CNIL | SAN-2025-008 | 18 SEPTEMBRE 2025 | AFFAIRE SAMARITAINE SAS |
1. Des caméras dissimulées dans des détecteurs de fumée : un traitement intrinsèquement déloyal
En août 2023, la société SAMARITAINE SAS a installé dans les réserves de son magasin parisien cinq caméras « test » dont l’apparence extérieure imitait celle de détecteurs de fumée. Installées sans documentation, sans bon de commande, sans inscription au registre des activités de traitement et sans intégration préalable à l’analyse d’impact, ces caméras ont enregistré des images et du son pendant plusieurs semaines à l’insu des salariés. La formation restreinte a retenu un manquement aux articles 5-1-a et 5-2 du RGPD en considérant que le caractère trompeusement dissimulé du dispositif constituait, en soi, un traitement déloyal. Même si la jurisprudence de la CEDH (arrêt López Ribalda, 17 octobre 2019) admet le recours à des caméras dissimulées dans des circonstances exceptionnelles, cette admissibilité est subordonnée à une condition absolue : le responsable de traitement doit analyser la compatibilité du dispositif avec le RGPD, l’attester — notamment quant à son caractère temporaire — et pouvoir en rendre compte. Aucune de ces conditions n’était remplie en l’espèce. Le fait que les salariés aient été informés de la présence d’un dispositif classique dans les réserves n’a pas été jugé suffisant : précisément parce que les caméras « test » prenaient l’apparence de détecteurs de fumée, les salariés ne pouvaient raisonnablement pas s’attendre à leur existence, et le dispositif était objectivement susceptible de les tromper.
2. La captation sonore, données excessives au regard de la finalité déclarée
Les caméras installées étaient équipées de microphones et ont capté des conversations entre salariés, dont une dans laquelle l’un d’eux évoquait son départ de l’entreprise. La formation restreinte a retenu un manquement au principe de minimisation prévu par l’article 5-1-c du RGPD, en considérant que la captation sonore était structurellement excessive au regard de la finalité déclarée par la société — identifier les angles de prises de vue optimaux pour de futures caméras permanentes. Cette finalité pouvait être atteinte par le seul enregistrement d’images, sans captation du son. La société avait soutenu qu’elle ignorait que les caméras étaient dotées de microphones, ayant laissé au prestataire de remplacement le soin de choisir le modèle. La formation restreinte a écarté cet argument en observant que l’emballage et la notice d’utilisation des appareils mentionnaient explicitement la fonctionnalité audio. En vertu des principes d’accountability des articles 5-2 et 24 du RGPD, le responsable de traitement est tenu de s’assurer des caractéristiques techniques des équipements qu’il déploie, particulièrement lorsqu’ils ont vocation à traiter des données de personnes dans un espace de travail. L’ignorance alléguée ne constitue pas un facteur exonératoire lorsque les informations permettant de connaître les caractéristiques du dispositif étaient disponibles et accessibles avant l’installation.
3. Le vol des cartes SD : une violation de données non qualifiée, non notifiée et non documentée
Lors du démontage des caméras en septembre 2023, des salariés ont conservé deux cartes SD contenant les enregistrements vidéo et sonores réalisés par le dispositif. La formation restreinte a qualifié cet incident de violation de données à caractère personnel au sens de l’article 4-12 du RGPD : la perte de contrôle par le responsable de traitement d’un matériel contenant des données à caractère personnel est explicitement mentionnée comme exemple typique de violation dans les lignes directrices du CEPD et dans les communications publiques de la CNIL. La société a soutenu qu’elle n’avait pris conscience du caractère de violation de données de l’incident qu’à l’occasion de ses échanges avec la délégation de contrôle de la CNIL, fin novembre 2023, soit plus de deux mois après les faits. La formation restreinte a rejeté cet argument, jugeant que cette qualification ne présentait aucune ambiguïté. Elle a retenu un double manquement à l’article 33 du RGPD : l’absence de notification à la CNIL dans le délai impératif de 72 heures à compter de la connaissance de l’incident (paragraphe 1), et l’absence d’inscription dans le registre interne des violations de données de la société (paragraphe 5), ces deux obligations étant concomitantes et complémentaires dans l’architecture de gouvernance des incidents de sécurité prévue par le règlement.
4. L’éviction du DPO : une faute de gouvernance aux conséquences démontrées
La déléguée à la protection des données de la société SAMARITAINE SAS n’a été informée de l’existence du dispositif de caméras « test » que les 28 septembre et 2 octobre 2023, soit après l’installation et le démontage des appareils. La formation restreinte a retenu un manquement à l’article 38-1 du RGPD, qui impose que le DPO soit associé « d’une manière appropriée et en temps utile » à toutes les questions relatives à la protection des données à caractère personnel. La particularité de la motivation est que la formation restreinte a expressément documenté les conséquences causales de cette éviction : interrogée par la délégation de contrôle, la DPO avait déclaré que si la société l’avait sollicitée, elle l’aurait alertée sur le fait que la mise en place d’un tel dispositif était contraire aux principes de transparence et de loyauté du RGPD. La formation restreinte a refusé d’admettre que l’urgence estivale constituait une circonstance atténuante, relevant que le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, inciter le responsable de traitement à consulter la DPO avant toute installation. Le manquement à l’article 38-1 du RGPD n’est donc pas traité comme un manquement formel mais comme une faute de gouvernance aux conséquences concrètes et documentées, ce qui renforce significativement la densité normative de cette obligation dans la jurisprudence de la formation restreinte.
5. La négligence cumulée comme fondement de la responsabilité
La formation restreinte a caractérisé les manquements comme résultant non d’un acte délibéré mais d’une succession de négligences : absence de vérification du modèle de caméra choisi par le prestataire, absence de documentation de l’installation, absence d’évaluation préalable des risques associés au dispositif, et absence de consultation de la déléguée à la protection des données. Elle a écarté l’argument de défense selon lequel les manquements n’avaient causé aucun préjudice aux salariés et que les images n’avaient jamais été visionnées, en relevant que des conversations privées avaient bien été enregistrées et qu’une plainte avait été déposée. Cette approche illustre que la responsabilité au titre du RGPD peut être engagée sans intention malveillante avérée, la négligence dans l’organisation du déploiement d’un dispositif de traitement de données étant en elle-même constitutive d’un manquement lorsqu’elle conduit à un traitement incompatible avec les principes fondamentaux du règlement. La délibération s’inscrit ainsi dans la ligne de la jurisprudence de la CJUE (Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE, C-807/21) qui a confirmé que l’amende administrative peut être prononcée pour une violation résultant d’une négligence, sans qu’il soit nécessaire d’établir un comportement délibéré.
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. INSCRIRE TOUTE DÉCISION DE SURVEILLANCE DANS UN CADRE DOCUMENTAIRE PRÉALABLE ET IRRÉPROCHABLE
L’enseignement cardinal de la délibération SAN-2025-008 est d’une clarté absolue : un dispositif de surveillance — même justifié dans son principe par des circonstances exceptionnelles documentées — est illicite s’il n’est pas accompagné d’une traçabilité documentaire adéquate. La formation restreinte ne nie pas qu’une vidéosurveillance secrète puisse, dans des cas limités, être compatible avec le RGPD. Elle exige que le responsable de traitement soit en mesure de démontrer, à tout moment, la réalité des circonstances justifiant l’exception, la proportionnalité du dispositif et son caractère temporaire.
Tout responsable de traitement — et singulièrement toute entreprise employant du personnel dans des zones à risque (réserves, entrepôts, espaces à forte manipulation de valeurs) — doit adopter une procédure écrite de décision à activer avant toute installation d’un quelconque dispositif de surveillance. Cette procédure devra, au minimum, identifier et dater la menace ou le risque justifiant le recours à la surveillance, documenter l’absence de mesures moins intrusives disponibles ou leur insuffisance, fixer dès l’origine la durée maximale d’utilisation du dispositif avec une date butoir de retrait, désigner la personne responsable de son exécution et de son suivi, et conserver l’ensemble de ces éléments dans un document formalisé, signé, versé au registre des traitements.
L’absence d’un bon de commande écrit, d’un échange de courriels tracé avec le prestataire, ou de tout document interne attestant du caractère temporaire du déploiement a constitué, dans l’affaire SAMARITAINE, l’un des éléments centraux de la caractérisation du manquement. Ce qui n’est pas écrit n’existe pas au regard du principe d’accountability. Il ne suffit pas d’agir conformément au RGPD : il faut en être en mesure de le démontrer.
B. RÉALISER OU METTRE À JOUR L’AIPD AVANT TOUT DÉPLOIEMENT, Y COMPRIS EN SITUATION D’URGENCE
La délibération révèle que la société SAMARITAINE SAS n’avait intégré le dispositif de vidéosurveillance test à son Analyse d’Impact relative à la Protection des Données qu’à compter du 22 décembre 2023, soit postérieurement à l’installation intervenue fin août 2023 et au contrôle réalisé le 29 novembre 2023. Cette séquence — installation d’abord, documentation ensuite — est précisément ce que le RGPD interdit. La formation restreinte a retenu ce fait comme l’un des éléments caractérisant le manquement au principe d’accountability.
La règle est simple : aucun traitement nouveau, y compris temporaire ou expérimental, ne doit démarrer sans qu’une évaluation de sa conformité au RGPD ait été conduite au préalable. Lorsqu’une AIPD complète ne peut être finalisée dans les délais impartis par l’urgence, une évaluation simplifiée et documentée — aussi sommaire soit-elle — vaut infiniment mieux que l’absence totale de documentation. Elle atteste de la prise en compte des exigences réglementaires, même partielle, et constitue une circonstance atténuante précieuse en cas de contrôle ultérieur.
En pratique, l’organisation doit se doter d’un formulaire d’évaluation rapide utilisable en situation d’urgence, comprenant au minimum : la description du traitement envisagé, la finalité poursuivie, les catégories de données et de personnes concernées, les droits fondamentaux potentiellement affectés, les mesures de sécurité prévues, la durée prévue et la date de retrait planifiée, l’identité de la personne ayant pris la décision et la date de cette décision. Ce formulaire, même incomplet, prouve que le responsable de traitement a exercé son jugement et ne s’est pas dispensé de tout contrôle de légalité interne.
C. ASSOCIER SYSTÉMATIQUEMENT LE DPO AVANT TOUT TRAITEMENT INTRUSIF, Y COMPRIS EN URGENCE
La délibération SAN-2025-008 constitue une mise en garde sévère adressée à tous les responsables de traitement qui concevraient le Délégué à la Protection des Données comme un acteur consultatif dont la saisine peut être différée ou omise en cas de contrainte opérationnelle. La formation restreinte écarte sans ambiguïté l’argument de la période estivale invoqué par la société :
« outre le fait que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données, le caractère particulièrement intrusif du dispositif envisagé aurait dû, lui seul, conduire le responsable de traitement à consulter la déléguée avant de démarrer l’installation du dispositif » (§ 75).
La décision rappelle que la DPO, si elle avait été consultée, « aurait alerté la société sur le fait que le dispositif n’était pas conforme au cadre prévu par le RGPD » (§ 87). Autrement dit, le DPO n’est pas seulement un validateur formel : il est un filet de sécurité juridique et opérationnel dont la non-consultation expose le responsable de traitement à un risque de sanction caractérisé.
Tout responsable de traitement doit donc instituer une procédure de consultation obligatoire du DPO pour tout traitement : ----impliquant une surveillance des salariés ou des tiers (vidéosurveillance, géolocalisation, logiciels espions, écoutes) ; ----utilisant des dispositifs dissimulés ou non visibles ; ----mettant en jeu des données susceptibles de révéler des informations sur la sphère personnelle des personnes concernées ; ----opérant dans des espaces privatifs ou réservés.
Cette consultation doit être tracée — par courriel, compte-rendu ou note interne — et son résultat formalisé. Lorsque les circonstances ne permettent pas une consultation préalable complète, le DPO doit être informé immédiatement — y compris par un simple message électronique — de l’existence du dispositif et de sa nature. Le défaut d’information même sommaire est une faute en soi.
D. CHOISIR ET SUPERVISER RIGOUREUSEMENT LES PRESTATAIRES EN MATIÈRE DE DISPOSITIFS DE SURVEILLANCE
La délibération révèle que la société SAMARITAINE SAS n’avait pas vérifié le modèle de caméra choisi par son prestataire. C’est ainsi que des caméras équipées de microphones — dont le responsable de traitement n’avait pas nécessairement envisagé l’usage — ont été installées et ont capturé des conversations privées entre salariés. La formation restreinte a expressément relevé cette défaillance dans la liste des fautes constitutives de la négligence caractérisée (§ 88).
Cette défaillance rappelle une règle fondamentale du droit de la protection des données : le recours à un sous-traitant n’exonère pas le responsable de traitement de sa responsabilité. Le responsable de traitement doit s’assurer que les équipements mis en place par ses prestataires sont conformes aux spécifications validées, notamment en ce qui concerne les fonctionnalités de collecte de données.
En pratique, tout contrat de mise en place d’un dispositif de surveillance doit comporter : ----une description précise des équipements utilisés et de leurs caractéristiques techniques, notamment la présence ou l’absence de microphones ; ----l’engagement du prestataire à n’utiliser que les équipements décrits contractuellement ; ----une procédure de validation technique préalable au déploiement, permettant au responsable de traitement de vérifier la conformité des équipements avec les spécifications convenues ; ----les clauses de sous-traitance conformes à l’article 28 du RGPD, précisant les mesures de sécurité imposées au prestataire.
E. METTRE À JOUR LE REGISTRE DES TRAITEMENTS IMMÉDIATEMENT DÈS QU’UN NOUVEAU TRAITEMENT EST ENVISAGÉ
La formation restreinte a expressément retenu que le traitement de données lié au dispositif de vidéosurveillance test n’était pas mentionné dans le registre des traitements de la société (§ 33). Ce constat illustre un risque organisationnel fréquent : les registres des traitements ont tendance à constituer une photographie figée des traitements à un moment donné, et non un instrument dynamique mis à jour en temps réel.
Le registre des traitements n’est pas une liste figée de traitements « officiels ». Il doit refléter tous les traitements en cours, y compris ceux qui sont temporaires, expérimentaux ou de nature urgente. Toute mise en place d’un nouveau traitement — même provisoire — doit s’accompagner d’une mise à jour immédiate du registre.
À cette fin, il est recommandé d’instituer une procédure interne prévoyant que : ----toute décision de mise en place d’un nouveau traitement déclenche automatiquement une mise à jour du registre des traitements ; ----le DPO est informé de chaque mise à jour et valide son exhaustivité ; ----une revue semestrielle du registre est organisée pour s’assurer de sa complétude, notamment en ce qui concerne les traitements mis en place par les directions opérationnelles sans consultation préalable de la fonction conformité.
F. IDENTIFIER ET NOTIFIER SANS DÉLAI TOUTE VIOLATION DE DONNÉES, Y COMPRIS LES COLLECTES ILLICITES INTERNES
La délibération SAN-2025-008 opère une qualification juridiquement importante : l’installation de caméras dissimulées équipées de microphones et l’enregistrement sonore de conversations privées constituent une violation de données à caractère personnel devant être notifiée à la CNIL dans les 72 heures et documentée dans le registre des violations (art. 33-1 et 33-5 RGPD).
Cela signifie que la notion de « violation de données » ne se limite pas aux hypothèses d’intrusion externe, de vol de données ou de fuite accidentelle : un traitement interne délibérément non conforme peut lui-même constituer une violation de données. Cette extension de la notion est fondamentale pour les responsables de traitement, qui doivent désormais inclure dans leur dispositif de gestion des violations tout incident impliquant une collecte illicite ou déloyale de données, quand bien même cette collecte résulte de leur propre décision opérationnelle.
En pratique, le registre des violations doit être tenu à jour pour toutes ces situations et accessible au DPO. La procédure interne de gestion des violations doit prévoir une clause de signalement obligatoire dès lors qu’un responsable opérationnel prend conscience qu’un traitement a été mis en place sans les garanties réglementaires requises.
CONSEILS AUX PERSONNES CONCERNÉES — SALARIÉS ET REPRÉSENTANTS DU PERSONNEL
A. CONNAÎTRE SES DROITS FACE À LA SURVEILLANCE EN MILIEU PROFESSIONNEL
La délibération SAN-2025-008 illustre avec acuité que les salariés bénéficient d’une protection effective contre les dispositifs de surveillance dissimulée, y compris dans des espaces professionnels réservés tels que les réserves ou les entrepôts. Le RGPD reconnaît aux salariés, en leur qualité de personnes concernées, l’ensemble des droits prévus aux articles 12 à 22 du règlement, dont le droit à l’information, le droit d’accès et le droit de porter plainte auprès de la CNIL.
L’existence d’une atteinte à la vie privée au travail n’est pas conditionnée à la survenance d’un préjudice matériel immédiatement quantifiable. La CEDH elle-même a reconnu, dans l’arrêt López Ribalda (CEDH, Gr. Ch., 2019), que la vidéosurveillance secrète constitue une ingérence dans la vie privée du salarié, susceptible d’être justifiée mais devant, en tout état de cause, être proportionnée et entourée de garanties suffisantes. Dès lors que ces conditions ne sont pas remplies, le salarié dispose de voies de recours tant devant les juridictions civiles et prud’homales que devant la CNIL.
B. EXERCER LE DROIT À L’INFORMATION ET LE DROIT D’ACCÈS AUPRÈS DE L’EMPLOYEUR
Tout salarié qui soupçonne l’existence d’un dispositif de surveillance — visible ou dissimulé — peut exercer son droit d’accès auprès de son employeur conformément à l’article 15 du RGPD, afin d’obtenir la confirmation de l’existence d’un traitement le concernant, les catégories de données traitées, la finalité du traitement et la durée de conservation des données.
La demande doit être adressée par écrit — de préférence par courriel ou courrier avec accusé de réception — au responsable de traitement, avec copie au DPO lorsque celui-ci est identifié. L’employeur dispose d’un délai d’un mois pour répondre, prorogeable à deux mois en cas de complexité particulière. En l’absence de réponse ou en cas de réponse manifestement insuffisante, le salarié peut saisir la CNIL d’une plainte.
Il est recommandé de conserver une copie de toutes les demandes et de toutes les réponses, ainsi que la correspondance avec les représentants du personnel. Ces éléments constituent une documentation précieuse en cas de saisine ultérieure de la CNIL ou du conseil de prud’hommes.
C. SAISIR LA CNIL D’UNE PLAINTE EN CAS DE SURVEILLANCE ILLICITE
La CNIL est compétente pour recevoir et instruire toute plainte relative à un traitement de données à caractère personnel ne respectant pas les exigences du RGPD ou de la loi Informatique et Libertés. Une plainte peut être déposée en ligne sur le site de la CNIL (www.cnil.fr), sans assistance d’un avocat.
Pour être efficace, la plainte doit comporter : ----une description précise des faits constatés (existence du dispositif, lieu, période, découverte) ; ----les éléments disponibles sur la nature du dispositif (présence de son, orientation des caméras, accès aux images) ; ----les démarches préalablement entreprises auprès de l’employeur et leurs résultats ; ----toute pièce utile (photographies, échanges internes, témoignages, articles de presse).
La présente affaire SAMARITAINE illustre précisément l’efficacité de ce dispositif : c’est une plainte d’un salarié, déposée le 28 novembre 2023, qui a déclenché le contrôle sur place de la CNIL le lendemain et conduit à la sanction prononcée en 2025.
D. DOCUMENTER LE PRÉJUDICE SUBI EN VUE D’UNE ÉVENTUELLE ACTION INDEMNITAIRE
L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable du traitement. La surveillance secrète est susceptible de causer un préjudice moral réel — sentiment d’atteinte à la dignité, anxiété, atteinte à la vie privée, enregistrement de conversations intimes — dont la réparation peut être sollicitée devant les juridictions compétentes (conseil de prud’hommes pour les salariés, tribunal judiciaire pour les autres personnes concernées).
Pour fonder une telle action, le salarié doit documenter avec précision les éléments constitutifs du préjudice : ----la preuve de l’existence du dispositif de surveillance (photographies, témoignages, rapport de la CNIL si disponible) ; ----la période pendant laquelle il était présent dans la zone surveillée ; ----la nature et le contenu des conversations enregistrées, si cette information est disponible ; ----les conséquences personnelles concrètes de la surveillance (troubles du sommeil, anxiété, dégradation des conditions de travail, sentiment de violation de l’intimité).
La CNIL ayant prononcé une sanction publique, cette délibération constitue un élément probatoire utilisable par les salariés concernés dans le cadre d’une action indemnitaire, pour établir la réalité et l’illicéité du traitement.
E. ALERTER LES INSTANCES REPRÉSENTATIVES DU PERSONNEL
La délibération révèle que les représentants du personnel ont joué un rôle déterminant dans la découverte du dispositif et dans l’information de la DPO. Les salariés qui soupçonnent l’existence d’un dispositif de surveillance illicite ont tout intérêt à alerter les instances représentatives compétentes (comité social et économique, délégués syndicaux, délégué à la protection des données), qui disposent de prérogatives spécifiques en matière d’information et de consultation sur les traitements affectant les conditions de travail.
Le comité social et économique (CSE) doit en effet être informé et consulté préalablement à la mise en place de tout traitement automatisé susceptible d’avoir des incidences sur les conditions de travail (article L. 2312-38 du Code du travail). L’absence de consultation du CSE avant la mise en place d’un dispositif de surveillance constitue non seulement un manquement au droit du travail mais aussi un élément aggravant du manquement au principe de loyauté prévu à l’article 5-1-a du RGPD.
APPROFONDISSEMENTS — LA SURVEILLANCE SECRÈTE EN MILIEU DE TRAVAIL : UN CADRE JURIDIQUE DÉSORMAIS PLEINEMENT CONSTITUÉ
A. L’ARTICULATION ENTRE RGPD ET DROIT DU TRAVAIL
La délibération SAN-2025-008 illustre la nécessité d’articuler correctement le RGPD et le droit du travail lorsqu’un dispositif de surveillance affecte des salariés. Ces deux corpus normatifs se superposent sans se neutraliser. Le RGPD régit la licéité du traitement de données à caractère personnel opéré au moyen du dispositif de surveillance. Le droit du travail — et notamment les règles relatives aux pouvoirs de l’employeur, à l’obligation d’information et à la consultation des institutions représentatives — régit les conditions dans lesquelles ce dispositif peut être mis en place dans la relation de travail.
Un employeur qui respecterait le droit du travail (consultation du CSE, information des salariés) mais omettrait de documenter le traitement au regard du RGPD (registre, AIPD, consultation du DPO) encourt une sanction de la CNIL. Inversement, un employeur qui satisferait aux exigences documentaires du RGPD mais n’aurait pas consulté le CSE encourrait une responsabilité prud’homale ou pénale. La conformité intégrale exige le respect simultané et coordonné des deux cadres.
B. LES CONDITIONS DE LÉGALITÉ DE LA VIDÉOSURVEILLANCE SECRÈTE EN ENTREPRISE : UN CADRE DÉSORMAIS PRÉCIS
La jurisprudence combinée de la CEDH (López Ribalda, 2019) et de la CNIL (SAN-2025-008) permet de définir avec précision les conditions cumulatives dans lesquelles une vidéosurveillance secrète peut être jugée compatible avec le RGPD :
Première condition : L’existence de soupçons raisonnables et documentés d’irrégularités graves, et non de simples suspicions générales de malveillance.
Deuxième condition : L’impossibilité ou l’insuffisance démontrée des mesures moins intrusives (caméras visibles, contrôles renforcés, audits).
Troisième condition : Le caractère strictement temporaire du dispositif, attesté par une décision écrite fixant dès l’origine la date de retrait.
Quatrième condition : La documentation préalable de la compatibilité du dispositif avec le RGPD — AIPD ou évaluation simplifiée, enregistrement au registre des traitements.
Cinquième condition : La consultation préalable du DPO, dont l’avis doit être formalisé.
Sixième condition : La minimisation stricte des données collectées — notamment l’absence de captation sonore lorsque la finalité poursuivie ne le requiert pas.
L’absence d’une seule de ces conditions suffit à caractériser un manquement au RGPD. La délibération SAN-2025-008 illustre la violation simultanée de la quasi-totalité de ces conditions par la société SAMARITAINE SAS.
Pas de contribution, soyez le premier