La CNIL a infligé une amende de 100 000 € à la société exploitant le magasin « La Samaritaine » pour avoir dissimulé des caméras ressemblant à des détecteurs de fumée dans des réserves, avec enregistrement du son des salariés. En jeu : absence d’analyse préalable RGPD, dispositif non documenté, DPO écartée, et non-notification d’une violation de données. L’autorité rappelle que la vidéosurveillance cachée n’est admissible qu’à titre exceptionnel, pour une durée temporaire, et sous fortes garanties. Décryptage et bonnes pratiques à adopter.
1. Ce que la décision dit clairement : l’exception ne doit jamais devenir la règle
Par une délibération du 18 septembre 2025 rendue publique le 23 septembre 2025, la formation restreinte de la CNIL a sanctionné La Samaritaine à 100 000 € pour avoir installé cinq caméras dissimulées dans deux réserves, assorties de micros captant des conversations de salariés. La finalité affichée était la prévention des vols, mais l’autorité a relevé plusieurs manquements au RGPD : défaut de transparence et de loyauté (art. 5-1-a), manquement au principe de responsabilité (« accountability », art. 5-2), violation du principe de minimisation (art. 5-1-c), absence d’implication du DPO (art. 38-1) et non-notification d’une violation de données (art. 33).
En filigrane, la CNIL rappelle une ligne directrice simple : surveiller des salariés en cachette n’est tolérable que dans des circonstances exceptionnelles, dûment justifiées et strictement encadrées dans le temps. C’est une application constante de la jurisprudence européenne : la CEDH a admis, à titre dérogatoire, des caméras non visibles lorsqu’il existe des soupçons raisonnables d’irrégularités graves et lorsque la proportionnalité est respectée (arrêt López Ribalda et autres c. Espagne, Grande Chambre, 17 octobre 2019, n° 1874/13 et 8567/13).
2. Pourquoi le dispositif tombait sous le couperet : temporarité non prouvée, documentation absente
Même face à une recrudescence de vols, un recours à des caméras dissimulées doit rester temporaire et documenté. Ici, la société n’a pas réussi à démontrer le caractère provisoire du montage : pas de mention dans le registre des traitements, pas de documents internes (ex. bon de commande ou fiche projet) établissant l’objectif, le périmètre, la durée et les garanties, et AIPD (analyse d’impact) complétée après coup seulement. Résultat : traitement jugé déloyal et non responsable au sens des articles 5-1-a et 5-2 du RGPD.
Point d’attention pour les employeurs : ce n’est pas l’apparence « non pérenne » du matériel (batterie, absence de raccordement au système principal) qui suffit. Seule la traçabilité écrite prouvant la temporarité (dates de mise en service et de retrait, déclencheurs objectifs, critères d’arrêt) et la proportionnalité (zones filmées, horaires, masquages, durée de conservation) permet d’emporter la conviction en cas de contrôle.
3. Le son, la DPO et l’incident : trois erreurs qui coûtent cher
Captation sonore excessive. En ajoutant des micros aux caméras, l’employeur a collecté des conversations privées de salariés sans nécessité particulière. La CNIL rappelle que la voix est une donnée personnelle : si le son n’est pas strictement indispensable à la finalité (ex. preuve d’un vol), sa captation viole la minimisation (art. 5-1-c). L’argument d’une activation « involontaire » du micro n’a pas convaincu.
DPO tenue à l’écart. Le RGPD impose d’associer le DPO « en temps utile » aux projets impliquant des données personnelles (art. 38-1). Ici, la DPO a été informée après l’installation et le retrait du dispositif : trop tard pour conseiller et prévenir les risques. Même en cas d’urgence opérationnelle, l’implication amont du DPO est un garde-fou non négociable.
Violation de données non notifiée. Lors du démontage, deux cartes SD contenant images et sons ont été emportées par des salariés : perte de contrôle = violation de données devant être notifiée à la CNIL dans les 72 heures (art. 33 RGPD) et inscrite dans le registre des incidents. La société a tardé à qualifier l’événement, ce qui constitue un manquement supplémentaire.
A retenir :
La caméra cachée n’est pas un outil de gestion ordinaire. Elle n’est défendable qu’à titre exceptionnel, pour une courte durée, et avec des garanties écrites.
Le son est (quasi) toujours de trop. Évitez la captation audio, jugée excessive sauf nécessité démontrée.
Le DPO est votre pare-feu. L’impliquer avant le déploiement évite des non-conformités coûteuses.
Anticipez les incidents. Toute perte de contrôle (ex. carte SD emportée) = violation à qualifier et, le cas échéant, notifier sous 72 h.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
