Captures d’écran automatiques toutes les trois minutes. Mesure des « inactivités » clavier. Filmé en continu, son compris, depuis votre bureau. Ce n’est pas un scénario : c’est ce que la CNIL a constaté en décembre 2024 dans une entreprise du secteur immobilier. Elle a prononcé une amende de 40 000 euros — délibération SAN-2024-021 du 19 décembre 2024. L’affaire illustre ce qui se passe quand un dispositif de surveillance des salariés est déployé sans que le CSE ait été consulté.

⚖️ Ce que l’employeur a le droit de faire — et ses limites

Le droit de l’employeur à surveiller l’activité de ses salariés pendant le temps de travail est réel. Il découle de son pouvoir de direction. En pratique, l’employeur peut accéder à l’ordinateur professionnel du salarié, lire les emails professionnels, contrôler la connexion Internet, et consulter les fichiers non identifiés comme personnels.

Toutefois, ce droit n’est pas absolu. L’article L.1121-1 du Code du travail pose deux conditions cumulatives. Toute restriction aux droits des personnes doit être justifiée par la nature de la tâche. Elle doit aussi être proportionnée au but recherché. Ces deux conditions s’appliquent à chaque dispositif, sans exception.

Or, un logiciel de contrôle peut remplir la première condition — vérifier que le salarié travaille — et échouer sur la seconde si les moyens utilisés sont disproportionnés. C’est précisément ce que la CNIL a retenu dans l’affaire de décembre 2024.

🚨 Ce que la CNIL a sanctionné en décembre 2024

Dans l’affaire SAN-2024-021, la CNIL a retenu plusieurs manquements cumulés. Un logiciel enregistrait chaque frappe clavier. Des captures d’écran survenaient toutes les quelques minutes. Une vidéosurveillance captait le son en continu. En outre, l’employeur avait déployé ce dispositif sans informer les salariés au préalable. Aucune analyse d’impact sur la protection des données n’avait été réalisée. Les comptes administrateurs restaient partagés entre plusieurs personnes, sans traçabilité des accès.

Ainsi, chacun de ces éléments, pris isolément, pourrait déjà poser un problème de proportionnalité. Cumulés, ils constituent un système que la CNIL a jugé excessif. Sur le plan du droit du travail, les conséquences vont au-delà de l’amende administrative. Les preuves recueillies par des dispositifs disproportionnés peuvent être écartées par le juge prud’homal. La chambre sociale de la Cour de cassation, le 12 novembre 2020, a jugé que la seule constatation d’une atteinte à la vie privée ouvre droit à réparation — même sans préjudice démontré.

En conséquence, l’employeur qui installe un keylogger pour surveiller un salarié soupçonné de faute prend un double risque. D’un côté, une sanction de la CNIL pour le dispositif. De l’autre, une annulation du licenciement pour preuve illicite.

🏛️ Le CSE comme premier rempart : l’obligation de consultation

C’est ici que le rôle du CSE est déterminant — et c’est ici qu’il est le plus souvent contourné. L’article L.2312-38 du Code du travail impose à l’employeur de consulter le CSE avant tout déploiement d’un moyen ou d’une technique permettant le contrôle de l’activité des salariés. Cette consultation n’est pas une invitation au dialogue. C’est une obligation légale, assortie d’une sanction : le délit d’entrave prévu par l’article L.2317-1.

Le texte est large. Il couvre les logiciels de suivi d’activité, les systèmes de vidéosurveillance, les outils de géolocalisation, les dispositifs de contrôle d’accès. Il couvre aussi tout système informatique permettant de tracer l’activité d’un salarié — y compris les outils présentés comme des « outils de productivité » qui, en réalité, mesurent le temps passé par chaque utilisateur.

En séance, le CSE est en droit d’interroger l’employeur sur la finalité du dispositif, sur sa proportionnalité, et sur sa conformité au RGPD. Si l’employeur ne peut pas répondre précisément à ces trois questions, le CSE a des raisons de rendre un avis défavorable — et de le motiver au procès-verbal. Un déploiement sans consultation préalable fragilise l’ensemble de la procédure.

📋 Ce que le PV doit tracer quand un dispositif est présenté en séance

Quand l’employeur présente un projet de déploiement d’un outil de surveillance en séance, les élus doivent poser des questions précises. Chaque réponse — ou chaque absence de réponse — doit figurer au PV.

D’abord, la finalité exacte du dispositif. Pas « améliorer la productivité » — cette formulation ne veut rien dire juridiquement. La finalité doit être spécifique : contrôler le respect des horaires, vérifier l’utilisation des outils professionnels, mesurer l’activité dans le cadre d’un forfait jours.

Ensuite, les données collectées. Quelles informations le logiciel enregistre-t-il exactement ? Les frappes clavier ? Les captures d’écran ? Les temps de connexion ? Chaque catégorie pose un problème de proportionnalité distinct.

De plus, la durée de conservation. Le RGPD impose une limitation au strict nécessaire. Un employeur qui conserve les captures d’écran de ses salariés pendant deux ans sans justification s’expose à une sanction de la CNIL.

En outre, l’information préalable des salariés. L’article L.1222-4 du Code du travail interdit la collecte d’informations par un dispositif non porté préalablement à la connaissance du salarié. Si les salariés n’ont pas été informés avant le déploiement, le dispositif est irrégulier — quelle que soit la qualité de la consultation du CSE.

Enfin, l’analyse d’impact sur la protection des données. L’article 35 du RGPD impose cette analyse pour tout traitement susceptible d’engendrer un risque élevé. Un dispositif de surveillance continue des salariés entre dans cette catégorie. Si l’analyse n’a pas été réalisée, c’est un manquement supplémentaire que le CSE peut relever.

🔧 Ce que les salariés peuvent faire individuellement

Un salarié qui découvre un dispositif de surveillance mis en place sans information préalable, sans consultation du CSE, ou sans déclaration à la CNIL dispose de plusieurs voies de recours.

Il peut saisir la CNIL directement. La procédure est accessible en ligne et ne nécessite pas d’avocat. La CNIL peut diligenter un contrôle et prononcer des sanctions administratives. Il peut également saisir l’inspection du travail, qui vérifiera la conformité du dispositif avec les articles L.1121-1, L.1222-4 et L.2312-38 du Code du travail.

Il peut aussi alerter le CSE, qui pourra déclencher le droit d’alerte prévu par l’article L.2312-59 en cas d’atteinte aux droits des personnes. Certes, l’obligation de consultation préalable concerne les entreprises de 50 salariés et plus. Toutefois, le droit d’alerte reste applicable quelle que soit la taille de l’entreprise. Un élu dans une PME de 30 personnes peut déclencher cette procédure dès qu’il constate un dispositif disproportionné.

En réalité, si un licenciement se fonde sur des données collectées par un dispositif irrégulier, le salarié pourra contester devant le conseil de prud’hommes en invoquant l’illicéité de la preuve. Pour aller plus loin sur la protection des droits en séance, consultez notre article sur la réorganisation silencieuse et nos conseils sur la signature du solde de tout compte.

En neuf ans de rédaction de PV, j’ai vu deux cas de présentation de dispositifs de surveillance en séance. Dans les deux cas, les élus n’avaient pas posé la question de l’analyse d’impact RGPD. Dans les deux cas, l’employeur n’avait pas réalisé cette analyse. Ce que le PV n’a pas tracé, personne ne pourra le produire ensuite.

📚 Références juridiques

• Art. L.1121-1 CT — Proportionnalité des restrictions aux droits et libertés individuelles
• Art. L.1222-4 CT — Interdiction de la collecte d’informations par un dispositif non porté à la connaissance du salarié
• Art. L.2312-38 CT — Consultation obligatoire du CSE avant déploiement d’un moyen de contrôle de l’activité
• Art. L.2317-1 CT — Délit d’entrave au fonctionnement du CSE
• Art. L.2312-59 CT — Droit d’alerte en cas d’atteinte aux droits des personnes
• RGPD, article 35 — Analyse d’impact relative à la protection des données
• Délibération CNIL SAN-2024-021 du 19 décembre 2024 — Amende de 40 000 € pour surveillance disproportionnée
• Cass. soc., 12 novembre 2020 — Atteinte à la vie privée ouvrant droit à réparation sans preuve de préjudice