CNIL | SAN-2025-008 | 18 septembre 2025 | Affaire SAMARITAINE SAS | CONSEILS

CONSEILS AUX RESPONSABLES DE TRAITEMENT

A. INSCRIRE TOUTE DÉCISION DE SURVEILLANCE DANS UN CADRE DOCUMENTAIRE PRÉALABLE ET IRRÉPROCHABLE

L’enseignement cardinal de la délibération SAN-2025-008 est d’une clarté absolue : un dispositif de surveillance — même justifié dans son principe par des circonstances exceptionnelles documentées — est illicite s’il n’est pas accompagné d’une traçabilité documentaire adéquate. La formation restreinte ne nie pas qu’une vidéosurveillance secrète puisse, dans des cas limités, être compatible avec le RGPD. Elle exige que le responsable de traitement soit en mesure de démontrer, à tout moment, la réalité des circonstances justifiant l’exception, la proportionnalité du dispositif et son caractère temporaire.

Tout responsable de traitement — et singulièrement toute entreprise employant du personnel dans des zones à risque (réserves, entrepôts, espaces à forte manipulation de valeurs) — doit adopter une procédure écrite de décision à activer avant toute installation d’un quelconque dispositif de surveillance. Cette procédure devra, au minimum, identifier et dater la menace ou le risque justifiant le recours à la surveillance, documenter l’absence de mesures moins intrusives disponibles ou leur insuffisance, fixer dès l’origine la durée maximale d’utilisation du dispositif avec une date butoir de retrait, désigner la personne responsable de son exécution et de son suivi, et conserver l’ensemble de ces éléments dans un document formalisé, signé, versé au registre des traitements.

L’absence d’un bon de commande écrit, d’un échange de courriels tracé avec le prestataire, ou de tout document interne attestant du caractère temporaire du déploiement a constitué, dans l’affaire SAMARITAINE, l’un des éléments centraux de la caractérisation du manquement. Ce qui n’est pas écrit n’existe pas au regard du principe d’accountability. Il ne suffit pas d’agir conformément au RGPD : il faut en être en mesure de le démontrer.

B. RÉALISER OU METTRE À JOUR L’AIPD AVANT TOUT DÉPLOIEMENT, Y COMPRIS EN SITUATION D’URGENCE

La délibération révèle que la société SAMARITAINE SAS n’avait intégré le dispositif de vidéosurveillance test à son Analyse d’Impact relative à la Protection des Données qu’à compter du 22 décembre 2023, soit postérieurement à l’installation intervenue fin août 2023 et au contrôle réalisé le 29 novembre 2023. Cette séquence — installation d’abord, documentation ensuite — est précisément ce que le RGPD interdit. La formation restreinte a retenu ce fait comme l’un des éléments caractérisant le manquement au principe d’accountability.

La règle est simple : aucun traitement nouveau, y compris temporaire ou expérimental, ne doit démarrer sans qu’une évaluation de sa conformité au RGPD ait été conduite au préalable. Lorsqu’une AIPD complète ne peut être finalisée dans les délais impartis par l’urgence, une évaluation simplifiée et documentée — aussi sommaire soit-elle — vaut infiniment mieux que l’absence totale de documentation. Elle atteste de la prise en compte des exigences réglementaires, même partielle, et constitue une circonstance atténuante précieuse en cas de contrôle ultérieur.

En pratique, l’organisation doit se doter d’un formulaire d’évaluation rapide utilisable en situation d’urgence, comprenant au minimum : la description du traitement envisagé, la finalité poursuivie, les catégories de données et de personnes concernées, les droits fondamentaux potentiellement affectés, les mesures de sécurité prévues, la durée prévue et la date de retrait planifiée, l’identité de la personne ayant pris la décision et la date de cette décision. Ce formulaire, même incomplet, prouve que le responsable de traitement a exercé son jugement et ne s’est pas dispensé de tout contrôle de légalité interne.

ASSOCIER SYSTÉMATIQUEMENT LE DPO AVANT TOUT TRAITEMENT INTRUSIF, Y COMPRIS EN URGENCE

La délibération SAN-2025-008 constitue une mise en garde sévère adressée à tous les responsables de traitement qui concevraient le Délégué à la Protection des Données comme un acteur consultatif dont la saisine peut être différée ou omise en cas de contrainte opérationnelle. La formation restreinte écarte sans ambiguïté l’argument de la période estivale invoqué par la société :

« outre le fait que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données, le caractère particulièrement intrusif du dispositif envisagé aurait dû, lui seul, conduire le responsable de traitement à consulter la déléguée avant de démarrer l’installation du dispositif » (§ 75).

La décision rappelle que la DPO, si elle avait été consultée, « aurait alerté la société sur le fait que le dispositif n’était pas conforme au cadre prévu par le RGPD » (§ 87). Autrement dit, le DPO n’est pas seulement un validateur formel : il est un filet de sécurité juridique et opérationnel dont la non-consultation expose le responsable de traitement à un risque de sanction caractérisé.

Tout responsable de traitement doit donc instituer une procédure de consultation obligatoire du DPO pour tout traitement :
—-impliquant une surveillance des salariés ou des tiers (vidéosurveillance, géolocalisation, logiciels espions, écoutes) ;
—-utilisant des dispositifs dissimulés ou non visibles ;
—-mettant en jeu des données susceptibles de révéler des informations sur la sphère personnelle des personnes concernées ;
—-opérant dans des espaces privatifs ou réservés.

Cette consultation doit être tracée — par courriel, compte-rendu ou note interne — et son résultat formalisé. Lorsque les circonstances ne permettent pas une consultation préalable complète, le DPO doit être informé immédiatement — y compris par un simple message électronique — de l’existence du dispositif et de sa nature. Le défaut d’information même sommaire est une faute en soi.

CHOISIR ET SUPERVISER RIGOUREUSEMENT LES PRESTATAIRES EN MATIÈRE DE DISPOSITIFS DE SURVEILLANCE

La délibération révèle que la société SAMARITAINE SAS n’avait pas vérifié le modèle de caméra choisi par son prestataire. C’est ainsi que des caméras équipées de microphones — dont le responsable de traitement n’avait pas nécessairement envisagé l’usage — ont été installées et ont capturé des conversations privées entre salariés. La formation restreinte a expressément relevé cette défaillance dans la liste des fautes constitutives de la négligence caractérisée (§ 88).

Cette défaillance rappelle une règle fondamentale du droit de la protection des données : le recours à un sous-traitant n’exonère pas le responsable de traitement de sa responsabilité. Le responsable de traitement doit s’assurer que les équipements mis en place par ses prestataires sont conformes aux spécifications validées, notamment en ce qui concerne les fonctionnalités de collecte de données.

En pratique, tout contrat de mise en place d’un dispositif de surveillance doit comporter :
—-une description précise des équipements utilisés et de leurs caractéristiques techniques, notamment la présence ou l’absence de microphones ;
—-l’engagement du prestataire à n’utiliser que les équipements décrits contractuellement ;
—-une procédure de validation technique préalable au déploiement, permettant au responsable de traitement de vérifier la conformité des équipements avec les spécifications convenues ;
—-les clauses de sous-traitance conformes à l’article 28 du RGPD, précisant les mesures de sécurité imposées au prestataire.

E. METTRE À JOUR LE REGISTRE DES TRAITEMENTS IMMÉDIATEMENT DÈS QU’UN NOUVEAU TRAITEMENT EST ENVISAGÉ

La formation restreinte a expressément retenu que le traitement de données lié au dispositif de vidéosurveillance test n’était pas mentionné dans le registre des traitements de la société (§ 33). Ce constat illustre un risque organisationnel fréquent : les registres des traitements ont tendance à constituer une photographie figée des traitements à un moment donné, et non un instrument dynamique mis à jour en temps réel.

Le registre des traitements n’est pas une liste figée de traitements « officiels ». Il doit refléter tous les traitements en cours, y compris ceux qui sont temporaires, expérimentaux ou de nature urgente. Toute mise en place d’un nouveau traitement — même provisoire — doit s’accompagner d’une mise à jour immédiate du registre.

À cette fin, il est recommandé d’instituer une procédure interne prévoyant que :
—-toute décision de mise en place d’un nouveau traitement déclenche automatiquement une mise à jour du registre des traitements ;
—-le DPO est informé de chaque mise à jour et valide son exhaustivité ;
—-une revue semestrielle du registre est organisée pour s’assurer de sa complétude, notamment en ce qui concerne les traitements mis en place par les directions opérationnelles sans consultation préalable de la fonction conformité.

F. IDENTIFIER ET NOTIFIER SANS DÉLAI TOUTE VIOLATION DE DONNÉES, Y COMPRIS LES COLLECTES ILLICITES INTERNES

La délibération SAN-2025-008 opère une qualification juridiquement importante : l’installation de caméras dissimulées équipées de microphones et l’enregistrement sonore de conversations privées constituent une violation de données à caractère personnel devant être notifiée à la CNIL dans les 72 heures et documentée dans le registre des violations (art. 33-1 et 33-5 RGPD).

Cela signifie que la notion de « violation de données » ne se limite pas aux hypothèses d’intrusion externe, de vol de données ou de fuite accidentelle : un traitement interne délibérément non conforme peut lui-même constituer une violation de données. Cette extension de la notion est fondamentale pour les responsables de traitement, qui doivent désormais inclure dans leur dispositif de gestion des violations tout incident impliquant une collecte illicite ou déloyale de données, quand bien même cette collecte résulte de leur propre décision opérationnelle.

En pratique, le registre des violations doit être tenu à jour pour toutes ces situations et accessible au DPO. La procédure interne de gestion des violations doit prévoir une clause de signalement obligatoire dès lors qu’un responsable opérationnel prend conscience qu’un traitement a été mis en place sans les garanties réglementaires requises.

---

CONSEILS AUX PERSONNES CONCERNÉES — SALARIÉS ET REPRÉSENTANTS DU PERSONNEL

A. CONNAÎTRE SES DROITS FACE À LA SURVEILLANCE EN MILIEU PROFESSIONNEL

La délibération SAN-2025-008 illustre avec acuité que les salariés bénéficient d’une protection effective contre les dispositifs de surveillance dissimulée, y compris dans des espaces professionnels réservés tels que les réserves ou les entrepôts. Le RGPD reconnaît aux salariés, en leur qualité de personnes concernées, l’ensemble des droits prévus aux articles 12 à 22 du règlement, dont le droit à l’information, le droit d’accès et le droit de porter plainte auprès de la CNIL.

L’existence d’une atteinte à la vie privée au travail n’est pas conditionnée à la survenance d’un préjudice matériel immédiatement quantifiable. La CEDH elle-même a reconnu, dans l’arrêt López Ribalda (CEDH, Gr. Ch., 2019), que la vidéosurveillance secrète constitue une ingérence dans la vie privée du salarié, susceptible d’être justifiée mais devant, en tout état de cause, être proportionnée et entourée de garanties suffisantes. Dès lors que ces conditions ne sont pas remplies, le salarié dispose de voies de recours tant devant les juridictions civiles et prud’homales que devant la CNIL.

B. EXERCER LE DROIT À L’INFORMATION ET LE DROIT D’ACCÈS AUPRÈS DE L’EMPLOYEUR

Tout salarié qui soupçonne l’existence d’un dispositif de surveillance — visible ou dissimulé — peut exercer son droit d’accès auprès de son employeur conformément à l’article 15 du RGPD, afin d’obtenir la confirmation de l’existence d’un traitement le concernant, les catégories de données traitées, la finalité du traitement et la durée de conservation des données.

La demande doit être adressée par écrit — de préférence par courriel ou courrier avec accusé de réception — au responsable de traitement, avec copie au DPO lorsque celui-ci est identifié. L’employeur dispose d’un délai d’un mois pour répondre, prorogeable à deux mois en cas de complexité particulière. En l’absence de réponse ou en cas de réponse manifestement insuffisante, le salarié peut saisir la CNIL d’une plainte.

Il est recommandé de conserver une copie de toutes les demandes et de toutes les réponses, ainsi que la correspondance avec les représentants du personnel. Ces éléments constituent une documentation précieuse en cas de saisine ultérieure de la CNIL ou du conseil de prud’hommes.

SAISIR LA CNIL D’UNE PLAINTE EN CAS DE SURVEILLANCE ILLICITE

La CNIL est compétente pour recevoir et instruire toute plainte relative à un traitement de données à caractère personnel ne respectant pas les exigences du RGPD ou de la loi Informatique et Libertés. Une plainte peut être déposée en ligne sur le site de la CNIL (www.cnil.fr), sans assistance d’un avocat.

Pour être efficace, la plainte doit comporter :
—-une description précise des faits constatés (existence du dispositif, lieu, période, découverte) ;
—-les éléments disponibles sur la nature du dispositif (présence de son, orientation des caméras, accès aux images) ;
—-les démarches préalablement entreprises auprès de l’employeur et leurs résultats ;
—-toute pièce utile (photographies, échanges internes, témoignages, articles de presse).

La présente affaire SAMARITAINE illustre précisément l’efficacité de ce dispositif : c’est une plainte d’un salarié, déposée le 28 novembre 2023, qui a déclenché le contrôle sur place de la CNIL le lendemain et conduit à la sanction prononcée en 2025.

DOCUMENTER LE PRÉJUDICE SUBI EN VUE D’UNE ÉVENTUELLE ACTION INDEMNITAIRE

L’article 82 du RGPD reconnaît à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement le droit d’obtenir réparation du responsable du traitement. La surveillance secrète est susceptible de causer un préjudice moral réel — sentiment d’atteinte à la dignité, anxiété, atteinte à la vie privée, enregistrement de conversations intimes — dont la réparation peut être sollicitée devant les juridictions compétentes (conseil de prud’hommes pour les salariés, tribunal judiciaire pour les autres personnes concernées).

Pour fonder une telle action, le salarié doit documenter avec précision les éléments constitutifs du préjudice :
—-la preuve de l’existence du dispositif de surveillance (photographies, témoignages, rapport de la CNIL si disponible) ;
—-la période pendant laquelle il était présent dans la zone surveillée ;
—-la nature et le contenu des conversations enregistrées, si cette information est disponible ;
—-les conséquences personnelles concrètes de la surveillance (troubles du sommeil, anxiété, dégradation des conditions de travail, sentiment de violation de l’intimité).

La CNIL ayant prononcé une sanction publique, cette délibération constitue un élément probatoire utilisable par les salariés concernés dans le cadre d’une action indemnitaire, pour établir la réalité et l’illicéité du traitement.

E. ALERTER LES INSTANCES REPRÉSENTATIVES DU PERSONNEL

La délibération révèle que les représentants du personnel ont joué un rôle déterminant dans la découverte du dispositif et dans l’information de la DPO. Les salariés qui soupçonnent l’existence d’un dispositif de surveillance illicite ont tout intérêt à alerter les instances représentatives compétentes (comité social et économique, délégués syndicaux, délégué à la protection des données), qui disposent de prérogatives spécifiques en matière d’information et de consultation sur les traitements affectant les conditions de travail.

Le comité social et économique (CSE) doit en effet être informé et consulté préalablement à la mise en place de tout traitement automatisé susceptible d’avoir des incidences sur les conditions de travail (article L. 2312-38 du Code du travail). L’absence de consultation du CSE avant la mise en place d’un dispositif de surveillance constitue non seulement un manquement au droit du travail mais aussi un élément aggravant du manquement au principe de loyauté prévu à l’article 5-1-a du RGPD.

---

APPROFONDISSEMENTS — LA SURVEILLANCE SECRÈTE EN MILIEU DE TRAVAIL : UN CADRE JURIDIQUE DÉSORMAIS PLEINEMENT CONSTITUÉ

A. L’ARTICULATION ENTRE RGPD ET DROIT DU TRAVAIL

La délibération SAN-2025-008 illustre la nécessité d’articuler correctement le RGPD et le droit du travail lorsqu’un dispositif de surveillance affecte des salariés. Ces deux corpus normatifs se superposent sans se neutraliser. Le RGPD régit la licéité du traitement de données à caractère personnel opéré au moyen du dispositif de surveillance. Le droit du travail — et notamment les règles relatives aux pouvoirs de l’employeur, à l’obligation d’information et à la consultation des institutions représentatives — régit les conditions dans lesquelles ce dispositif peut être mis en place dans la relation de travail.

Un employeur qui respecterait le droit du travail (consultation du CSE, information des salariés) mais omettrait de documenter le traitement au regard du RGPD (registre, AIPD, consultation du DPO) encourt une sanction de la CNIL. Inversement, un employeur qui satisferait aux exigences documentaires du RGPD mais n’aurait pas consulté le CSE encourrait une responsabilité prud’homale ou pénale. La conformité intégrale exige le respect simultané et coordonné des deux cadres.

B. LES CONDITIONS DE LÉGALITÉ DE LA VIDÉOSURVEILLANCE SECRÈTE EN ENTREPRISE : UN CADRE DÉSORMAIS PRÉCIS

La jurisprudence combinée de la CEDH (López Ribalda, 2019) et de la CNIL (SAN-2025-008) permet de définir avec précision les conditions cumulatives dans lesquelles une vidéosurveillance secrète peut être jugée compatible avec le RGPD :

Première condition : L’existence de soupçons raisonnables et documentés d’irrégularités graves, et non de simples suspicions générales de malveillance.

Deuxième condition : L’impossibilité ou l’insuffisance démontrée des mesures moins intrusives (caméras visibles, contrôles renforcés, audits).

Troisième condition : Le caractère strictement temporaire du dispositif, attesté par une décision écrite fixant dès l’origine la date de retrait.

Quatrième condition : La documentation préalable de la compatibilité du dispositif avec le RGPD — AIPD ou évaluation simplifiée, enregistrement au registre des traitements.

Cinquième condition : La consultation préalable du DPO, dont l’avis doit être formalisé.

Sixième condition : La minimisation stricte des données collectées — notamment l’absence de captation sonore lorsque la finalité poursuivie ne le requiert pas.

L’absence d’une seule de ces conditions suffit à caractériser un manquement au RGPD. La délibération SAN-2025-008 illustre la violation simultanée de la quasi-totalité de ces conditions par la société SAMARITAINE SAS.

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 18 septembre 2025, publiée sur Légifrance le 23 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS — exploitant le grand magasin éponyme de Paris depuis 2021, avec environ 640 salariés et 4 millions de visiteurs annuels — d’une amende administrative de 100 000 euros pour cinq manquements distincts au Règlement général sur la protection des données, consécutifs à l’installation, fin août 2023, de caméras dissimulées dans de faux détecteurs de fumée équipées de microphones, déployées dans les réserves de l’établissement à la suite d’une augmentation des vols de marchandises, sans consultation du délégué à la protection des données, sans inscription préalable au registre des traitements, sans actualisation de l’AIPD et sans notification de la violation de données ainsi constituée, le tout en l’absence de tout document écrit — bon de commande, courriel, note de service — permettant d’établir le caractère temporaire et justifié du dispositif, caméras qui ont en réalité été découvertes et démontées par les salariés eux-mêmes les 28 septembre et 2 octobre 2023, déclenchant une plainte le 28 novembre 2023 et un contrôle sur place de la CNIL le lendemain.

La délibération retient cinq manquements : au principe de loyauté (art. 5-1-a RGPD), au principe d’accountability (art. 5-2 RGPD), au principe de minimisation des données (art. 5-1-c RGPD — captation sonore de conversations privées de salariés totalement étrangère aux finalités déclarées du dispositif), à l’obligation de notification et de documentation des violations de données (art. 33 §1 et §5 RGPD — la collecte illicite interne par caméras dissimulées constituant elle-même une « violation de données » au sens de l’article 4-12 du RGPD), et à l’obligation d’associer le DPO (art. 38-1 RGPD — dont la déléguée a expressément déclaré que sa consultation préalable l’aurait conduit à alerter la société sur la non-conformité du dispositif) ; elle écarte en revanche le manquement à l’article 5-1-e du RGPD relatif à la limitation de la durée de conservation.

Sur le plan doctrinal, la décision se distingue par plusieurs apports fondamentaux : elle transpose fidèlement l’arrêt CEDH López Ribalda Gr. Ch. 2019 dans le cadre du RGPD, en admettant la légitimité de principe de la surveillance secrète en cas de circonstances exceptionnelles documentées, tout en exigeant que le responsable de traitement soit en mesure d’en démontrer la justification par des éléments écrits contemporains des faits — consacrant ainsi le principe d’accountability comme condition sine qua non de l’admissibilité d’une vidéosurveillance dissimulée ; elle confirme et enrichit la jurisprudence antérieure (SAN-2024-021, décembre 2024, société immobilière, 40 000 €) qui qualifiait déjà la captation sonore en milieu professionnel de contraire au principe de minimisation ; elle opère une extension significative de la notion de « violation de données » au-delà des seules intrusions externes, en qualifiant la collecte illicite interne de violation devant être notifiée et documentée ; elle impose au DPO un rôle opérationnel ex ante non négociable, dont l’omission est constitutive d’un manquement autonome sanctionnable, l’urgence ou la période estivale ne pouvant exonérer le responsable de traitement de l’obligation a minima d’adresser un message d’information au délégué avant tout déploiement ; elle ouvre enfin la voie à des actions indemnitaires des salariés concernés sur le fondement de l’article 82 du RGPD, la délibération publique constituant un élément probatoire mobilisable tant devant le conseil de prud’hommes que dans le cadre de demandes de nullité de toute procédure disciplinaire fondée sur des éléments recueillis par ce dispositif illicite.