Le marché du « bossware » (ces logiciels qui permettent aux employeurs de suivre l’activité de leurs salariés à distance) est en pleine expansion depuis la généralisation du télétravail. Une étude publiée tou récemment vient de documenter ce que ces outils font réellement des données qu’ils collectent. Les chercheurs ont intercepté le trafic réseau de neuf plateformes de surveillance parmi les plus répandues. Le résultat est net : les neuf transmettent des données personnelles de salariés à des tiers.
Quels sont ces outils et que transmettent-ils ?
Les neuf plateformes passées au crible sont Apploye, Buddy Punch, Deputy, Desklong, Hubstaff, Monitask, Time Doctor 2, Vericlock et When I Work. Toutes sont disponibles en France et commercialisées auprès d’entreprises européennes. Les données transmises comprennent noms, adresses email et données d’activité des salariés. Au total, plus de 145 domaines tiers reçoivent ces informations, parmi lesquels Google, Meta, Microsoft, LinkedIn, Yandex et AppLovin.
Un tiers des outils testés transmet également la géolocalisation précise du salarié, y compris en arrière-plan (c’est-à-dire quand l’application tourne sans que l’utilisateur en soit conscient). Les chercheurs ont contacté les neuf éditeurs pour leur demander des explications. Quatre ont répondu. L’un d’entre eux, Time Doctor, a répondu par chatbot automatique (un logiciel de surveillance qui délègue sa propre transparence à un robot, la boucle est bouclée).
Pourquoi ces pratiques sont déjà illégales en France
En droit français, cette transmission de données à des régies publicitaires tierces entre en collision frontale avec plusieurs textes. Le RGPD impose la minimisation des données collectées (article 5) et exige une base légale explicite pour chaque traitement (article 6). Le Code du travail, lui, pose le principe de proportionnalité des restrictions aux libertés individuelles des salariés (L.1121-1) et l’obligation d’informer préalablement de tout dispositif de collecte (L.1222-4). La CNIL a par ailleurs jugé que les captures d’écran continues et la géolocalisation permanente sans possibilité de désactivation sont « ni pertinentes ni proportionnées ».
Le précédent le plus parlant est celui d’Amazon France Logistique. La CNIL lui a infligé 32 millions d’euros d’amende en décembre 2023 pour surveillance « excessivement intrusive » de ses salariés en entrepôt (indicateurs de productivité à la seconde, temps d’inactivité, latence entre deux scans de colis). Le Conseil d’État a réduit cette amende à 15 millions d’euros en décembre 2025, mais a confirmé le manquement au principe de minimisation des données. Les neuf outils documentés dans cette étude reproduisent exactement le mécanisme sanctionné chez Amazon, à une différence près : ils ajoutent la transmission à des tiers publicitaires, ce qu’Amazon ne faisait même pas.
Pour les salariés français concernés, le droit d’accès prévu par le RGPD permet d’exiger de son employeur la liste des outils de surveillance déployés et le registre des traitements associés. Le genre de demande qui refroidit sensiblement l’enthousiasme pour le bossware.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Stephanie Nguyen, Levi Kaplan, David Choffnes, Alan Mislove, Seth Frotman, Erie Meyer
