Après Yahoo (10 M€), c’est au tour d’Amazon France Logistique (AFL) de se voir sanctionner financièrement par la Cnil à hauteur de 32 millions d’euros. Cette décision a été prise par la commission restreinte du régulateur lors d’une délibération du 27 décembre 2023 (publiée au Journal Officiel). L’affaire porte sur les différents moyens de surveillance des salariés de la filiale du site de commerce électronique et leur licéité par rapport au règlement sur la protection des données personnelles (RGPD).
Les scanners sont notamment pointés du doigt par la Cnil. Ces terminaux collectent en continu des données sur l’activité des salariés permettant à AFL de créer des indicateurs liés à la productivité, la qualité et aux périodes d’inactivité de ceux-ci. Au sein de ces indicateurs, plusieurs éléments font tiquer la commission. Par exemple, « le rangement d’un article dans les (sic) 1,25 seconde du rangement de l’article précédent ». Un délai qui « présente un caractère intrusif important et que son traitement est de nature à avoir des répercussions morales négatives sur le salarié », souligne le régulateur.
Une succession de manquements
Autre délai taclé, celui des périodes d’inactivité qui sont enregistrées en continu pour vérifier ceux de moins de 10 minutes et ceux de plus de 10 minutes. Là encore, la formation restreinte souligne que l’aspect nominatif de cette surveillance « présente un caractère intrusif important, puisqu’il contraint en pratique le salarié à être en mesure de justifier de tout temps considéré comme non productif ». Dans sa réponse, Amazon France Logistique a annoncé porter ce temps de latence à 30 minutes.
La Cnil s’est également intéressée aux données de qualité et de productivité collectées à des fins de réaffectation et de coaching par les superviseurs. Elles sont conservées pendant 31 jours, un délai jugé là encore comme « n’étant pas nécessaire ». AFL s’est engagé à réduire cette durée à 7 jours. Par ailleurs, dans sa délibération, la formation a noté l’absence d’information sur le traitement des données personnelles des intérimaires et des salariés soumis à la vidéosurveillance (2 sites concernés). Sur ce dernier point, il a été constaté « d’une part, que le compte d’accès au logiciel de vidéosurveillance qui gère les deux tiers des caméras installées sur le site de Montélimar était commun à l’ensemble des personnes habilitées à accéder aux images de vidéosurveillance et, d’autre part, que le mot de passe associé à ce compte était constitué de douze caractères, comportant uniquement des lettres minuscules et des chiffres et qu’il était donc insuffisamment robuste ».
MAJ: Amazon a commenté cette décisions en indiquant, « nous sommes en profond désaccord avec les conclusions de la CNIL qui sont factuellement incorrectes et nous nous réservons le droit de faire appel. L’utilisation de systèmes de gestion d'entrepôt est une pratique courante du secteur : ils sont nécessaires pour garantir la sécurité, la qualité et l'efficacité des opérations et pour assurer le suivi des stocks et le traitement des colis dans les délais et conformément aux attentes des clients. » La société a deux mois pour faire appel de cette sanction.
Commentaire