Vidéosurveillance dissimulée : Manquement au principe de transparence — sanction CNIL (La Samaritaine)

Introduction : La Cnil fixe le standard de la transparence

La Commission nationale de l'informatique et des libertés (CNIL) a marqué un coup d'arrêt à l'usage abusif de la vidéosurveillance par un employeur, en ciblant le célèbre grand magasin parisien La Samaritaine.

Suite à un contrôle déclenché par une plainte et un article de presse paru le 25 novembre 2023 par Médiapart, l'autorité de contrôle a officialisé une sanction administrative le 18 septembre 2025. Cette décision rappelle l'impératif de transparence et de proportionnalité dans le traitement des données des salariés.

Une amende a été infligée au grand magasin pour avoir dissimulé des caméras dans ses réserves et pour plusieurs manquements corrélatifs au Règlement Général sur la Protection des Données (RGPD).

I. Décision de sanction : amende et manquements fondamentaux

A. Contexte factuel : installation de caméras dissimulées

En août 2023, La Samaritaine a installé de nouvelles caméras dans deux de ses réserves afin de lutter contre l’augmentation des vols de marchandises. Le dispositif était caractérisé par sa dissimulation : les caméras prenaient l’apparence de détecteurs de fumées.

Bien que l'installation ait été de courte durée, les caméras ayant été découvertes par des salariés et retirées dès septembre 2023, cette méthode a immédiatement soulevé des questions de légalité. Le contrôle de la CNIL a eu lieu dans les jours suivant la réception de la plainte.

B. Le fondement juridique : Violation du principe de loyauté (Article 5-1-a)

L'un des principaux manquements sanctionnés est celui à l’obligation de traiter les données de manière loyale. Selon la CNIL, les caméras de vidéosurveillance filmant les salariés doivent en principe être visibles et non dissimulées.

La jurisprudence de la CNIL, ainsi que celle de la Cour européenne des droits de l’homme (CEDH), admet que l’installation de caméras dissimulées par un employeur peut être autorisée, mais seulement dans des circonstances exceptionnelles.

L'entreprise doit alors justifier que le dispositif est temporaire et maintenir un juste équilibre entre la protection des biens et la protection de la vie privée des salariés.

Bien que La Samaritaine ait rapporté l’existence de vols et que les caractéristiques techniques du matériel suggèrent un dispositif temporaire, elle n’a pas respecté les garanties procédurales. L'entreprise n'a mené aucune analyse préalable de conformité au RGPD ni documenté le caractère temporaire de l'installation. Ce manquement à la loyauté est associé à un manquement au principe de responsabilité (Articles 5-1-a et 5-2 du RGPD).

II. Violation des principes de minimisation et de proportionnalité

A. L'excès de collecte : Le problème de l'enregistrement sonore

Le dispositif de vidéosurveillance illicite présentait une fonctionnalité jugée particulièrement intrusive : ces caméras étaient équipées de micros permettant d’enregistrer le son.

La CNIL a statué que l’enregistrement sonore des salariés était excessif. Les conversations entre salariés, relevant potentiellement de la sphère personnelle, ont été enregistrées.

B. Mesures exceptionnelles : justification et documentation requises

Cette collecte de données allant au-delà de la nécessité de filmer les réserves pour identifier des vols constitue un manquement au principe de minimisation des données (Article 5-1-c du RGPD). Ce principe impose de ne collecter que des données qui sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

La CNIL a souligné qu’un tel dispositif exceptionnel doit être déployé après une analyse documentée de sa compatibilité avec le RGPD. L'absence de telles garanties a renforcé le jugement de disproportionnalité de la mesure.

III. Manquement à la responsabilité et à la gouvernance RGPD

La sanction de 100 000 euros résulte également d'une gestion interne déficiente en matière de protection des données, attestant d'un défaut de responsabilité (Article 5-2 du RGPD).

A. L'exclusion du Délégué à la Protection des Données (DPD)

La Samaritaine n'a pas respecté son obligation d’associer le Délégué à la Protection des Données aux questions relatives à la protection des données à caractère personnel. La DPD n'a été informée de l’existence du dispositif qu'après plusieurs semaines suivant son installation.

La CNIL a rappelé que si la DPD avait été consultée en amont (conformément à l'article 38-1 du RGPD), elle aurait pu alerter l'entreprise sur les mesures nécessaires pour limiter les risques, garantissant ainsi le juste équilibre entre la sécurité et la vie privée des employés.

B. L'absence de traçabilité dans le registre des traitements

De plus, aucune trace écrite de la mise en place du dispositif n'a été retrouvée. Le système de vidéosurveillance dissimulée n’apparaissait ni dans le registre des traitements, ni au sein de l'analyse d’impact (AIPD) de la société. Cette absence de documentation illustre un manquement au principe de responsabilité, car l'entreprise n'a pas pu démontrer qu'elle avait pris les mesures de conformité nécessaires lors de l'activation d'un traitement présentant un risque élevé pour les droits et libertés des personnes.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus