Actualités

💥 Surveillance intrusive des salariés

Droits des Personnes, Durées & Minimisation | 30/03/2025

Source : 10096474,
Italie, Il garante per la protezione dei dati

🔍 Quand l'accès aux ordinateurs des employés vire à la surveillance généralisée... et coûte 20 000 €.

👉 Un responsable du traitement a demandé à consulter l’ordinateur d’une employée.
⚠️ Problème : cet ordinateur contenait des données personnelles et des communications privées.
💬 Suite à plusieurs mails restés sans réponse, la personne a demandé :
l’exercice de son droit à l’effacement (article 17 du RGPD)
la suppression de tous ses comptes de messagerie pro

💥 Sans réponse à sa demande d’effacement, une plainte a été déposé par l’ancienne salariée en septembre 2022, contre son employeur.
Celle-ci invoquait un traitement inapproprié de ses données personnelles en lien avec la gestion de son e-mail professionnelle.

📌 Contexte
L’entreprise avait accès aux boîtes mail professionnelles et pouvait en rediriger les contenus vers une boîte de réception centralisée.

Par ailleurs l’ employeur avait mis en place des outils informatiques qui :
-collectaient et mémorisaient systématiquement les journaux de navigation Internet (aussi appelés "marques de navigation"),
-conservaient ces données pendant 30 jours,
-les transféraient ensuite sur disque dur externe.

Problèmes constatés
Surveillance disproportionnée des employés, suivi des traces de navigation et les emails.

  • Stockage excessif et prolongé de données personnelles, sans finalité claire ni limitation de durée.
  • Absence de base légale valable pour justifier ces traitements.
  • La finalité invoquée (sécurité et bon fonctionnement des systèmes) ne justifie pas une surveillance aussi intrusive.

⚖️ Violations du RGPD identifiées

  1. Article 5(1)(a) – Licéité, loyauté, transparence
    → La collecte systématique des données de navigation sans base légale claire est illicite.
  2. Article 5(1)(c) – Minimisation des données
    → La collecte doit être adéquate, pertinente et limitée à ce qui est nécessaire. Ici, la mémorisation généralisée va à l’encontre de ce principe.
  3. Articles 12 & 17 – Droit à l’effacement et devoir de réponse
    → L’employeur n’a pas répondu correctement à une demande d’effacement de     données personnelles émanant d’un salarié concerné, ni dans les temps, ni par écrit.

🔍 Position de la DPA
La DPA a reconnu que :

  • L’employeur avait une politique interne inappropriée,
  • Le niveau de surveillance instauré n’était pas proportionné aux objectifs,
  • La gestion de la demande d'effacement des données était non conforme au RGPD.

💸 Sanction

➡️ Amende administrative de 20 000 €
Justifiée par la gravité des manquements, la durée de conservation excessive, et l’absence de réponse formelle aux droits des personnes concernées.












Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité