La délibération de la Commission nationale de l’informatique et des libertés (CNIL) en date du 18 septembre 2025 illustre parfaitement l’attention particulière portée par la Commission au respect des principes de loyauté, de proportionnalité et de gouvernance en matière de protection des données personnelles.

La formation restreinte de l’autorité a jugé que la société SAMARITAINE SAS, exploitante du grand magasin parisien avait fait preuve d’une négligence caractérisée et l’a sanctionnée d’une amende de 100 000 € assortie d’une publicité pendant deux ans (avec anonymisation ultérieure) pour avoir installé des caméras de vidéosurveillance dissimulées sous forme de détecteurs de fumée, dotées de microphones, dans les réserves de son établissement.

Les faits et le cadre juridique applicable :

En août 2023, en réponse à une recrudescence de vols, la société a installé cinq caméras dissimulées dans ses réserves.

Ces dispositifs ont enregistré images et sons à l’insu des salariés. Leur existence a été révélée par la presse puis confirmée par une plainte de salarié.

Un contrôle sur place diligenté par la Commission a établi que ces caméras n’avaient pas été documentées dans le registre des traitements, ni intégrées à l’analyse d’impact, ni même portées à la connaissance de la déléguée à la protection des données.

Pour rappel, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) impose plusieurs obligations essentielles aux responsables de traitement :

  • Licéité, loyauté et transparence (RGPD art. 5 §1 a) et 5 §2)
  • Minimisation des données (RGPD art. 5 $1 c))
  • Durée limitée de conservation (RGPD art. 5 §1 e))
  • Notification des violations de données (RGPD art. 33)
  • Association du DPO aux décisions sensibles (RGPD art. 38 §1)

Le manquement aux principes de loyauté et de transparence :

La CNIL rappelle que, sauf circonstances exceptionnelles et dûment justifiées, les dispositifs de surveillance doivent être visibles et annoncés.

Se référant à l’arrêt de la CEDH Lopez Ribalda c. Espagne du 17 octobre 2019, elle souligne que les caméras cachées ne peuvent être admises qu’à titre temporaire et proportionné.


En l’espèce, ce n’est pas tant le principe de l’installation dissimulée que l’absence de documentation et de consultation du DPO a conduit à qualifier le traitement de déloyal et non transparent.

La violation du principe de minimisation :

Les caméras comportaient des microphones, ce qui a conduit à l’enregistrement de conversations privées de salariés.

Or, la CNIL rappelle que la captation sonore est, par principe, prohibée en milieu de travail, sauf justification exceptionnelle (CNIL, SAN-2024-021, 19 décembre 2024).

En l’espèce, pour prouver l’existence de vol et en identifier les auteurs, la captation sonore a été considérée comme n’étant pas indispensable


Le traitement a donc été jugé excessif et non nécessaire.

Le défaut de notification d’une violation de données :

Ironie du sort, deux cartes SD contenant des enregistrements ont été subtilisées par des salariés lors du démontage des caméras.

La CNIL estime qu’il s’agit d’une violation de données au sens de l’article 4 §12 du RGPD, devant être notifiée dans les 72h et inscrite au registre des violations

La notification ayant été tardive et la documentation absente, un manquement a été retenu de ce chef.

Le défaut d’association du DPO :

La déléguée à la protection des données (DPO) n’a été informée qu’après la désinstallation du dispositif. Or, l’article 38 §1 du RGPD impose son association dès l’amont.


La CNIL considère qu’une telle consultation aurait très vraisemblablement permis d’éviter la mise en place d’un dispositif manifestement contraire au RGPD.

Les enseignements pratiques de cette décision :

  • Transparence et visibilité : les salariés doivent être informés de la présence des caméras. Les dispositifs dissimulés ne sont tolérés qu’à titre exceptionnel, temporaire et justifié.
  • Proportionnalité : la captation sonore est en principe interdite.
  • Documentation : tout traitement doit être inscrit au registre et, le cas échéant, soumis à une analyse d’Impact relative à la protection des données (AIPD).
  • Notification des violations : toute perte de contrôle sur des supports contenant des données doit être notifiée dans les 72h.
  • Consultation du DPO : elle doit intervenir en amont, même en cas d’urgence.

Cette décision illustre la vigilance de la CNIL sur les dispositifs de surveillance au travail. L’urgence opérationnelle ou la méconnaissance technique ne sauraient exonérer l’entreprise de ses responsabilités.

Cette décision confirme que la conformité au RGPD repose sur une gouvernance proactive et documentée

La gouvernance interne (registre, AIPD, rôle du DPO) est désormais l’élément clé permettant de démontrer la conformité au RGPD. À défaut, l’entreprise s’expose à un risque juridique, financier et réputationnel.