La société AMAZON FRANCE LOGISTIQUE ci-après " la société " ou " AFL ", société par actions simplifiée immatriculée au registre du commerce et des sociétés le 3 janvier 2000, est située 67 boulevard du général Leclerc à Clichy (92110). Son chiffre d’affaires s’élevait à 1,135 milliard d’euros en 2021, pour un résultat net de 58,9 millions d’euros.
La société AFL est directement détenue par la société Amazon EU SARL située au Luxembourg, elle-même détenue à 100% par la société Amazon.com Inc., située aux Etats-Unis.
La société fournit des services de support logistique dans le cadre de son activité de distribution de colis en France. Elle gère ainsi des centres de distribution de grande taille en France, au sein desquels elle reçoit, stocke les articles et prépare les colis à livrer. En novembre 2019, la société comptait environ 6 200 employés en contrat à durée indéterminée. Pour l’année 2019, elle avait eu recours à 21 582 intérimaires.
En novembre 2019, en application de la décision n° 2019-187C de la présidente de la Commission du 26 septembre 2019, plusieurs missions de contrôle sur place ont été menées dans les locaux administratifs occupés par plusieurs entités françaises d’Amazon et au sein de la société. Les deux premières missions de contrôle, menées les 5 et 6 novembre 2019, ont permis aux services de la CNIL d’appréhender les traitements de données à caractère personnel mis en œuvre par les entités du groupe Amazon en France à l’égard de ses salariés. Les trois dernières missions de contrôle des 13, 14 et 19 novembre 2019, réalisées au sein des entrepôts de Lauwin-Planque et de Montélimar, se sont concentrées sur les traitements mis en œuvre par la société AFL, à savoir, les traitements relatifs au suivi de l’activité des salariés ainsi que les dispositifs de vidéosurveillance mis en œuvre par la société. Ces missions ont donné lieu à l’établissement des procès-verbaux n° 2019-187.1, 2019-187.2, 2019-187.4, 2019-187.5 et 2019-187.6.
A la suite des contrôles sur place, une instruction écrite s’est poursuivie et de nombreux échanges ont eu lieu entre les services de la CNIL et la société du mois de novembre 2019 au mois de janvier 2021.
Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 28 janvier 2021, désigné M. François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 22 de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après " la loi du 6 janvier 1978 modifiée " ou " la loi Informatique et Libertés ").
À l’issue de son instruction, le rapporteur a, le 4 avril 2022, fait notifier à la société un rapport détaillant les manquements aux articles 5-1-a), 5-1-c), 6, 12, 13 et 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le Règlement " ou le " RGPD ") qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Le 20 juin 2022, la société a produit ses observations en réponse au rapport de sanction.
Le 9 novembre 2022, la société a été entendue à sa demande afin d’apporter des précisions sur les traitements de données mis en œuvre à l’égard de ses salariés. Cette audition a donné lieu à l’établissement d’un procès-verbal sur lequel la société a formulé des commentaires transmis à la Commission et au rapporteur le 14 novembre 2022. La société a également adressé au rapporteur, par courriel du 16 novembre 2022, des réponses aux questions listées dans le procès-verbal d’audition.
Le rapporteur a répondu aux observations de la société le 6 décembre 2022.
Le 23 mai 2023, la société a produit de nouvelles observations en réponse à celles du rapporteur.
Par courrier du 20 juillet 2023, le rapporteur a informé la société et le président de la formation restreinte de la clôture de l’instruction.
Le 24 juillet 2023, le président de la formation restreinte a adressé à la société une convocation à la séance de la formation restreinte du 14 septembre 2023.
Le rapporteur et la société ont présenté des observations orales lors de cette séance.

La CNIL a estimé que le système de suivi de l’activité et des performances des salariés était excessif, notamment pour les raisons suivantes :
• Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place. La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
• La CNIL a jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif. En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
• De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.
La CNIL n’a pas remis en cause le fait que les contraintes très fortes pesant sur l’activité d’Amazon, et les objectifs de performance élevée que l’entreprise s’est fixés, peuvent justifier le dispositif de scanner, mis en place pour la gestion de son activité. Mais elle a estimé que la conservation de toutes ces données et des indicateurs statistiques en résultant était globalement disproportionnée.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.
Afin de déterminer le montant de la sanction, la formation restreinte a notamment pris en compte le fait que les traitements des données des salariés au moyen des scanners se distinguaient des méthodes de suivi d’activité classique en raison de l’échelle à laquelle ils étaient mis en œuvre, tant au regard de leur exhaustivité que de leur permanence, et conduisait à un suivi très resserré et détaillé du travail des salariés.
De tels systèmes maintenaient les salariés sous une surveillance étroite pour toutes les tâches effectuées avec des scanners et faisaient ainsi peser sur eux une pression continue. Elle a également pris en compte le nombre important de personnes concernées (plusieurs milliers) et a considéré que les contraintes imposées aux salariés via ce suivi informatique participaient directement aux gains économiques de la société et lui permettait de bénéficier d’un avantage concurrentiel sur les autres entreprises du secteur de la vente en ligne.
La CNIL a retenu plusieurs manquements au RGPD à l’encontre de la société AMAZON FRANCE LOGISTIQUE
.
I_SUR LES MANQUEMENTS LIES AU SUIVI DE L’ACTIVITE DES SALARIES A L’AIDE DES SCANNERS
Des manquements en lien avec la gestion des stocks et des commandes dans l’entrepôt
La société utilise des indicateurs sur l’activité et la performance des salariés, collectés à l’aide des scanners afin de gérer les stocks et les commandes dans ses entrepôts en temps réel.

II_SUR LES MANQUEMENTS AU PRINCIPE DE MINIMISATION DES DONNEES (ARTICLE 5.1.C DU RGPD)
Le processus de gestion des stocks et des commandes se décompose en plusieurs tâches (réception des articles, stockage de l’inventaire, préparation et expédition des commandes) et repose également sur une gestion de chaque salarié afin de lui apporter, si nécessaire, une aide dans l’exécution de ces tâches (coaching) ou le réaffecter sur d’autres missions en cas de besoin.
Or, la formation restreinte considère que la fourniture d’une aide au salarié ou sa réaffectation en temps réel ne nécessitent pas d’accéder aux moindres détails des indicateurs de qualité et de productivité du salarié qui ont été collectés au moyen des scanners sur le dernier mois. Elle relève que les superviseurs peuvent déjà s’appuyer sur les données remontées en temps réel pour repérer toute difficulté d’un salarié pouvant nécessiter un coaching ou pour identifier les salariés à réaffecter à une tâche en cas de pic d’activité. Elle estime donc qu’en complément des données remontées en temps réel, une sélection de données agrégées, par exemple hebdomadaire, serait suffisante.

III_SUR LES MANQUEMENTS A LA LICEITE DU TRAITEMENT (ARTICLE 6 DU RGPD)
La formation restreinte considère que trois indicateurs traités par la société sont illégaux :
• l’indicateur « Stow Machine Gun » qui signale une erreur lorsqu’un salarié scanne un article « trop rapidement » (soit en moins de 1,25 seconde après avoir scanné un précédent article) ;
• l’indicateur « idle time » (« temps d’inactivité »), qui signale des périodes d’interruption d’un scanner de dix minutes et plus ;
• l’indicateur « temps de latence inférieurs à dix minutes », qui signale des périodes d’interruption d’un scanner entre une à dix minutes.
Sans remettre en cause le besoin d’un suivi précis des manipulations effectuées et de la situation de chaque salarié, pour assurer la qualité du service et la sécurité dans ses entrepôts, la formation restreinte relève néanmoins que le traitement de ces trois indicateurs ne peut reposer sur l’intérêt légitime, car il conduit à une surveillance informatique excessive du salarié au regard de l’objectif poursuivi par la société.
Premièrement, le traitement de l’indicateur Stow Machine Gun permet de suivre de manière constante tout rangement effectué par un salarié à la seconde près et d’y associer une erreur en cas de rangement trop rapide.
Deuxièmement, l’utilisation des indicateurs « idle times » et « temps de latence inférieurs à dix minutes » permet de suivre en permanence tout temps d’interruption du scanner d’un salarié sur une tâche directe, même très court (moins de dix minutes ou dès dix minutes).
Or, la formation restreinte note que la société accède déjà à de nombreux indicateurs en temps réel, individuels comme agrégés, pour atteindre l’objectif de qualité et de sécurité dans ses entrepôts.
Elle relève aussi que le traitement de ces deux indicateurs conduit le salarié à devoir potentiellement justifier à tout moment de tout temps, même très court, d’interruption de son scanner.
Ainsi, tel que mis en œuvre, le traitement est jugé excessivement intrusif.
Des manquements en lien avec la planification du travail et l’évaluation des salariés
La société utilise également les données et indicateurs d’activité et de performance des salariés collectées à l’aide des scanners pour planifier le travail dans ses entrepôts, évaluer les salariés chaque semaine et les former.

VI_SUR LES MANQUEMENTS AU PRINCIPE DE MINIMISATION DES DONNEES (ARTICLE 5.1.C DU RGPD)
La formation restreinte considère que la planification du travail dans les entrepôts ainsi que l’évaluation et la formation du salarié ne nécessitent pas d’accéder aux moindres détails des données et indicateurs statistiques fournis par le scanner utilisé par le salarié et remontés sur le dernier mois.
Elle estime que des statistiques par salarié, par exemple agrégées sur la semaine, suffisent pour apprécier la maîtrise d’une tâche par un salarié et composer des équipes pertinentes. De la même manière, de telles statistiques fournissent un aperçu des performances du salarié et suffisent pour évaluer, identifier un besoin en formation ou suivre sa courbe de progression.
Enfin, la formation restreinte considère que l’objectif visant à contrôler le travail effectif du salarié, l’évaluer ou le former ne justifie pas non plus de recenser tout temps d’inactivité de plus de dix minutes.
Du manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
La formation restreinte a constaté que jusqu’en avril 2020, les intérimaires travaillant pour la société n’étaient pas correctement informés, puisque la société ne s’assurait pas que la politique de confidentialité leur avait bien été remise avant que leurs données personnelles ne soient collectées au moyen des scanners.

V_SUR LES MANQUEMENTS LIES AUX TRAITEMENTS DE VIDEOSURVEILLANCE
Du manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
La formation restreinte a relevé que les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance, puisque certaines informations exigées par l’article 13 du RGPD n’étaient fournies ni sur les panneaux d’affichage, ni dans d’autres supports ou documents.
Du manquement à l’obligation de sécurité (article 32 du RGPD)
La formation restreinte a relevé que l’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé, puisque le mot de passe d’accès n’était pas d’une robustesse suffisante et que le compte d’accès était partagé entre plusieurs utilisateurs. Ce cumul de défauts de sécurité rend la traçabilité des accès aux images vidéo, ainsi que l’identification de chaque personne ayant effectué des actions sur le logiciel, plus difficiles.