Le Stow Machine Gun
Les dispositifs de surveillance des salariés utilisés par Amazon sont d'une redoutable efficacité et reposent sur trois indicateurs. D'abord le Stow Machine Gun est un scanner qui mesure le temps de travail, c'est-à-dire concrètement le temps passé à ranger les articles qui sont livrés par les fournisseurs et envoyés au client. L'indicateur de travail se met en route lorsque deux scans successifs d'articles à ranger sont espacés de moins de 1 minute et 25 secondes. Une période de temps aussi brève est considérée comme accroissant el risque d'erreur de rangement.
Le second indicateur est le scan Idle Time, temps d'inactivité, qui se déclenche au-delà de dix minutes consécutives d’arrêt, sans prendre en considération r les pauses légales ou conventionnelles. Quant au troisième indicateur, il mesure le temps de latence, c'est-à-dire les périodes d'interruption entre une et dix minutes.
Les temps modernes. Charles Chaplin. 1936
L'"intérêt légitime" des dispositifs de surveillance
Dans son arrêt du 23 décembre 2025, le Conseil d'État affirme la légalité d'un tel dispositif qui, à ses yeux, relève de "l'intérêt légitime" de l'employeur. Sur ce point toutefois, sa jurisprudence est nuancée, car il cherche l'équilibre entre l'intérêt de l'employeur et le droit des salariés au respect de leur vie personnelle sur le lieu de travail. Il s'assure ainsi du respect du principe de finalité consacré par l'article 6 du Règlement général de protection des données (RGPD).
L'espace de l'intérêt légitime est apprécié de manière relativement large. Il peut s'agir de la sécurité des personnes et des biens, de la conduite d'enquêtes internes en matière de harcèlement ou de discrimination, comme dans l'arrêt TotalEnergie du 1er décembre 2025.
Mais cet intérêt légitime, même reconnu comme tel par le juge, ne suffit pas à garantir la légalité de ces procédés. Le juge vérifie en effet que le dispositif est nécessaire à l'objectif poursuivi par l'employeur et s'il n'existe pas d'autres instruments de contrôle moins intrusifs pour y parvenir. Dans l'arrêt du 19 novembre 2024, SAF Logistics, le Conseil d'État confirme une sanction de 200 000 € infligée à une entreprise qui faisait remplir à ses salariés candidats à une mutation en Chine un formulaire comportant des questions sur leur vie privée, leur appartenance ethnique, les options politiques etc. La collecte de ces données sensibles est excessive au regard de cet intérêt de l'employeur, d'autant qu'il s'agissait en l'espèce d'une exigence de la maison mère, chinoise.
Observons que ce contrôle est bien antérieur à l'entrée en vigueur du RGPD. Dès le 18 novembre 2015 Soc PS Consulting, le Conseil d'État avait considéré que l'objectif de sécurité constituait bien un intérêt légitime de l'employeur, mais qu'il ne justifiait pas la vidéosurveillance constante de certains postes occupés par plusieurs salariés.
La CNIL désavouée
La difficulté, dans l'arrêt du 23 décembre 2025, réside dans le fait que le Conseil d'État désavoue la CNIL qui avait infligé à Amazon, le 23 décembre 2023, une amende de 32 millions d'euros. Elle considérait le système de surveillance excessivement intrusif, d'autant que l'information des salariés était jugée insuffisante.
Le Conseil d'État fait une lecture tout-à-fait différente du système mis en place par Amazon. Pour le Stow Machine Gun, il admet que le dispositif peut avoir pour fonction essentielle d'éviter les erreurs de rangement. Le raisonnement est identique pour le temps d'inactivité et le temps de latence, dès lors que le contrôle ne se met en route qu'après 10 minutes d'arrêt du scanner, le temps de latence étant calculé immédiatement avant ou après la pause. Le juge reconnaît que le dispositif emporte une intrusion dans la vie personnelle du salarié, mais il estime qu'elle n'est pas excessive au regard de son intérêt légitime.
Ce désaveu de la CNIL est-il de nature ponctuelle ou s'agit-il de desserrer le contrôle qui s'exerçait sur l'employeur ?
De toute évidence, le Conseil d'État se montre plus nuancé que la CNIL qui a tendance à sanctionner tout dispositif d'enregistrement systématique de l'activité des salariés. La surveillance algorithmique en temps réelle n'est pas interdite, en tant que telle, dès lors qu'elle répond à des exigences d'organisation et de qualité, et qu'elle ne se traduit par des exigences de performance excessives. Sur ce point, la décision du 23 décembre 2025 constitue une sorte de mode d'emploi destiné aux employeurs, leur indiquant la voie à suivre pour respecter le RGPD et ne pas être censuré.
Le principe de minimisation des données
Amazon ne sort cependant pas totalement victorieux de la décision du 23 décembre 2025. Le juge censure en effet un manquement à l'article 5 § 1 du RGPD qui pose le principe de minimisation des données. Il énonce que les données personnelles collectées et conservées doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". Or en l'espèce, les données collectées par le scan des employés sont conservées pendant 31 jours, durée jugée excessive par rapport aux finalités poursuivies.
Aux yeux du juge, l'objectif de lutte contre les erreurs de rangement ne justifie pas une telle durée. D'une certaine manière, Amazon est pris à son propre piège. Puisqu'il ne s'agit pas de contrôler la rentabilité de l'employé, il n'est pas nécessaire de conserver les données 31 jours, n'est-ce pas ? Il y a donc atteinte au principe de minimisation des données. De ce fait, le Conseil d'État réduit l'amende infligée à Amazon de 32 millions à 15 millions d'euros.
Il reste à se demander quelle est l'importance de l'arrêt pour les salariés. Sur ce point, la décision est plutôt ambivalente.
L'intérêt des salariés et le contexte international
D'un côté, l'arrêt rappelle, et d'une certaine manière consolide les droits des salariés. Il affirme que l'employeur ne peut conserver des données de performance individuelle sans en démontrer la nécessité et souligne l'exigence d'une information complète des salariés. Ce n'est sans doute pas ce qu'ils attendaient, mais ce point est en leur faveur.
De l'autre côté, la décision est franchement défavorable car elle admet largement les outils de surveillance en temps réel. Certes, des exigences de paramétrage sont posées, mais il n'en demeure pas moins que le Conseil d'État contribue à normaliser le management algorithmique, à l'égard duquel la CNIL se montrait plus réservée.
Sur ce point, on peut s'interroger sur l'influence du contexte international sur l'arrêt. On sait que le Data Privacy Framework de 2023 a fait l'objet d'une décision d'adéquation de la Commission européenne le 10 juillet 2023. Elle considère donc que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui existant au sein de l'Union européenne avec le RGPD. Il s'agit là d'une fiction juridique, sans aucun rapport avec la réalité, mais qui permet aux entreprises américaines de se certifier volontairement par une simple déclaration de respect des principes du RGPD. Certes, ces actes sont contestés et l'on attend avec impatience un arrêt Schrem III pour connaître la position de la Cour de justice de l'Union européenne qui s'est déjà opposée à deux reprises à cette fiction. Il n'empêche que l'on ne peut s'empêcher de penser que le Conseil d'État aurait peut être pris une décision différente s'il n'y avait la crainte d'une réaction violente de l'administration Trump. Des droits de douane encore plus élevés, par exemple...
Les droits dans le travail : Manuel de Libertés publiques version E-Book et version papier, chapitre 13 section 2 § 2
Aucun commentaire:
Enregistrer un commentaire