L'arrêt à ne pas manquer | RGPD et sécurisation des process logistiques : le Conseil d’Etat prend position
Publié le :
22/01/2026
22
janvier
janv.
01
2026
Comment articuler la sécurisation des process logistiques et le respect du RGPD ? En censurant partiellement la délibération de la CNIL ayant condamné une société au paiement d’une amende de 32 millions d’euros, le Conseil d’Etat donne plusieurs exemples concrets de procédés jugés conformes aux dispositions du RGPD.
CE., 23 décembre 2025, n°492830
Mise en place de dispositifs de traitement de données à caractère personnel
Dans l’affaire ayant donné lieu à l’arrêt du Conseil d’Etat du 23 décembre dernier, la société contrôlée avait mis en place plusieurs outils lui permettant d’être alertée en temps réel sur les éventuelles erreurs de manipulation et de rangement commises au sein des entrepôts (émission et traitement d’un indicateur dès lors que moins de 1,25 secondes séparent deux lectures de code-barres d’articles à ranger) et sur les éventuelles interruptions d’activité présumées anormales (enregistrement de temps d’inactivité d’un scanner portatif utilisé par les salariés). L’utilisation de ces outils donnait lieu au traitement de certaines données à caractère personnel des salariés concernés.
Position de la CNIL : un traitement excessif au regard des intérêts légitimes de la société
A l’issue de plusieurs contrôles, la CNIL avait sanctionné la société concernée sur le fondement, notamment, de l’article 6 du RGPD. Selon ce texte, le traitement des données à caractère personnel n’est licite que s’il répond à au moins l’une des conditions qu’il liste, et notamment lorsqu’il est nécessaire « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ». Tout en reconnaissant la légitimité des traitements de données mis en place par la société au regard des impératifs de qualité et de sécurité de ses process de travail, mais également de la gestion de ses stocks, la CNIL avait estimé que les traitements de donnés litigieux étaient « disproportionné[s] au regard des droits et intérêts des salariés à la protection de leur vie privée et personnelle, ainsi qu’à des conditions de travail respectant leur santé et leur sécurité ».
Position du Conseil d’Etat : un traitement strictement nécessaire aux intérêts légitimes de la société
Ce n’est pas la position du Conseil d’Etat. Après avoir analysé précisément les conditions de mise en œuvre des traitements critiqués, le juge administratif censure ainsi partiellement la décision rendue par la CNIL. Il relève, d’abord, que le premier traitement (émission et traitement d’un indicateur dès lors que moins de 1,25 secondes séparent deux lectures de code-barres d’articles à ranger) était limité à certaines tâches réalisées par les salariés et qu’il avait pour objet de repérer d’éventuelles erreurs de manipulation et de rangement au sein des entrepôts afin d’y remédier, et non pas d’imposer aux employés des contraintes de rapidité d’exécution des tâches. Il relève ensuite que les indicateurs de temps d’inactivité n’étaient pas émis pour toute interruption d’activité, mais uniquement pour celles supérieures à 10 minutes, et qu’ils n’avaient pas vocation à régir les temps de pause légalement et contractuellement prévus au bénéfice des salariés. Il en déduit que les différents traitements mis en place par la Société étaient strictement nécessaires à la poursuite de ses intérêts légitimes et qu’ils ne portaient pas atteinte aux droits des salariés.
