La CNIL reprochait, notamment, à la société d’avoir mis en place des outils permettant de collecter des indicateurs précis de performance individuelle, notamment via les dispositifs dits « stow machine gun », « idle time » et « temps de latence ».
Selon l’autorité de contrôle, ces traitements portaient une atteinte excessive aux droits des salariés et ne reposaient pas sur une base légale valable.
Sur ce fondement, la CNIL avait infligé à AFL une amende administrative de 32 millions d’euros, calculée sur la base de son chiffre d’affaires global, en tant qu’unité économique poursuivant un but économique déterminé (délibération SAN-2023-021 du 27 décembre 2023).
Amazon a contesté cette décision devant le Conseil d’Etat, estimant que la CNIL avait procédé à une appréciation erronée tant sur les fondements que sur l’évaluation de la sanction.
Surveillance des salariés et RGPD : ce que confirme et censure le Conseil d’État
Par sa décision du 23 décembre 2025, le Conseil d’Etat opère un examen approfondi de la licéité des traitements contestés.
La Haute juridiction confirme tout d’abord plusieurs griefs retenus par la CNIL, en particulier :
- La violation du principe de minimisation des données (article 5 du RGPD), en raison d’une conservation excessive et insuffisamment justifiée des données de productivité pendant 31 jours ;
- Le défaut d’information des salariés intérimaires sur les dispositifs de vidéosurveillance (articles 12 et 13 du RGPD) ;
- Ainsi que des insuffisances en matière de sécurité des données (article 32 du RGPD).
Par conséquent, ces manquements justifient le principe même d’une sanction administrative selon le Conseil d’Etat.
En revanche, le juge administratif censure l’analyse de la CNIL concernant l’absence de base légale des indicateurs de suivi de l’activité.
En effet, la Haute juridiction considère que les dispositifs litigieux :
- poursuivent des objectifs opérationnels légitimes liés à l’organisation logistique des entrepôts,
- ne mettent pas en place une surveillance permanente ou systématique et,
- ne portent pas une atteinte disproportionnée aux droits des salariés.
Le juge administratif reconnaît ainsi que ces traitements pouvaient valablement reposer sur l’intérêt légitime de l’employeur au sens de l’article 6 du RGPD, et reproche à la CNIL une erreur d’appréciation sur ce point.
Sanction CNIL et RGPD : le Conseil d’État réévalue le montant de l’amende
Tirant les conséquences de cette réformation partielle, le Conseil d’Etat juge que le montant initial de 32 millions d’euros n’est plus proportionné au regard des manquements confirmés.
C’est pourquoi, en application des critères de l’article 83 du RGPD (nature, gravité et durée des manquements, caractère intentionnel, mesures correctrices, etc.), le Conseil d’Etat réajuste la sanction à un montant « proportionné, effectif et dissuasif » en réduisant l’amende à 15 millions d’euros.
Surveillance des salariés : enseignements pratiques RGPD pour les employeurs
Cette décision permet de poser un cadre pour l’utilisation des dispositifs de vidéosurveillance pour les employeurs, en particulier dans les environnements fortement organisés ou industrialisés.
Il est en effet impératif de :
Documenter précisément l’intérêt légitime poursuivi : Chaque outil de suivi doit être justifié par une finalité déterminée, légitime et explicite.
Limiter strictement les durées de conservations : Durées de conservation, niveau de détail et volumes de données doivent être strictement justifiés.
Distinguer suivi opérationnel et évaluation individuelle : Un indicateur technique n’est pas nécessairement un outil d’évaluation, mais encore faut-il que son usage le démontre.
Sécuriser l’accès aux dispositifs techniques : Les accès aux outils de surveillance doivent être rigoureusement encadrés
Soigner l’information des salariés et des intérimaires : Les obligations de transparence demeurent un point de vigilance majeur pour la CNIL.
Ce qu’il faut retenir de la décision du Conseil d’État
Avec cette décision, le Conseil d’Etat rappelle que le RGPD n’interdit pas aux entreprises d’organiser et de mesurer l’activité de leurs salariés, mais impose une approche mesurée, documentée et proportionnée.
Un équilibre subtil, que les employeurs doivent désormais intégrer au cœur de leurs pratiques de conformité.
Ainsi, le Conseil d’Etat confirme son rôle de juge de l’équilibre entre protection des données personnelles et exigences économiques.
***
Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.