Surveillance algorithmique au travail : comment prouver votre préjudice RGPD pour obtenir réparation ?
Une violation du RGPD par votre employeur ne suffit pas à obtenir réparation : depuis un arrêt clé de la Cour de Justice de l'Union Européenne de mai 2023, vous devez prouver un dommage concret et un lien de causalité. Avec plus de 43 % des entreprises françaises utilisant des outils de surveillance numérique, comprendre ces règles est essentiel pour tout salarié victime de collecte illégale de données.
Une violation du RGPD par votre employeur ne vous donne pas automatiquement droit à réparation : vous devez prouver un préjudice réel. Dans un contexte où les outils de surveillance algorithmique se multiplient en entreprise — monitoring de productivité, scoring comportemental, analyse des emails —, cette règle jurisprudentielle est cruciale à comprendre pour tout salarié qui s'estime victime d'une collecte illégale de données. Cet article vous explique précisément ce que vous devez démontrer pour obtenir des dommages-intérêts, à la lumière des arrêts récents de la CJUE et des juridictions françaises.
Le sujet est loin d'être théorique : selon le baromètre RH de Dares publié en 2025, plus de 43 % des entreprises françaises de plus de 50 salariés utilisent au moins un outil numérique de suivi de l'activité de leurs collaborateurs. Ces dispositifs — qu'il s'agisse de logiciels de time-tracking, d'analyses de frappes clavier, ou de scoring algorithmique de la performance — soulèvent des questions massives au regard du Règlement général sur la protection des données (RGPD). Mais obtenir réparation en cas d'abus est une autre affaire.
Contexte juridique
Le RGPD protège les salariés contre la surveillance illégale, mais la réparation exige la preuve d'un dommage concret, pas seulement d'une violation formelle.
Le cadre juridique applicable à la surveillance des salariés par l'IA repose sur plusieurs piliers. Le RGPD (Règlement UE 2016/679), entré en application en mai 2018, constitue le texte de référence. Son article 82 pose le principe de la responsabilité du responsable de traitement : toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir réparation. En apparence, le texte est favorable aux salariés.
Mais la Cour de Justice de l'Union Européenne (CJUE) a progressivement affiné cette lecture. Dans son arrêt fondateur C-300/21 (UI c/ Österreichische Post AG, 4 mai 2023), la CJUE a posé trois conditions cumulatives pour obtenir réparation :
- Une violation du RGPD doit être établie ;
- Un dommage matériel ou moral doit avoir été subi ;
- Un lien de causalité entre la violation et le dommage doit être démontré.
La Cour a expressément rejeté l'idée d'un préjudice automatique (ou dommage in re ipsa) : la seule constatation d'une infraction au RGPD ne suffit pas à ouvrir droit à réparation. Ce principe a été confirmé et précisé dans les arrêts C-687/21 et C-667/21 rendus le 14 décembre 2023.
En droit français, les juridictions prud'homales et civiles ont suivi cette ligne. La Cour de cassation, dans plusieurs arrêts rendus à partir de 2024, a refusé d'indemniser des salariés qui se bornaient à invoquer une violation formelle du RGPD sans articuler de préjudice précis et démontré.
Par ailleurs, l'AI Act européen, entré en vigueur en août 2024 et dont les obligations se déploient progressivement jusqu'en 2027, vient compléter ce dispositif pour les outils de surveillance classés à "haut risque" ou "risque inacceptable" (article 5 et annexe III). Certains systèmes de scoring émotionnel ou de surveillance biométrique en temps réel au travail tombent sous ces catégories, avec des sanctions propres — mais qui ne se confondent pas avec la réparation individuelle du salarié au titre du RGPD.
Analyse approfondie
Prouver un préjudice moral lié à une surveillance algorithmique illicite est possible, mais exige des éléments concrets : anxiété documentée, impact sur la carrière, atteinte à la dignité.
Ce que le salarié doit prouver
En pratique, le salarié victime d'une collecte illégale de données par un dispositif d'IA doit construire un dossier en trois volets :
1. La violation du RGPD — Il faut démontrer que l'employeur a méconnu au moins une disposition du règlement. Les violations les plus fréquentes dans le contexte de la surveillance IA sont :
- Absence de base légale (article 6 RGPD) : l'employeur ne peut pas invoquer l'intérêt légitime pour des traitements qui portent atteinte de manière disproportionnée aux droits des salariés ;
- Défaut d'information des salariés (articles 13 et 14 RGPD) ;
- Absence d'analyse d'impact (DPIA) obligatoire pour les traitements à risque élevé (article 35 RGPD) ;
- Violation des règles relatives aux décisions automatisées (article 22 RGPD) : tout salarié a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs à son égard.
2. Le dommage réel et personnel — C'est ici que le dossier se joue. Les juridictions françaises ont accepté d'indemniser :
- Des troubles psychologiques documentés (certificats médicaux, arrêts de travail) liés à une surveillance oppressive ;
- Une perte de chance professionnelle résultant d'un scoring erroné ayant orienté une décision de licenciement ou de non-promotion ;
- Une atteinte à la dignité lorsque la surveillance porte sur des données particulièrement sensibles (géolocalisation permanente, analyse des communications privées).
En revanche, le simple sentiment d'être surveillé ou l'inquiétude diffuse ne suffisent pas, selon la jurisprudence dominante issue de l'arrêt Österreichische Post.
3. Le lien de causalité — Il faut relier causalement la violation à son préjudice. Si un salarié est licencié après avoir été évalué par un algorithme non conforme au RGPD, il doit démontrer que cet algorithme a effectivement influencé la décision, et pas seulement qu'il existait.
Tableau comparatif : violations RGPD et chances d'indemnisation
| Type de violation | Préjudice automatique ? | Éléments de preuve requis | Montant indicatif |
|---|---|---|---|
| Absence d'information (art. 13) | Non | Gêne concrète documentée | 500 – 2 000 € |
| Décision automatisée illicite (art. 22) | Non | Impact sur carrière / emploi | 2 000 – 15 000 € |
| Surveillance biométrique illégale | Non | Atteinte dignité + justificatifs | 3 000 – 20 000 € |
| Fuite de données RH sensibles | Non | Préjudice matériel ou moral prouvé | Variable |
Sources : jurisprudence CJUE C-300/21 ; décisions prud'homales françaises 2024-2026 ; lignes directrices CNIL.
Le rôle de la CNIL
La Commission Nationale de l'Informatique et des Libertés peut sanctionner l'employeur indépendamment de toute action individuelle du salarié. En 2025, la CNIL a prononcé plusieurs mises en demeure et sanctions contre des entreprises utilisant des outils de monitoring IA sans conformité RGPD, dont une amende de 3,2 millions d'euros infligée à un groupe logistique pour surveillance GPS permanente de ses chauffeurs couplée à un scoring algorithmique sans information préalable. Mais ces sanctions CNIL n'ouvrent pas automatiquement droit à réparation pour les salariés concernés : ce sont deux procédures distinctes.
Implications pratiques
Pour le salarié, constituer un dossier de preuve dès la découverte de la surveillance est essentiel ; pour l'employeur, la conformité préventive reste la meilleure protection.
Perspective du salarié
Face à un dispositif de surveillance IA potentiellement illégal, plusieurs réflexes s'imposent :
- Demander l'accès aux données le concernant (droit d'accès, article 15 RGPD) : cette démarche est gratuite, l'employeur doit répondre dans un délai d'un mois, et la réponse peut révéler l'étendue de la collecte ;
- Documenter les effets : conserver tous les éléments attestant d'un impact concret (évaluation défavorable inexpliquée, mutation, mise à l'écart) ;
- Consulter les représentants du personnel : le CSE doit être informé et consulté avant tout déploiement d'un outil de surveillance (article L2312-38 du Code du travail) — l'absence de consultation est elle-même une violation pouvant être invoquée ;
- Saisir la CNIL : un signalement peut déclencher un contrôle et créer un contexte favorable à une action individuelle ultérieure.
Perspective de l'employeur
Pour les entreprises, la jurisprudence actuelle n'est pas une invitation à la négligence. Si elle exige du salarié la preuve d'un préjudice, elle n'efface pas le risque juridique :
- Les sanctions CNIL peuvent atteindre 4 % du chiffre d'affaires mondial (article 83 RGPD) ;
- L'AI Act impose des obligations supplémentaires pour les systèmes à haut risque, avec un calendrier de mise en conformité courant jusqu'en 2027 ;
- Un contentieux prud'homal fondé sur une violation prouvée du RGPD peut conduire à la requalification du licenciement en licenciement sans cause réelle et sérieuse si la décision reposait sur un traitement illicite.
La DPIA (analyse d'impact préalable) et la mise à jour du registre des traitements restent les meilleures armes préventives.
Points clés à retenir
- Pas de préjudice automatique : une violation du RGPD par un employeur, même avérée, ne donne pas automatiquement droit à des dommages-intérêts (CJUE, C-300/21).
- Trois conditions cumulatives : violation établie + dommage réel + lien de causalité entre les deux.
- Le préjudice moral est recevable mais doit être concret et documenté : anxiété médicalement attestée, atteinte à la dignité caractérisée.
- L'article 22 RGPD protège spécifiquement contre les décisions automatisées significatives sans intervention humaine — son non-respect est une violation grave et potentiellement indemnisable.
- La sanction CNIL et la réparation individuelle sont deux voies distinctes qui ne se conditionnent pas mutuellement.
- Le CSE doit être consulté avant tout déploiement d'outil de surveillance IA — l'absence de consultation est un moyen de droit supplémentaire pour le salarié.
- L'AI Act ajoute une couche de protection pour les systèmes classés à haut risque, mais sans créer de droit à réparation individuelle autonome.
Questions fréquentes
Mon employeur utilise un logiciel qui enregistre mes frappes clavier — est-ce légal ?
Ce type de dispositif (keylogger) est en principe illégal au regard du RGPD et de la jurisprudence de la Cour de cassation, sauf dans des hypothèses très restrictives. Il constitue une collecte de données disproportionnée et porte atteinte au secret des correspondances. Vous pouvez saisir la CNIL et conserver les preuves de son utilisation pour une action en réparation.
Puis-je obtenir des dommages-intérêts si mon employeur n'a pas fait de DPIA pour son outil de surveillance ?
L'absence de DPIA est une violation formelle du RGPD (article 35), mais elle ne suffit pas seule à vous indemniser. Vous devrez démontrer qu'elle vous a causé un préjudice concret — par exemple, que l'outil a été déployé sans garde-fous et a produit des décisions injustes à votre encontre.
Quel est le montant habituel des dommages-intérêts accordés pour une violation RGPD au travail ?
Les montants varient considérablement selon le préjudice. Les juridictions françaises accordent généralement entre 500 et 2 000 € pour un défaut d'information, et jusqu'à 15 000 à 20 000 € lorsque la violation a entraîné une conséquence grave sur l'emploi ou constitue une atteinte sérieuse à la dignité. Il n'existe pas de barème fixe.
L'algorithme de mon entreprise m'a mal évalué et j'ai été licencié — que faire ?
Demandez d'abord l'accès à vos données (article 15 RGPD) et à une explication de la logique de l'algorithme (article 22 RGPD). Si la décision de licenciement est fondée exclusivement sur un traitement automatisé sans intervention humaine réelle, c'est une violation caractérisée. Consultez un avocat spécialisé pour articuler un préjudice de perte d'emploi liée à ce traitement illicite.
La CNIL a sanctionné mon employeur — ai-je automatiquement droit à une indemnisation ?
Non. La sanction CNIL est une procédure administrative distincte de votre action individuelle en réparation. Elle peut néanmoins constituer un élément de preuve précieux pour établir la violation devant le juge prud'homal ou civil.
Mon employeur peut-il invoquer l'"intérêt légitime" pour justifier un monitoring IA de ma productivité ?
L'intérêt légitime (article 6.1.f RGPD) n'est pas une base légale valable si le traitement est disproportionné par rapport à son objectif. La CNIL considère que la surveillance permanente et généralisée des salariés ne peut pas reposer sur cette base — l'employeur doit démontrer que la mesure est nécessaire, proportionnée et que les droits des salariés ne prévalent pas.
Quel est le délai de prescription pour agir en réparation d'une violation RGPD au travail ?
En matière de responsabilité civile extracontractuelle, le délai est de 5 ans à compter du jour où la victime a eu connaissance du dommage (article 2224 du Code civil). En matière prud'homale, pour une action liée à l'exécution du contrat de travail, le délai est de 2 ans (article L1471-1 du Code du travail). Il est donc crucial d'agir rapidement dès la découverte de la violation.
Le score de performance généré par l'IA peut-il être contesté devant le juge ?
Oui. Si ce score a servi de fondement à une décision vous affectant (sanction, licenciement, refus de promotion), vous pouvez en contester la légalité sur le fondement de l'article 22 RGPD, mais aussi demander au juge de vérifier que l'algorithme n'introduit pas de biais discriminatoires contraires à l'article L1132-1 du Code du travail. Ces deux fondements sont cumulables.
Article rédigé en juillet 2026. Les informations présentées reflètent l'état du droit à cette date et ne constituent pas un conseil juridique personnalisé. Pour toute situation individuelle, consultez un avocat spécialisé en droit du travail et en protection des données.
Questions fréquentes
- Une violation du RGPD par mon employeur me donne-t-elle automatiquement droit à des dommages-intérêts ?
- Non. Depuis l'arrêt CJUE C-300/21 du 4 mai 2023, la seule constatation d'une violation du RGPD ne suffit pas. Vous devez prouver trois éléments cumulatifs : la violation, un dommage matériel ou moral réel, et un lien de causalité entre les deux.
- Quels types de surveillance en entreprise sont concernés par le RGPD ?
- Sont concernés les logiciels de time-tracking, l'analyse des frappes clavier, le scoring comportemental ou de performance, la surveillance des emails et tout outil numérique collectant des données personnelles sur les salariés sans base légale valide.
- Comment prouver un préjudice moral lié à une surveillance algorithmique illicite ?
- Le salarié peut invoquer une anxiété documentée (certificats médicaux, arrêts de travail), un impact négatif sur sa carrière (sanctions, mise à l'écart) ou une atteinte à sa dignité. Des éléments concrets et datés sont indispensables pour convaincre le juge.
- Quelle est la différence entre les sanctions RGPD de la CNIL et l'indemnisation individuelle du salarié ?
- La CNIL peut sanctionner l'employeur (amende administrative) pour violation du RGPD indépendamment de tout préjudice individuel. Mais pour obtenir une indemnisation personnelle, le salarié doit agir en justice et prouver son propre dommage devant le conseil de prud'hommes ou le tribunal civil.
- L'AI Act européen renforce-t-il la protection des salariés face à la surveillance algorithmique ?
- Oui, partiellement. L'AI Act, en vigueur depuis août 2024, classe certains outils (scoring émotionnel, surveillance biométrique en temps réel) comme systèmes à haut risque ou risque inacceptable, imposant des obligations spécifiques aux employeurs. Mais ses sanctions restent distinctes de l'indemnisation individuelle prévue par le RGPD.