CNIL | SAN-2025-008 | 18 septembre 2025 | Affaire SAMARITAINE SAS | SAN-2025-008-ESSENTIELS

1. Des caméras dissimulées dans des détecteurs de fumée : un traitement intrinsèquement déloyal

En août 2023, la société SAMARITAINE SAS a installé dans les réserves de son magasin parisien cinq caméras « test » dont l’apparence extérieure imitait celle de détecteurs de fumée. Installées sans documentation, sans bon de commande, sans inscription au registre des activités de traitement et sans intégration préalable à l’analyse d’impact, ces caméras ont enregistré des images et du son pendant plusieurs semaines à l’insu des salariés. La formation restreinte a retenu un manquement aux articles 5-1-a et 5-2 du RGPD en considérant que le caractère trompeusement dissimulé du dispositif constituait, en soi, un traitement déloyal. Même si la jurisprudence de la CEDH (arrêt López Ribalda, 17 octobre 2019) admet le recours à des caméras dissimulées dans des circonstances exceptionnelles, cette admissibilité est subordonnée à une condition absolue : le responsable de traitement doit analyser la compatibilité du dispositif avec le RGPD, l’attester — notamment quant à son caractère temporaire — et pouvoir en rendre compte. Aucune de ces conditions n’était remplie en l’espèce. Le fait que les salariés aient été informés de la présence d’un dispositif classique dans les réserves n’a pas été jugé suffisant : précisément parce que les caméras « test » prenaient l’apparence de détecteurs de fumée, les salariés ne pouvaient raisonnablement pas s’attendre à leur existence, et le dispositif était objectivement susceptible de les tromper.

2. La captation sonore, données excessives au regard de la finalité déclarée

Les caméras installées étaient équipées de microphones et ont capté des conversations entre salariés, dont une dans laquelle l’un d’eux évoquait son départ de l’entreprise. La formation restreinte a retenu un manquement au principe de minimisation prévu par l’article 5-1-c du RGPD, en considérant que la captation sonore était structurellement excessive au regard de la finalité déclarée par la société — identifier les angles de prises de vue optimaux pour de futures caméras permanentes. Cette finalité pouvait être atteinte par le seul enregistrement d’images, sans captation du son. La société avait soutenu qu’elle ignorait que les caméras étaient dotées de microphones, ayant laissé au prestataire de remplacement le soin de choisir le modèle. La formation restreinte a écarté cet argument en observant que l’emballage et la notice d’utilisation des appareils mentionnaient explicitement la fonctionnalité audio. En vertu des principes d’accountability des articles 5-2 et 24 du RGPD, le responsable de traitement est tenu de s’assurer des caractéristiques techniques des équipements qu’il déploie, particulièrement lorsqu’ils ont vocation à traiter des données de personnes dans un espace de travail. L’ignorance alléguée ne constitue pas un facteur exonératoire lorsque les informations permettant de connaître les caractéristiques du dispositif étaient disponibles et accessibles avant l’installation.

3. Le vol des cartes SD : une violation de données non qualifiée, non notifiée et non documentée

Lors du démontage des caméras en septembre 2023, des salariés ont conservé deux cartes SD contenant les enregistrements vidéo et sonores réalisés par le dispositif. La formation restreinte a qualifié cet incident de violation de données à caractère personnel au sens de l’article 4-12 du RGPD : la perte de contrôle par le responsable de traitement d’un matériel contenant des données à caractère personnel est explicitement mentionnée comme exemple typique de violation dans les lignes directrices du CEPD et dans les communications publiques de la CNIL. La société a soutenu qu’elle n’avait pris conscience du caractère de violation de données de l’incident qu’à l’occasion de ses échanges avec la délégation de contrôle de la CNIL, fin novembre 2023, soit plus de deux mois après les faits. La formation restreinte a rejeté cet argument, jugeant que cette qualification ne présentait aucune ambiguïté. Elle a retenu un double manquement à l’article 33 du RGPD : l’absence de notification à la CNIL dans le délai impératif de 72 heures à compter de la connaissance de l’incident (paragraphe 1), et l’absence d’inscription dans le registre interne des violations de données de la société (paragraphe 5), ces deux obligations étant concomitantes et complémentaires dans l’architecture de gouvernance des incidents de sécurité prévue par le règlement.

4. L’éviction du DPO : une faute de gouvernance aux conséquences démontrées

La déléguée à la protection des données de la société SAMARITAINE SAS n’a été informée de l’existence du dispositif de caméras « test » que les 28 septembre et 2 octobre 2023, soit après l’installation et le démontage des appareils. La formation restreinte a retenu un manquement à l’article 38-1 du RGPD, qui impose que le DPO soit associé « d’une manière appropriée et en temps utile » à toutes les questions relatives à la protection des données à caractère personnel. La particularité de la motivation est que la formation restreinte a expressément documenté les conséquences causales de cette éviction : interrogée par la délégation de contrôle, la DPO avait déclaré que si la société l’avait sollicitée, elle l’aurait alertée sur le fait que la mise en place d’un tel dispositif était contraire aux principes de transparence et de loyauté du RGPD. La formation restreinte a refusé d’admettre que l’urgence estivale constituait une circonstance atténuante, relevant que le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, inciter le responsable de traitement à consulter la DPO avant toute installation. Le manquement à l’article 38-1 du RGPD n’est donc pas traité comme un manquement formel mais comme une faute de gouvernance aux conséquences concrètes et documentées, ce qui renforce significativement la densité normative de cette obligation dans la jurisprudence de la formation restreinte.

5. La négligence cumulée comme fondement de la responsabilité

La formation restreinte a caractérisé les manquements comme résultant non d’un acte délibéré mais d’une succession de négligences : absence de vérification du modèle de caméra choisi par le prestataire, absence de documentation de l’installation, absence d’évaluation préalable des risques associés au dispositif, et absence de consultation de la déléguée à la protection des données. Elle a écarté l’argument de défense selon lequel les manquements n’avaient causé aucun préjudice aux salariés et que les images n’avaient jamais été visionnées, en relevant que des conversations privées avaient bien été enregistrées et qu’une plainte avait été déposée. Cette approche illustre que la responsabilité au titre du RGPD peut être engagée sans intention malveillante avérée, la négligence dans l’organisation du déploiement d’un dispositif de traitement de données étant en elle-même constitutive d’un manquement lorsqu’elle conduit à un traitement incompatible avec les principes fondamentaux du règlement. La délibération s’inscrit ainsi dans la ligne de la jurisprudence de la CJUE (Grande Chambre, 5 décembre 2023, Deutsche Wohnen SE, C-807/21) qui a confirmé que l’amende administrative peut être prononcée pour une violation résultant d’une négligence, sans qu’il soit nécessaire d’établir un comportement délibéré.

POINTS ESSENTIELS