← Retour au blog

Contrôle CNIL en entreprise : surveillance des salariés et sanctions

DAIRIA Avocats · 2 octobre 2025 · 8 min de lecture
Contrôle CNIL en entreprise : surveillance des salariés et sanctions

La surveillance des salariés en entreprise constitue l’un des domaines les plus sensibles du droit du travail. Entre le pouvoir de direction de l’employeur et le droit au respect de la vie privée des salariés, l’équilibre est délicat. La CNIL (Commission nationale de l’informatique et des libertés) veille au respect de cet équilibre et n’hésite pas à sanctionner lourdement les entreprises qui franchissent la ligne. En 2025, 16 organismes ont été sanctionnés pour non-respect des règles de vidéosurveillance des salariés, et les amendes cumulées tous secteurs confondus ont atteint 486 millions d’euros. Quelles sont les règles applicables à la surveillance en entreprise ? Quels sont les risques concrets pour l’employeur ?

Le cadre juridique de la surveillance au travail

La surveillance des salariés se situe au croisement de plusieurs textes fondamentaux. L’article L. 1121-1 du Code du travail pose le principe cardinal : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » Ce principe de proportionnalité irrigue l’ensemble du droit de la surveillance au travail.

Le Règlement général sur la protection des données (RGPD), directement applicable depuis le 25 mai 2018, encadre tout traitement de données personnelles des salariés. Son article 5 impose les principes de licéité, de loyauté, de transparence, de limitation des finalités et, surtout, de minimisation des données : seules les données strictement nécessaires à la finalité poursuivie peuvent être collectées.

L’article 6 du RGPD exige que tout traitement repose sur une base légale (intérêt légitime, obligation légale, consentement, etc.). Dans le contexte de la relation de travail, c’est généralement l’intérêt légitime de l’employeur qui est invoqué, sous réserve qu’il ne porte pas une atteinte disproportionnée aux droits du salarié.

La vidéosurveillance en entreprise : règles et limites

La vidéosurveillance est le dispositif de surveillance le plus fréquemment sanctionné par la CNIL. Les règles sont claires mais souvent méconnues ou ignorées par les employeurs.

Ce qui est autorisé

L’employeur peut installer des caméras de vidéosurveillance pour des finalités légitimes :

  • La sécurité des biens et des personnes (prévention des vols, des agressions)
  • La surveillance des entrées et sorties de l’établissement
  • La surveillance des zones de stockage de marchandises ou de valeurs
  • La sécurité des zones à risque (entrepôts, parkings)

Ce qui est interdit

En revanche, la CNIL considère que la surveillance vidéo permanente des salariés à leur poste de travail est en principe illicite. Filmer en continu les employés à leur bureau, à la caisse ou dans un atelier constitue une atteinte disproportionnée à leur vie privée. De même, l’installation de caméras dans les espaces de repos, les vestiaires, les sanitaires ou les locaux syndicaux est strictement prohibée.

La Cour de cassation a confirmé ce principe dans un arrêt du 10 novembre 2021 (n° 20-12.263), rappelant qu’un système de vidéosurveillance destiné à la sécurité des biens et des personnes ne peut être utilisé aux fins de contrôle des salariés sans information préalable et consultation du comité social et économique. A défaut, les preuves obtenues par ce dispositif sont illicites.

Sanction emblématique : Le 19 décembre 2024, la CNIL a sanctionné une société du secteur immobilier d’une amende de 40 000 euros pour surveillance disproportionnée de ses salariés en télétravail. Le logiciel utilisé effectuait des captures d’écran toutes les 3 à 15 minutes et comptabilisait des périodes d’inactivité supposée. En outre, les salariés étaient filmés en permanence par leur webcam.

Le contrôle des messageries et outils informatiques

Le contrôle des emails professionnels fait l’objet d’une jurisprudence constante depuis l’arrêt Nikon du 2 octobre 2001 (Cass. soc., n° 99-42.942). La Cour de cassation a posé le principe selon lequel le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée, ce qui implique le secret des correspondances.

Concrètement, les règles applicables sont les suivantes :

  • Les emails professionnels sont présumés professionnels et l’employeur peut y accéder, sauf s’ils sont identifiés comme « personnels » ou « privés »
  • Les emails personnels identifiés comme tels ne peuvent être consultés qu’en présence du salarié ou après l’avoir dûment informé
  • La charte informatique doit informer les salariés des conditions d’utilisation des outils et des éventuels contrôles
  • L’enregistrement systématique de toutes les communications électroniques est disproportionné et sanctionnable

L’employeur ne peut pas non plus installer de keylogger (enregistreur de frappes) sur les postes des salariés, sauf circonstances exceptionnelles dûment justifiées par un impératif de sécurité. La CNIL a déjà prononcé des mises en demeure et des sanctions pour l’utilisation de tels logiciels espions.

La géolocalisation des véhicules et des salariés

La géolocalisation des véhicules professionnels est un autre sujet majeur de contrôle par la CNIL. Si l’employeur peut légitimement suivre la localisation de ses véhicules de service, cette surveillance doit respecter des limites strictes :

  • La géolocalisation ne peut pas être utilisée pour contrôler le temps de travail d’un salarié disposant d’une autonomie dans l’organisation de ses déplacements
  • Le salarié doit avoir la possibilité de désactiver le dispositif en dehors de son temps de travail, notamment lorsqu’il peut utiliser le véhicule à titre privé
  • Les données de géolocalisation ne doivent pas être conservées au-delà de deux mois (sauf exception pour la preuve des trajets dans le cadre de notes de frais)
  • Le suivi en temps réel des déplacements ne doit pas être systématique et doit être réservé aux cas de nécessité (optimisation des interventions, urgences)

En 2025, six sanctions prononcées par la CNIL dans le cadre de la procédure simplifiée ont concerné la surveillance des salariés par géolocalisation ou vidéosurveillance, notamment pour des durées de conservation excessives des données et une information incomplète des salariés.

Les obligations de l’employeur avant toute mise en place

Avant de déployer un dispositif de surveillance, l’employeur doit respecter un ensemble d’obligations cumulatives :

1. Consultation du CSE

Le comité social et économique doit être informé et consulté préalablement à la mise en place de tout dispositif de contrôle de l’activité des salariés, conformément à l’article L. 2312-38 du Code du travail. L’absence de consultation rend le dispositif illicite.

2. Information individuelle des salariés

Chaque salarié doit être personnellement informé de l’existence du dispositif, de sa finalité, de la base légale du traitement, des destinataires des données et de ses droits (accès, rectification, suppression). Cette information doit être claire, concise et conforme aux articles 12 à 14 du RGPD.

3. Réalisation d’une analyse d’impact (AIPD)

Lorsque le dispositif implique une surveillance systématique des salariés (vidéosurveillance continue, géolocalisation permanente, monitoring informatique), l’employeur est tenu de réaliser une analyse d’impact relative à la protection des données (AIPD), conformément à l’article 35 du RGPD. L’absence d’AIPD a été sanctionnée dans la décision du 19 décembre 2024 précitée.

4. Inscription au registre des traitements

Tout dispositif de surveillance doit être inscrit au registre des activités de traitement tenu par l’employeur (article 30 du RGPD), avec la mention de la finalité, de la base légale, des catégories de données collectées et des durées de conservation.

Les sanctions encourues par l’employeur

Les sanctions en cas de surveillance illicite sont multiples et se cumulent :

Sanctions administratives de la CNIL

La CNIL peut prononcer des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83 du RGPD). En pratique, les amendes prononcées contre les employeurs pour surveillance excessive des salariés oscillent entre 10 000 et 400 000 euros. En 2024, 87 sanctions ont été prononcées pour un montant total de 55 millions d’euros, et le bilan 2025 fait état de 83 sanctions pour un montant cumulé de 486 millions d’euros.

Sanctions prud’homales

Devant le conseil de prud’hommes, les preuves obtenues par un dispositif de surveillance illicite sont irrecevables. Un licenciement fondé exclusivement sur des preuves issues d’une vidéosurveillance non déclarée ou mise en place sans consultation du CSE sera jugé sans cause réelle et sérieuse. Le salarié pourra en outre obtenir des dommages et intérêts pour atteinte à sa vie privée.

Sanctions pénales

Sur le plan pénal, le fait de porter atteinte à l’intimité de la vie privée d’autrui par captation d’images ou de paroles prononcées à titre privé est puni de un an d’emprisonnement et 45 000 euros d’amende (article 226-1 du Code pénal). Le non-respect des formalités CNIL est également pénalement sanctionné (articles 226-16 et suivants du Code pénal).

La surveillance en télétravail : un sujet en pleine expansion

Le développement massif du télétravail a ouvert un nouveau champ de tensions entre contrôle patronal et vie privée. Certains employeurs ont recours à des logiciels de monitoring qui effectuent des captures d’écran régulières, mesurent le temps d’activité du clavier et de la souris, ou imposent l’activation permanente de la webcam.

La CNIL a clairement indiqué que ces pratiques sont disproportionnées et contraires au RGPD. Les captures d’écran toutes les quelques minutes constituent une surveillance particulièrement intrusive pouvant capter des éléments d’ordre privé (conversations personnelles, sites consultés, données bancaires). L’obligation de maintenir sa webcam activée en permanence est également illicite.

Bonnes pratiques en télétravail : L’employeur peut légitimement contrôler les résultats du travail (objectifs atteints, livrables, délais respectés) sans surveiller l’activité en temps réel. Le recours à des outils de reporting fondés sur des indicateurs de production est préférable à toute forme de monitoring intrusif.

Comment réagir en cas de contrôle CNIL ?

En cas de contrôle de la CNIL, l’employeur doit impérativement coopérer avec les agents de contrôle. L’absence de coopération constitue en elle-même un manquement sanctionnable. Il est recommandé de :

  • Désigner un interlocuteur unique pour les agents de la CNIL (idéalement le DPO)
  • Produire sans délai les documents demandés (registre des traitements, AIPD, mentions d’information)
  • Ne pas tenter de dissimuler ou détruire des éléments de preuve
  • Prendre immédiatement les mesures correctives nécessaires si des manquements sont identifiés

La surveillance des salariés obéit à une logique de proportionnalité et de transparence. Tout dispositif de contrôle doit être justifié par un intérêt légitime, proportionné au but recherché, et mis en place dans le respect des procédures d’information et de consultation. Les entreprises qui négligent ces règles s’exposent à des sanctions financières lourdes, à l’irrecevabilité des preuves recueillies et à un contentieux prud’homal défavorable. L’accompagnement par un avocat spécialisé en droit du travail et en données personnelles est vivement recommandé pour sécuriser les pratiques de l’entreprise.

📚 Pour aller plus loin

Besoin d'un accompagnement juridique ?

DAIRIA Avocats vous accompagne sur toutes vos problématiques en droit du travail et droit social.

Prendre rendez-vous →
← Tous les articles