La société AMAZON FRANCE LOGISTIQUE gère les entrepôts de grande taille du groupe AMAZON en France, dans lesquels elle reçoit et stocke les articles, puis prépare les colis à livrer aux clients. Dans le cadre de son activité, chaque salarié des entrepôts est muni d’un scanner au moyen duquel il documente en temps réel l’exécution de certaines tâches qui lui sont assignées (stockage ou prélèvement d’un article dans les rayonnages, rangement ou emballage…).

Chaque scan effectué par les salariés donne lieu à l’enregistrement de données, qui sont conservées et qui permettent de calculer des séries d’indicateurs renseignant sur la qualité, la productivité et les périodes d’inactivité de chaque salarié, individuellement.

À la suite d’articles de presse visant certaines pratiques mises en œuvre par la société dans ses entrepôts, la CNIL a procédé à plusieurs missions de contrôles. Elle a également reçu plusieurs plaintes de salariés.

La CNIL a estimé que le système de suivi de l’activité et des performances des salariés était excessif, notamment pour les raisons suivantes :

Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place. La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
La CNIL a jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif. En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.

La CNIL n’a pas remis en cause le fait que les contraintes très fortes pesant sur l’activité d’Amazon, et les objectifs de performance élevée que l’entreprise s’est fixés, peuvent justifier le dispositif de scanner, mis en place pour la gestion de son activité. Mais elle a estimé que la conservation de toutes ces données et des indicateurs statistiques en résultant était globalement disproportionnée.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.

Afin de déterminer le montant de la sanction, la formation restreinte a notamment pris en compte le fait que les traitements des données des salariés au moyen des scanners se distinguaient des méthodes de suivi d’activité classique en raison de l’échelle à laquelle ils étaient mis en œuvre, tant au regard de leur exhaustivité que de leur permanence, et conduisait à un suivi très resserré et détaillé du travail des salariés.

De tels systèmes maintenaient les salariés sous une surveillance étroite pour toutes les tâches effectuées avec des scanners et faisaient ainsi peser sur eux une pression continue. Elle a également pris en compte le nombre important de personnes concernées (plusieurs milliers) et a considéré que les contraintes imposées aux salariés via ce suivi informatique participait directement aux gains économiques de la société et lui permettait de bénéficier d’un avantage concurrentiel sur les autres entreprises du secteur de la vente en ligne.
Les manquements sanctionnés

La CNIL a retenu plusieurs manquements au RGPD à l’encontre de la société AMAZON FRANCE LOGISTIQUE.

Manquements liés au suivi de l’activité des salariés à l’aide des scanners
Des manquements en lien avec la gestion des stocks et des commandes dans l’entrepôt

La société utilise des indicateurs sur l’activité et la performance des salariés, collectés à l’aide des scanners afin de gérer les stocks et les commandes dans ses entrepôts en temps réel.
Manquement au principe de minimisation des données (article 5.1.c du RGPD)

Le processus de gestion des stocks et des commandes se décompose en plusieurs tâches (réception des articles, stockage de l’inventaire, préparation et expédition des commandes) et repose également sur une gestion de chaque salarié afin de lui apporter, si nécessaire, une aide dans l’exécution de ces tâches (coaching) ou le réaffecter sur d’autres missions en cas de besoin.

Or, la formation restreinte considère que la fourniture d’une aide au salarié ou sa réaffectation en temps réel ne nécessitent pas d’accéder aux moindres détails des indicateurs de qualité et de productivité du salarié qui ont été collectés au moyen des scanners sur le dernier mois . Elle relève que les superviseurs peuvent déjà s’appuyer sur les données remontées en temps réel pour repérer toute difficulté d’un salarié pouvant nécessiter un coaching ou pour identifier les salariés à réaffecter à une tâche en cas de pic d’activité. Elle estime donc qu’en complément des données remontées en temps réel, une sélection de données agrégées, par exemple hebdomadaire, serait suffisante.
Manquement à la licéité du traitement (article 6 du RGPD)

La formation restreinte considère que trois indicateurs traités par la société sont illégaux :

l’indicateur « Stow Machine Gun » qui signale une erreur lorsqu’un salarié scanne un article « trop rapidement » (soit en moins de 1,25 seconde après avoir scanné un précédent article) ;
l’indicateur « idle time » (« temps d’inactivité »), qui signale des périodes d’interruption d’un scanner de dix minutes et plus ;
l’indicateur « temps de latence inférieurs à dix minutes », qui signale des périodes d’interruption d’un scanner entre une à dix minutes.

Sans remettre en cause le besoin d’un suivi précis des manipulations effectuées et de la situation de chaque salarié, pour assurer la qualité du service et la sécurité dans ses entrepôts, la formation restreinte relève néanmoins que le traitement de ces trois indicateurs ne peut reposer sur l’intérêt légitime, car il conduit à une surveillance informatique excessive du salarié au regard de l’objectif poursuivi par la société.

Premièrement, le traitement de l’indicateur Stow Machine Gun permet de suivre de manière constante tout rangement effectué par un salarié à la seconde près et d’y associer une erreur en cas de rangement trop rapide.

Deuxièmement, l’utilisation des indicateurs « idle times » et « temps de latence inférieurs à dix minutes » permet de suivre en permanence tout temps d’interruption du scanner d’un salarié sur une tâche directe, même très court (moins de dix minutes ou dès dix minutes).

Or, la formation restreinte note que la société accède déjà à de nombreux indicateurs en temps réel, individuels comme agrégés, pour atteindre l’objectif de qualité et de sécurité dans ses entrepôts.

Elle relève aussi que le traitement de ces deux indicateurs conduit le salarié à devoir potentiellement justifier à tout moment de tout temps, même très court, d’interruption de son scanner.

Ainsi, tel que mis en œuvre, le traitement est jugé excessivement intrusif.
Des manquements en lien avec la planification du travail et l’évaluation des salariés

La société utilise également les données et indicateurs d’activité et de performance des salariés collectées à l’aide des scanners pour planifier le travail dans ses entrepôts, évaluer les salariés chaque semaine et les former.
Manquements au principe de minimisation des données (article 5.1.c du RGPD)

La formation restreinte considère que la planification du travail dans les entrepôts ainsi que l’évaluation et la formation du salarié ne nécessitent pas d’accéder aux moindres détails des données et indicateurs statistiques fournis par le scanner utilisé par le salarié et remontés sur le dernier mois.

Elle estime que des statistiques par salarié, par exemple agrégées sur la semaine, suffisent pour apprécier la maîtrise d’une tâche par un salarié et composer des équipes pertinentes. De la même manière, de telles statistiques fournissent un aperçu des performances du salarié et suffisent pour évaluer, identifier un besoin en formation ou suivre sa courbe de progression.

Enfin, la formation restreinte considère que l’objectif visant à contrôler le travail effectif du salarié, l’évaluer ou le former ne justifie pas non plus de recenser tout temps d’inactivité de plus de dix minutes.
Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La formation restreinte a constaté que jusqu’en avril 2020, les intérimaires travaillant pour la société n’étaient pas correctement informés, puisque la société ne s’assurait pas que la politique de confidentialité leur avait bien été remise avant que leurs données personnelles ne soient collectées au moyen des scanners.
Manquements liés aux traitements de vidéosurveillance
Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La formation restreinte a relevé que les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance, puisque certaines informations exigées par l’article 13 du RGPD n’étaient fournies ni sur les panneaux d’affichage, ni dans d’autres supports ou documents.
Un manquement à l’obligation de sécurité (article 32 du RGPD)

La formation restreinte a relevé que l’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé, puisque le mot de passe d’accès n’était pas d’une robustesse suffisante et que le compte d’accès était partagé entre plusieurs utilisateurs. Ce cumul de défauts de sécurité rend la traçabilité des accès aux images vidéo, ainsi que l’identification de chaque personne ayant effectué des actions sur le logiciel, plus difficiles.

La décision

Délibération de la formation restreinte n°SAN-2023-021 du 27 décembre 2023 concernant la société AMAZON FRANCE LOGISTIQUE - Légifrance

Pour approfondir

La vidéosurveillance au travail
Tous les contenus de la CNIL sur la surveillance des salariés
Tous les contenus de la CNIL sur le travail et les données personnelles
[EN] Employee monitoring : CNIL fined AMAZON FRANCE LOGISTIQUE €32 million

Les textes de référence

Article 5.1.c du RGPD (minimisation des données)
Article 6 du RGPD (licéité du traitement)
Articles 12 et 13 du RGPD (information des personnes et transparence)
Article 32 du RGPD (sécurité des données)