionne et stocke les articles, puis prépare les colis à livrer aux clients. Dans le cadre de ses activités, chaque employé de l'entrepôt dispose d'un scanner pour documenter en temps réel l'exécution de certaines tâches qui lui sont confiées (stockage ou retrait d'un article des rayonnages, rangement ou emballage, etc.)
Chaque scan effectué par les employés donne lieu à l'enregistrement de données, qui sont stockées et utilisées pour calculer des indicateurs fournissant des informations sur la qualité, la productivité et les périodes d'inactivité de chaque employé.
Suite à des articles de presse sur les pratiques de la société dans ses entrepôts, la CNIL a mené plusieurs enquêtes. Elle a également reçu plusieurs plaintes de salariés.
La CNIL a considéré que le système de suivi de l'activité et de la performance des salariés était excessif, notamment pour les raisons suivantes :
- Des indicateurs de suivi du temps d'inactivité des scanners des salariés ont été mis en place. La CNIL a estimé qu'il était illégal de mettre en place un système mesurant les interruptions de travail avec une telle précision, ce qui pourrait obliger les employés à justifier chaque pause ou interruption.
- La CNIL a jugé excessif le système de mesure de la vitesse de lecture des documents. Partant du principe que des éléments scannés très rapidement augmentent le risque d'erreur, un indicateur mesurait si un élément avait été scanné en moins de 1,25 seconde après le précédent.
- Plus généralement, la CNIL a jugé excessif de conserver l'ensemble des données collectées par le système, ainsi que les indicateurs statistiques qui en résultent, pour l'ensemble des salariés et des intérimaires, pendant une durée de 31 jours.
La CNIL n'a pas remis en cause le fait que les contraintes très lourdes pesant sur l'activité d'Amazon, et les objectifs de performance élevés que la société s'est fixés, puissent justifier le système de scanner mis en place pour gérer son activité. En revanche, elle a estimé que la conservation de toutes ces données et les indicateurs statistiques qui en découlent étaient globalement disproportionnés.
En conséquence, la commission restreinte - l'organe de la CNIL chargé de prononcer les sanctions - a infligé une
amende de 32 millions d'euros à la société AMAZON FRANCE LOGISTIQUE.
Pour déterminer le montant de la sanction, la commission restreinte a notamment pris en compte le fait que le traitement des données des salariés au moyen de scanners se distinguait des méthodes traditionnelles de contrôle d'activité par l'ampleur de leur mise en œuvre, tant par leur exhaustivité que par leur permanence, et conduisait à un contrôle très étroit et détaillé du travail des salariés.
Ces systèmes permettaient de surveiller étroitement les employés pour toutes les tâches effectuées avec les scanners et les soumettaient ainsi à une pression continue. Elle a également pris en compte le nombre important de personnes concernées (plusieurs milliers) et a considéré que les contraintes imposées aux salariés par cette surveillance informatique contribuaient directement aux gains économiques de l'entreprise et lui donnaient un avantage concurrentiel par rapport aux autres entreprises sur le marché de la vente en ligne.
Les infractions sanctionnées
La CNIL a sanctionné AMAZON FRANCE LOGISTIQUE pour plusieurs manquements au RGPD.
Violations liées à la surveillance des employés à l'aide de scanners
Violations liées à la gestion des stocks et des commandes dans l'entrepôt
L'entreprise utilise des indicateurs sur l'activité et la performance des salariés, collectés à l'aide de scanners, pour gérer en temps réel les stocks et les commandes dans ses entrepôts.
Non-respect du principe de minimisation des données (article 5.1.c du RGPD)
Le processus de gestion des stocks et des commandes se décompose en plusieurs tâches (réception des articles, stockage des stocks, préparation et envoi des commandes) et repose également sur la gestion de chaque employé afin de leur fournir, si nécessaire, une assistance dans l'exécution de ces tâches (coaching) ou de les réaffecter à d'autres tâches si nécessaire.
Cependant, le comité restreint considère que l'accompagnement d'un salarié ou sa réaffectation en temps réel ne nécessite pas l'accès à
tous les détails des indicateurs de qualité et de productivité du salarié collectés à l'aide des scanners au cours du mois écoulé. Elle rappelle que les superviseurs peuvent déjà s'appuyer sur les données remontées en temps réel pour identifier les difficultés éventuelles d'un salarié qui nécessiteraient un accompagnement, ou pour identifier les salariés à réaffecter à une tâche en cas de pic d'activité. Elle estime donc qu'en plus des données en temps réel, une sélection de données agrégées, sur une base hebdomadaire par exemple, serait suffisante.
Manquement à la licéité du traitement (article 6 du RGPD)
La commission restreinte considère que trois indicateurs traités par l'entreprise sont illicites :
- l'indicateur "Stow Machine Gun", qui signale une erreur lorsqu'un employé scanne un article "trop rapidement" (c'est-à-dire en moins de 1,25 seconde après avoir scanné un article précédent) ;
- l'indicateur "idle time", qui signale les périodes d'arrêt du scanner de dix minutes ou plus ;
- l'indicateur "latency under ten minutes", qui signale les périodes d'interruption du scanner comprises entre une et dix minutes.
Sans remettre en cause la nécessité d'un suivi précis des manutentions effectuées et de la situation de chaque salarié, afin d'assurer la qualité du service et la sécurité dans ses entrepôts, la commission restreinte a néanmoins relevé que le traitement de ces trois indicateurs ne pouvait être fondé sur l'intérêt légitime, car il conduisait à un contrôle excessif du salarié au regard de l'objectif poursuivi par l'entreprise.
D'une part, le traitement de l'indicateur "Stow Machine Gun" permet de suivre en permanence et à la seconde près tout rangement effectué par un salarié et d'y associer une erreur si le salarié range trop vite.
D'autre part, l'utilisation des indicateurs "idle times" et "latency under ten minutes" permet de suivre en permanence toutes les interruptions du scanner d'un employé sur une tâche directe, même pour un temps très court (inférieur à dix minutes ou supérieur à dix minutes).
Cependant, la commission restreinte constate que l'entreprise dispose déjà de nombreux indicateurs en temps réel, individuels et agrégés, pour atteindre son objectif de qualité et de sécurité dans ses entrepôts.
Elle souligne également que le traitement de ces deux indicateurs implique que le salarié est potentiellement tenu de justifier à tout moment de l'interruption de son scanner, même pour une durée très courte.
Tel qu'il est mis en œuvre, le traitement est considéré comme excessivement intrusif.
Violations concernant l'horaire de travail et l'évaluation des employés
L'entreprise utilise également les données et indicateurs d'activité et de performance des employés collectés par les scanners pour planifier le travail dans ses entrepôts, évaluer les employés chaque semaine et les former.
Non-respect du principe de minimisation des données (article 5.1.c du RGPD)
La commission restreinte considère que la planification du travail dans les entrepôts, ainsi que l'évaluation et la formation de l'employé ne nécessitent pas l'accès à
tous les détails des données et indicateurs statistiques fournis par le scanner utilisé par l'employé et rapportés au cours du dernier mois.
Elle considère que des statistiques par employé, agrégées sur la semaine par exemple, sont suffisantes pour évaluer la maîtrise d'une tâche par un employé et constituer des équipes pertinentes. De même, de telles statistiques donnent une vue d'ensemble de la performance d'un employé et sont suffisantes pour évaluer et identifier les besoins de formation ou pour suivre la progression de l'employé.
Enfin, la commission restreinte a considéré que l'objectif de suivi du travail effectif du salarié, d'évaluation ou de formation ne justifiait pas l'enregistrement d'un temps d'inactivité supérieur à dix minutes.
Manquement à l'obligation d'information et de transparence (articles 12 et 13 du RGPD)
La commission restreinte a constaté que, jusqu'en avril 2020, les travailleurs intérimaires de l'entreprise n'ont pas été correctement informés, l'entreprise ne s'étant pas assurée que la politique de confidentialité leur avait été remise avant que leurs données personnelles ne soient collectées à l'aide des scanners.
Violations liées au traitement de la vidéosurveillance
Manquement à l'obligation d'information et de transparence (articles 12 et 13 du RGPD)
La commission restreinte a constaté que ni les employés ni les visiteurs extérieurs n'étaient correctement informés des systèmes de vidéosurveillance, certaines des informations requises par l'article 13 du RGPD n'étant fournies ni sur les panneaux d'affichage, ni sur d'autres supports ou documents.
Manquement à l'obligation d'assurer la sécurité des données à caractère personnel (article 32 du RGPD)
La commission restreinte a constaté que l'accès au logiciel de vidéosurveillance n'était pas suffisamment sécurisé, le mot de passe d'accès n'étant pas assez fort et le compte d'accès étant partagé entre plusieurs utilisateurs. Cette accumulation de défauts de sécurité rend plus difficile la traçabilité des accès aux images vidéo et l'identification de chaque personne ayant effectué des actions sur le logiciel.
Partager