CNIL | SAN-2025-008 | 18 SEPTEMBRE 2025 | AFFAIRE SAMARITAINE SAS |
ON TROUVE TOUJOURS TOUT A LA SAMARITAINE !
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
Analyse approfondie des manquements retenus par la formation restreinte
I.
Le contexte factuel : une réponse sécuritaire mal encadrée
La société SAMARITAINE SAS, anciennement DFS France SAS, exploite depuis 2021 le grand magasin La Samaritaine, situé 21 rue de la Monnaie à Paris (1er arrondissement). Comptant environ 640 salariés et accueillant quelque 4 millions de visiteurs par an, l’enseigne constitue un acteur commercial de premier plan dans le secteur du luxe parisien. C’est dans ce cadre qu’au cours de l’été 2023, face à une recrudescence de vols de marchandises constatée entre le 14 et le 23 août 2023 au sein de deux réserves de stockage, la direction de l’établissement a décidé d’installer un dispositif de vidéosurveillance complémentaire destiné, selon ses propres déclarations, à identifier les angles de prise de vue les plus adéquats pour l’implantation future de nouvelles caméras pérennes.
Ce dispositif, qualifié en interne de caméras « test », se distinguait radicalement du système de vidéosurveillance classique déjà en place dans les mêmes réserves. Composé de cinq caméras fonctionnant sur batterie, simplement collées au mur et prenant l’apparence de détecteurs de fumée, il n’était pas raccordé au réseau de vidéosurveillance classique et les enregistrements qu’il produisait ne pouvaient pas être visionnés depuis le PC sécurité du magasin. La décision d’installation avait été prise en urgence pendant la période estivale, le prestataire habituel de la société n’étant pas disponible dans les délais requis ; un autre prestataire avait donc été sollicité, à qui avait été laissé le soin de choisir le modèle de caméra, sans validation préalable de la société.
Le dispositif, installé au mois d’août 2023, a été découvert et démonté par les salariés en septembre 2023, ceux-ci ayant conservé deux cartes SD contenant les enregistrements réalisés par l’appareil. Ces enregistrements comportaient à la fois des images et du son : les caméras choisies par le prestataire étaient équipées de microphones, fonctionnalité explicitement mentionnée sur l’emballage et la notice d’utilisation des appareils. L’un des enregistrements contenait une conversation au cours de laquelle un salarié évoquait son départ de l’entreprise.
Le 25 novembre 2023, un article de presse révélait l’installation de « caméras espion camouflées en détecteurs de fumée » dans les réserves du magasin. Le 28 novembre 2023, la CNIL était saisie d’une plainte d’un salarié dénonçant un système de vidéosurveillance dissimulé dans de faux détecteurs de fumée. Dès le lendemain, le 29 novembre 2023, une délégation de la Commission procédait à un contrôle sur place. Plusieurs auditions et contrôles complémentaires s’ensuivaient jusqu’en novembre 2024.
II.
Le cadre normatif applicable : loyauté, minimisation, violation de données et rôle du DPO
La formation restreinte a examiné les faits au regard de plusieurs dispositions du RGPD, articulant entre elles les obligations fondamentales applicables à tout traitement de données à caractère personnel dans le contexte particulier de la surveillance des salariés.
Le principe de loyauté, de licéité et de transparence — article 5-1-a du RGPD
L’article 5, paragraphe 1, point a du RGPD dispose que les données à caractère personnel doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée ». Le considérant 60 du règlement précise que « le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités ». L’article 5-2 énonce quant à lui le principe d’accountability : « le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté ».
S’agissant d’un dispositif de vidéosurveillance ou de vidéoprotection, la CNIL estime en principe que les obligations de transparence n’impliquent pas l’affichage des emplacements exacts des caméras, mais que les caméras composant le dispositif doivent être visibles, non dissimulées, pour satisfaire à l’exigence de loyauté. La jurisprudence de la Cour européenne des droits de l’homme a cependant admis qu’un employeur peut, dans des circonstances exceptionnelles et sous certaines conditions dont il doit pouvoir justifier, installer des caméras non visibles par les salariés.
La CEDH, dans son arrêt de Grande Chambre du 17 octobre 2019, López Ribalda et autres c. Espagne (requêtes n° 1874/13 et 8567/13), a posé une série de critères permettant d’apprécier la proportionnalité d’une telle mesure de vidéosurveillance sur le lieu de travail : l’employé a-t-il été informé de la possibilité d’une telle mesure ? Quel est le degré d’intrusion dans sa vie privée ? L’employeur a-t-il justifié par des motifs légitimes le recours à la surveillance ? Existait-il des mesures moins intrusives ? Quelles ont été les conséquences pour l’employé ? Celui-ci s’est-il vu offrir des garanties adéquates ? La formation restreinte a fait de ces critères le cadre d’appréciation des manquements de la société.
Le principe de minimisation des données — article 5-1-c du RGPD
L’article 5, paragraphe 1, point c du RGPD impose que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le responsable de traitement doit s’abstenir de collecter des données sans utilité pour atteindre les finalités poursuivies. S’agissant des dispositifs de vidéosurveillance, la CNIL considère qu’un tel dispositif ne doit pas, en principe, capter le son, la captation sonore n’étant admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier (CNIL, SAN-2024-021, 19 décembre 2024, §37).
La notification des violations de données à caractère personnel — article 33 du RGPD
L’article 33 du RGPD prévoit que le responsable de traitement notifie à l’autorité de contrôle, dans un délai de 72 heures à compter du moment où il en a pris connaissance, toute violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes concernées (paragraphe 1). Il impose également la documentation de toute violation de données dans un registre interne (paragraphe 5). L’article 4-12 du RGPD définit la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
L’association du délégué à la protection des données — article 38-1 du RGPD
L’article 38, paragraphe 1, du RGPD dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ». L’article 39-1 du RGPD définit les missions du DPO, qui incluent notamment l’information et le conseil au responsable de traitement quant à ses obligations légales en matière de protection des données.
III.
Le manquement au principe de loyauté et au principe d’accountability (articles 5-1-a et 5-2 du RGPD)
Qualification du traitement comme déloyal
La formation restreinte a retenu que l’installation de caméras prenant l’apparence de détecteurs de fumée constituait un traitement déloyal au sens de l’article 5-1-a du RGPD. Elle a écarté l’ensemble des arguments de défense avancés par la société.
La société avait soutenu, en premier lieu, que les caméras n’étaient pas dissimulées dès lors qu’elles étaient simplement disposées sur des murs nus et que les salariés avaient déjà été informés de la présence du dispositif de vidéosurveillance classique dans les réserves. La formation restreinte a rejeté cet argument : les caméras « test » prenant l’apparence de détecteurs de fumée, les salariés ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras. Le fait qu’ils avaient été informés du dispositif classique ne les immunisait pas contre la tromperie inhérente à un dispositif délibérément conçu pour imiter un équipement de sécurité incendie.
La société avait soutenu, en deuxième lieu, que l’objectif du dispositif n’était pas de surveiller les salariés mais uniquement d’identifier les angles de vue pertinents pour l’implantation de futures caméras. La formation restreinte a écarté cet argument en observant que cet objectif impliquait nécessairement que les caméras aient été positionnées de manière à capter les faits et gestes des salariés travaillant dans les réserves. En tout état de cause, la finalité déclarée est sans incidence sur le fait que le dispositif a effectivement conduit à la captation d’images et de conversations de salariés à leur insu.
L’exigence d’une documentation et d’une justification a priori
La formation restreinte a fondé la caractérisation du manquement non seulement sur le caractère dissimulé des caméras, mais sur l’absence totale de documentation et de formalisation du dispositif. Reprenant les critères dégagés par la jurisprudence de la CEDH, elle a rappelé que si le recours à des caméras dissimulées peut être admis dans des circonstances exceptionnelles, cette admissibilité est subordonnée à la capacité du responsable de traitement d’en justifier et d’attester notamment du caractère temporaire du dispositif.
Or, le registre des activités de traitement de la société ne mentionnait aucune trace du dispositif « test ». L’analyse d’impact ne l’a intégré que le 22 décembre 2023, soit postérieurement à l’installation et au contrôle de la CNIL. Aucun bon de commande ni aucun document écrit n’attestait du caractère temporaire de l’installation, tous les échanges entre la société et le prestataire s’étant déroulés oralement. La délégué à la protection des données n’avait pas été informée de l’installation du dispositif. La formation restreinte a considéré que ces lacunes cumulatives empêchaient la société d’établir le « juste équilibre » entre l’objectif de protection des biens et la protection de la vie privée des salariés que les jurisprudences applicables exigent.
Caractère non exceptionnel des circonstances invoquées
Si la société faisait valoir la recrudescence des vols et l’urgence de la période estivale pour justifier l’installation précipitée du dispositif, la formation restreinte a refusé d’y voir des circonstances excusant les manquements. Elle a relevé que la société ne rapportait pas l’impossibilité de différer l’installation dans l’attente d’une consultation préalable de la DPO, et que le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable de traitement à cette consultation avant tout déploiement. La formation restreinte a également noté que la société n’avait pas même adressé un message a posteriori à la DPO pendant la période estivale : c’est l’initiative des salariés qui, en démontant les caméras fin septembre 2023, a informé la DPO de l’existence du dispositif les 28 septembre et 2 octobre 2023.
IV.
Le manquement au principe de minimisation des données (article 5-1-c du RGPD)
La captation sonore, donnée excessive au regard de la finalité déclarée
La rapporteure, dont les conclusions ont été reprises par la formation restreinte, a relevé que les caméras « test » étaient dotées de microphones ayant permis la captation de conversations entre salariés relevant de la sphre personnelle. La société n’avait pas fait état d’une situation particulière justifiant le recours à la captation sonore dans les réserves.
La finalité déclarée par la société était d’identifier les angles de prises de vue les plus adéquats pour de nouvelles caméras de sécurité. La formation restreinte a considéré que cet objectif pouvait être atteint par le seul recours à l’enregistrement d’images, sans qu’il soit nécessaire de capter le son. Les données issues de la captation sonore n’étaient donc ni adéquates, ni pertinentes, ni limitées à ce qui était nécessaire au regard de la finalité annoncée.
L’ignorance alléguée de la fonctionnalité audio : un argument inopérant
La société avait soutenu qu’elle n’avait pas connaissance de la fonctionnalité de captation sonore des caméras « test », ayant laissé au prestataire le soin de choisir le modèle sans le valider. La formation restreinte a écarté cet argument en relevant qu’il ressortait des pièces du dossier que tant l’emballage des caméras que la notice d’utilisation mentionnaient explicitement la présence d’un microphone et la fonctionnalité d’écoute du modèle choisi. Quand bien même la société n’aurait pas choisi volontairement un modèle permettant la captation sonore, elle disposait, avant l’installation, de tous les éléments lui permettant de savoir que le modèle comportait cette fonctionnalité. En application des principes d’accountability énoncés aux articles 5-2 et 24 du RGPD, elle était tenue de s’assurer que le modèle de caméras mis en place n’aurait pas pour conséquence de procéder à un traitement incompatible avec les textes applicables.
Impact concret sur la vie privée des salariés
La formation restreinte a attaché une importance particulière au fait qu’un des enregistrements contenait une conversation au cours de laquelle un salarié évoquait son départ de l’entreprise. Cette conversation relevant incontestablement de la sphère personnelle des intéressés illustre concrètement l’atteinte à la vie privée produite par une captation sonore non nécessaire. La formation restreinte a en outre observé que les images enregistrées avaient bien vocation à être visionnées — ne serait-ce que pour confirmer que les angles de prises de vue des futures caméras étaient adéquats — contrairement à ce que soutenait la société.
V.
L’absence de notification de la violation de données à caractère personnel (article 33, paragraphes 1 et 5, du RGPD)
La qualification de violation de données : un constat sans ambiguïté
La formation restreinte a retenu un manquement à l’article 33, paragraphes 1 et 5, du RGPD à raison du vol des deux cartes SD par les salariés lors du démontage des caméras entre les 13 et 14 septembre 2023.
La société avait soutenu que ce n’est qu’à l’occasion des échanges intervenus avec la délégation de contrôle de la CNIL qu’elle avait été en mesure d’apprécier que le vol des cartes SD constituait une violation de données à caractère personnel, et qu’elle avait ensuite procédé à la notification auprès de la CNIL le 2 décembre 2023, dans le délai de 72 heures suivant cette qualification.
La formation restreinte n’a pas admis cette argumentation. Elle a relevé que la qualification de violation de données à caractère personnel des faits en cause ne présentait pas la moindre ambiguïté : la perte de contrôle par le responsable de traitement d’un matériel contenant des données à caractère personnel est explicitement citée comme exemple d’événement devant être qualifié de violation par l’article 4-12 du RGPD, et illustrée dans les lignes directrices du CEPD ainsi que dans les communications publiques de la CNIL. Un responsable de traitement averti — a fortiori dans un établissement employant 640 salariés et traitant des données à grande échelle — ne pouvait pas ignorer cette qualification.
Le délai écoulé avant la notification
La formation restreinte a constaté que la société avait eu connaissance du vol des cartes SD entre le 13 et le 14 septembre 2023, soit plusieurs semaines avant le contrôle de la CNIL du 29 novembre 2023. Au jour de ce contrôle, aucune notification n’avait été adressée à l’autorité de contrôle et aucune inscription ne figurait dans le registre des violations de données de la société. La société n’a apporté aucun élément de nature à justifier ce retard.
La violation de l’obligation de documentation interne
Indépendamment de l’obligation de notification à l’autorité de contrôle, la formation restreinte a retenu un manquement à l’obligation de documentation interne prévue par l’article 33, paragraphe 5, du RGPD. La tenue d’un registre des violations constitue non seulement une exigence formelle mais aussi un outil de gouvernance permettant au responsable de traitement de disposer d’une traçabilité de ses incidents de sécurité, d’en tirer des enseignements et de démontrer sa capacité à gérer ses responsabilités en matière de protection des données.
VI.
Le manquement à l’obligation d’associer la déléguée à la protection des données (article 38-1 du RGPD)
Le rôle stratégique du DPO dans la prévention des non-conformités
L’article 38-1 du RGPD impose que le DPO soit associé « d’une manière appropriée et en temps utile » à toutes les questions relatives à la protection des données. La formation restreinte a retenu que la société avait méconnu cette disposition en ne consultant pas sa DPO préalablement à l’installation du dispositif de caméras « test ».
Il ressortait des pièces du dossier que la DPO avait été informée pour la toute première fois de l’existence du dispositif par courriers électroniques du 28 septembre 2023 puis par visioconférence le 2 octobre 2023, soit postérieurement à l’installation et à son démontage. Interrogée par la délégation de contrôle de la CNIL, la DPO avait indiqué que si la société l’avait sollicitée, elle l’aurait alertée sur le fait que la mise en place d’un tel dispositif était contraire aux principes de transparence et de loyauté du RGPD.
L’urgence ne suffit pas à exonérer le responsable de traitement
La formation restreinte a pris acte du fait que la décision de recourir à des caméras « test » avait été prise en urgence durant la période estivale, ce qui avait rendu difficile la consultation préalable de la DPO. Elle a cependant refusé d’y voir une cause d’exonération. Elle a observé que la société ne rapportait pas l’impossibilité de différer l’installation dans l’attente de cette consultation. Surtout, elle a relevé que le caractère particulièrement intrusif du dispositif envisagé — caméras dissimulées en détecteurs de fumée, dotées de microphones — aurait dû, à lui seul, conduire le responsable de traitement à consulter la DPO avant tout déploiement. Le fait même que le dispositif ait conduit à déployer un traitement non conforme illustre a posteriori la pertinence de cette consultation obligatoire.
La DPO comme garant de la conformité opérationnelle
La délibération insiste sur la dimension préventive de la mission du DPO. L’article 39-1 du RGPD confie à ce dernier un rôle d’information et de conseil au responsable de traitement quant à ses obligations légales. En l’espèce, la consultation préalable aurait permis d’éviter l’ensemble des manquements retenus : le caractère non documenté du traitement, la captation sonore excessive, l’absence de notification de la violation de données. Le manquement à l’article 38-1 du RGPD n’est donc pas un manquement de forme mais un manquement de gouvernance dont les conséquences se sont enchaînées inexorablement.
VII.
Le manquement à l’obligation de conservation (article 5-1-e du RGPD) : un manquement non caractérisé
La rapporteure avait initialement relevé que le contrôle sur place du 29 novembre 2023 avait révélé la présence, sur le poste de travail dédié à la vidéosurveillance, d’extraits vidéo datant du 3 janvier 2022, alors que la société avait défini une durée de conservation des images issues du dispositif de vidéosurveillance de 17 jours.
La société avait expliqué que ces extraits ne contenaient a priori pas de données à caractère personnel, s’agissant de captations réalisées pour des raisons de maintenance des caméras lorsque le magasin était fermé, et qu’ils avaient été supprimés à la suite du contrôle.
La formation restreinte a pris acte de ces explications et a considéré que les pièces versées au dossier ne permettaient pas d’établir la présence de données à caractère personnel dans ces extraits. Elle a donc écarté la caractérisation d’un manquement à l’article 5-1-e du RGPD. Cette décision illustre la rigueur probatoire de la formation restreinte, qui refuse de retenir un manquement dès lors que l’élément constitutif — en l’occurrence la présence effective de données à caractère personnel dans les enregistrements litigieux — n’est pas établi avec certitude.
VIII.
Les moyens de défense de la société et leur traitement par la formation restreinte
Sur la loyauté et la responsabilité
La société a contesté la qualification de traitement déloyal en faisant valoir plusieurs arguments. Elle a notamment soutenu que les caméras n’étaient pas dissimulées dès lors qu’elles étaient disposées sur des murs nus, que les réserves ne constituaient pas le lieu de travail habituel des salariés, que l’objectif du dispositif n’était pas de les surveiller, et que les salariés avaient déjà été informés de la présence de caméras dans les réserves.
La formation restreinte a écarté chacun de ces arguments de manière circonstanciée. Elle a notamment observé que le critère pertinent n’est pas l’emplacement physique des caméras mais leur caractère trompeusement dissimulé dans des appareils d’un tout autre usage. Elle a relevé que les réserves étaient des espaces où les salariés travaillaient effectivement, et que le fait que leur fréquentation soit ponctuelle est sans incidence sur leur droit à ne pas être filmés à leur insu.
Sur la captation sonore
La société a fait valoir qu’elle n’avait pas connaissance de la fonctionnalité audio des caméras « test ». La formation restreinte a rejeté cet argument en soulignant que l’emballage et la notice d’utilisation mentionnaient explicitement cette fonctionnalité. L’obligation d’accountability impose précisément au responsable de traitement de vérifier les caractéristiques techniques des équipements qu’il déploie avant leur installation.
Sur la violation de données
La société a invoqué, pour justifier l’absence de notification, le fait qu’elle n’avait pas spontanément qualifié le vol des cartes SD de violation de données à caractère personnel. La formation restreinte a écarté cet argument en relevant que cette qualification ne présentait aucune ambiguïté au regard des textes et des communications publiques de la CNIL.
Sur la gravité des manquements
En défense, la société avait considéré que la gravité des manquements ne justifiait pas le prononcé d’une amende et qu’un rappel à l’ordre aurait constitué une mesure plus appropriée. Elle avait argué que les salariés n’avaient subi aucun préjudice et qu’elle n’avait jamais eu l’intention de visionner les images. La formation restreinte a écarté ces arguments, relevant notamment que les images avaient nécessairement vocation à être visionnées ne serait-ce que pour valider les angles de prises de vue, que des conversations privées avaient été enregistrées et qu’une plainte avait été déposée.
Sur la négligence
La formation restreinte a caractérisé les manquements comme résultant d’une succession de fautes : absence de vérification du modèle de caméra choisi par le prestataire, absence de documentation de l’installation, absence d’évaluation des risques associés, et absence de consultation de la DPO. Elle a conclu que la société avait fait preuve d’une négligence certaine, retenant ainsi le critère de l’article 83, paragraphe 2, point b du RGPD relatif à l’intentionnalité ou à la négligence des manquements commis.
IX.
La dimension doctrinale : vidéosurveillance dissimulée et équilibre RGPD–droits fondamentaux
L’articulation entre la CEDH et le RGPD dans la surveillance du lieu de travail
La délibération SAN-2025-008 est particulièrement notable pour la manière dont elle articule le cadre conventionnel issu de la jurisprudence de la CEDH avec les obligations du RGPD. La formation restreinte ne se borne pas à constater une violation formelle des dispositions réglementaires ; elle inscrit son raisonnement dans une tradition jurisprudentielle de mise en balance entre les intérêts légitimes de l’employeur — la protection de ses biens contre les vols — et les droits fondamentaux des salariés à la protection de leur vie privée sur le lieu de travail.
L’arrêt López Ribalda (CEDH, Grande Chambre, 17 octobre 2019) avait admis la licéité d’une vidéosurveillance dissimulée dans un contexte de vols graves et multiples, à condition que les principes de proportionnalité et de nécessité soient respectés. La formation restreinte a transposé ces critères dans le cadre du RGPD en considérant que la légitimité de l’objectif poursuivi n’exonère pas le responsable de traitement de son obligation de formaliser les raisons exceptionnelles justifiant la mise en place d’un tel dispositif, d’analyser sa compatibilité avec les principes du règlement et de pouvoir en rendre compte.
L’accountability comme condition de légitimité du traitement exceptionnel
La délibération consacre une vision exigeante du principe d’accountability : ce principe ne se réduit pas à la tenue d’une documentation ex post mais implique une démarche de conformité intégrée dans la décision de déploiement elle-même. Le responsable de traitement qui envisage un dispositif exceptionnellement intrusif doit anticiper, formaliser et documenter ses justifications avant l’installation, non après la découverte de l’illégalité. C’est précisément l’absence de cette démarche préventive — et non seulement l’absence de documents formels — qui fonde le constat de manquement.
La captation sonore comme donnée structurellement excessive dans le contexte de la surveillance sécuritaire
La position de la formation restreinte sur la captation sonore est structurellement cohérente avec la doctrine de la CNIL en matière de vidéosurveillance : le son n’est pas nécessaire à la finalité sécuritaire standard et constitue une atteinte qualitativement distincte à la vie privée, car il peut capter des conversations relevant de la sphre intime ou personnelle, y compris sur le lieu de travail. Cette position converge avec la jurisprudence sociale qui, tout en admettant une certaine limite à l’expectative de confidentialité des salariés sur leur lieu de travail (Cass. soc., 19 juin 2013, n° 12-12.138), préserve un noyau dur de vie privée incompressible.
Le DPO comme acteur préventif de la conformité
La délibération renforce la vision du DPO comme acteur de prévention des non-conformités. La formation restreinte ne se limite pas à constater formellement le non-respect de l’article 38-1 du RGPD : elle démontre que la consultation préalable de la DPO aurait conduit à éviter les manquements retenus, ce que la DPO elle-même avait confirmé à la délégation de contrôle. Cette démonstration causale transforme le manquement à l’article 38-1 d’une violation formelle en un manquement de gouvernance dont les effets concrets sont documentés.
La qualification de violation de données dans le contexte d’un vol par des salariés
La formation restreinte a retenu la qualification de violation de données à caractère personnel à raison du vol de deux cartes SD par des salariés. Cette qualification mérite attention : elle confirme que la violation de données n’implique pas nécessairement un acte malveillant extérieur à l’entreprise, et que la perte de contrôle sur un support physique contenant des données personnelles — même dans le contexte d’un conflit interne — doit être qualifiée, documentée et, le cas échéant, notifiée à l’autorité de contrôle dans le délai de 72 heures.
X.
Analyse critique de certains aspects de la motivation
Sur l’exigence de documentation préalable
La formation restreinte fonde en partie la caractérisation du manquement à l’article 5-1-a sur l’absence d’analyse de conformité préalablement documentée. On peut s’interroger sur le point de savoir si cette exigence de formalisation écrite préalable trouve un fondement textuel explicite dans le RGPD pour un dispositif de vidéosurveillance temporaire. L’article 5-2 consacre une obligation de démonstration a posteriori qui ne se confond pas nécessairement avec une obligation de formalisation préalable systématique. Une analyse substantielle de proportionnalité ayant conduit à des choix techniques appropriés — durée limitée, zones restreintes, retrait rapide — pourrait théoriquement satisfaire au principe d’accountability même sans formalisation documentaire antérieure. Cependant, la pratique décisionnelle de la formation restreinte tend à considérer que l’absence de documentation est en soi révélatrice de l’absence d’analyse, ce qui paraît pragmatiquement justifié.
Sur la qualification de violation de données et son articulation avec la non-conformité initiale du traitement
La qualification de violation de données à caractère personnel à raison du vol des cartes SD soulève une question de qualification juridique délicate. L’article 4-12 du RGPD définit la violation comme une « violation de la sécurité » — ce qui évoque un incident technique ou une intrusion —, et non comme la conséquence d’un traitement initialement non conforme. La formation restreinte a cependant appliqué cette qualification en se fondant sur le fait que la perte de contrôle sur un matériel contenant des données à caractère personnel entre dans le champ de l’exemple illustratif fourni par le CEPD dans ses lignes directrices. Cette lecture extensive, bien que défendable, mérite d’être signalée comme un point de débat potentiel.
Sur le caractère excessif de la captation sonore : une appréciation abstraite ?
La formation restreinte a affirmé que l’enregistrement d’images seules aurait suffi à atteindre la finalité déclarée. Cette affirmation procède d’une appréciation abstraite et ne tient pas entièrement compte des contraintes probatoires concrètes : lorsque les images ne permettent pas une identification certaine (visages dissimulés, angles défavorables), la voix peut constituer une donnée biométrique permettant une identification et les échanges verbaux peuvent révéler l’intention ou la préméditation. Cela étant, la formation restreinte n’a pas à démontrer que des moyens alternatifs auraient été strictement équivalents en toutes circonstances ; il lui suffit d’établir que la captation sonore n’était pas nécessaire eu égard à la finalité déclarée, ce qu’elle a fait de manière convaincante.
XI.
Résonances avec la jurisprudence sociale française
La délibération SAN-2025-008 s’inscrit dans une tradition jurisprudentielle sociale française qui, bien avant l’entrée en application du RGPD, encadrait strictement les dispositifs de surveillance des salariés. La chambre sociale de la Cour de cassation a posé depuis longtemps le principe selon lequel tout dispositif de contrôle des salariés doit être porté préalablement à la connaissance des salariés concernés et, le cas échéant, des représentants du personnel (Cass. soc., 14 mars 2000, Nikon, puis l’ensemble de la jurisprudence sur la loyauté de la preuve en droit du travail). La délibération de la CNIL vient renforcer ce corpus en ajoutant une dimension RGPD qui se superpose aux garanties du droit du travail.
Il est notable que la formation restreinte n’a pas expressément mobilisé les dispositions du code du travail relatives à l’information préalable des représentants du personnel sur les dispositifs de surveillance (article L. 1222-4 du code du travail), se cantonnant au cadre du RGPD. Cette délimitation des compétences de la CNIL — qui n’est pas juge du droit du travail — n’enlève rien à la portée de la décision : les manquements constatés au RGPD peuvent parfaitement coexister avec des violations du droit du travail relevant de la compétence des juridictions sociales.
XII.
Vers une doctrine de la surveillance temporaire et proportionnée sur le lieu de travail
La délibération SAN-2025-008 contribue à l’émergence d’une doctrine cohérente sur les conditions auxquelles un employeur peut déployer un dispositif de vidéosurveillance exceptionnel sur le lieu de travail. Cette doctrine, construite à partir de la jurisprudence CEDH, du RGPD et de la pratique décisionnelle de la CNIL, peut être synthétisée autour de quatre conditions cumulatives.
Premièrement, la légitimité de la finalité : l’objectif doit être réel et sérieux — en l’espèce, la recrudescence documentée de vols —, mais la légitimité de la finalité ne suffit pas à elle seule à justifier le dispositif.
Deuxièmement, la proportionnalité technique : les caractéristiques du dispositif doivent être strictement adaptées à la finalité (zones concernées, durée, absence de captation sonore sauf justification exceptionnelle). Le recours à des équipements plus intrusifs que nécessaire constitue une violation du principe de minimisation.
Troisièmement, la documentation préalable et l’accountability : le responsable de traitement doit analyser, avant le déploiement, la compatibilité du dispositif avec le RGPD et être en mesure d’en rendre compte. Cette documentation doit notamment attester du caractère temporaire de l’installation, des motifs exceptionnels qui la justifient et des mesures prises pour en limiter l’atteinte à la vie privée.
Quatrièmement, la consultation préalable du DPO : le délégué à la protection des données doit être associé en temps utile à la décision de déploiement, conformément à l’article 38-1 du RGPD. Son rôle est de rappeler au responsable de traitement les conditions dans lesquelles un tel dispositif peut légalement être mis en œuvre.
Analyse réalisée exclusivement sur la base des sources primaires figurant aux fichiers de l’espace « CNIL Analyses 2026 » : délibération intégrale SAN-2025-008 du 18 septembre 2025 et communiqué CNIL du 23 septembre 2025.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats