CNIL | SAN-2025-008 | 18 SEPTEMBRE 2025 | AFFAIRE SAMARITAINE SAS |
SAMARITAINE SAS | ON TROUVE TOUJOURS TOUT A LA SAMARITAINE !
FAUX DÉTECTEURS DE FUMÉE, VRAIS MICROPHONES, VRAIES CAMÉRAS ESPIONS DANS LES RÉSERVES DE LA “SAMAR”
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
CONTEXTE FACTUEL : LA VIDÉOSURVEILLANCE DISSIMULÉE DANS LES RÉSERVES
La société SAMARITAINE SAS exploite le grand magasin parisien La Samaritaine depuis 2021. Elle emploie environ 640 salariés et accueille quelque 4 millions de visiteurs par an. Le contexte ayant conduit à la mise en place du dispositif litigieux est une recrudescence de vols de marchandises survenue dans les deux rserves du magasin entre le 14 et le 23 août 2023.
Face à cette situation, la direction a décidé d’installer de nouvelles caméras afin de mieux couvrir les angles morts du dispositif de vidéosurveillance classique préexistant. Ces caméras dites « test » avaient selon la société une finalité de repérage : identifier les angles de prises de vues les plus adéquats en vue de l’implantation de futures caméras pérennes. Cependant, le choix technique effectué par le prestataire nouvellement sollicité — le prestataire habituel n’étant pas disponible durant la période estivale — a conduit à l’installation de cinq caméras prenant l’apparence de détecteurs de fumée et dotées de microphones permettant l’enregistrement sonore.
Ces caméras fonctionnaient sur batterie, étaient simplement collées aux murs et n’étaient pas reliées au système de vidéosurveillance classique. Les enregistrements étaient stockés sur cartes SD. La commande avait été passée uniquement à l’oral, sans bon de commande écrit. Le dispositif n’a été ni mentionné dans le registre des traitements de la société, ni intégré à son analyse d’impact au moment de son déploiement. La déléguée à la protection des données (DPD) n’en a pas été informée préalablement. Le dispositif a finalement été découvert et démonté par les salariés eux-mêmes en septembre 2023 — entre le 13 et le 14 septembre —, lesquels ont conservé deux cartes SD contenant les enregistrements réalisés.
LE DÉCLENCHEMENT DU CONTRÔLE ET L’INSTRUCTION DU DOSSIER
Le 25 novembre 2023, un article de presse révèle l’installation des caméras espion. Une plainte d’un salarié est transmise à la CNIL le 28 novembre 2023. Un contrôle sur place est diligenté dès le 29 novembre 2023. Des auditions complémentaires sont conduites les 11 et 20 décembre 2023. Un contrôle sur pièces est effectué le 15 juillet 2024. La rapporteure désignée le 6 février 2025 notifie son rapport le 13 mars 2025. La société produit ses observations en défense le 14 avril 2025. La formation restreinte siège le 3 juillet 2025 et rend sa délibération le 18 septembre 2025.
LA DISLOYAUTÉ DU TRAITEMENT ET LE DÉFAUT D’ACCOUNTABILITY (ARTICLES 5-1-A ET 5-2 RGPD)
Le premier et principal manquement retenu par la formation restreinte porte sur la violation des principes de loyauté et de transparence combinés au principe d’accountability. L’article 5-1-a du RGPD exige que les données à caractère personnel soient traitées de manière « licite, loyale et transparente au regard de la personne concernée ». L’article 5-2 impose au responsable de traitement d’être en mesure de démontrer le respect de ces principes.
La formation restreinte rappelle en préambule sa doctrine constante en matière de vidéosurveillance : les obligations de transparence du RGPD n’impliquent pas la communication d’un plan indiquant les emplacements exacts des caméras — CNIL, P, 29 mai 2024, Rejet, Commune de X, 27412 —, mais exigent en principe que les caméras soient visibles et non dissimulées. Elle admet toutefois, dans le prolongement de la jurisprudence de la Cour européenne des droits de l’homme, qu’une exception existe pour des circonstances exceptionnelles.
La jurisprudence de référence est l’arrêt de Grande Chambre López Ribalda et autres c. Espagne (CEDH, 17 octobre 2019, req. n° 1874/13 et 8567/13). Dans cet arrêt, la CEDH a jugé que l’existence de soupçons raisonnables d’irrégularités graves et l’ampleur des manques constatés peuvent constituer des justifications sérieuses au recours à une surveillance secrète, à condition que soient respectés des critères cumulatifs : information préalable de l’employé sur la possibilité d’une vidéosurveillance, degré d’intrusion limité, justification par des motifs légitimes, impossibilité de recourir à des moyens moins intrusifs, examen des conséquences pour les salariés, et existence de garanties adéquates.
En l’espèce, la formation restreinte ne conteste pas la légitimité de l’objectif poursuivi — la lutte contre les vols —, ni même le caractère temporaire du dispositif sur le plan technique. Elle retient le manquement sur un fondement distinct : l’absence totale de formalisation documentaire permettant d’attester de ce caractère temporaire et de démontrer que la proportionnalité du dispositif a été analysée en amont. Le traitement n’était pas inscrit au registre des traitements au moment du déploiement, aucun bon de commande écrit n’établissait le caractère temporaire de l’installation, l’AIPD n’a intégré le dispositif que le 22 décembre 2023 — soit postérieurement au contrôle de la CNIL —, et la DPD n’en a pas été informée.
La formation restreinte considère que les caractéristiques techniques des caméras — fonctionnant sur batterie, simplement collées au mur — corroborent certes les déclarations de temporalité de la société. Mais elle souligne que la responsabilisation prévue par l’article 5-2 du RGPD impose une démonstration, et non une simple allégation. Elle écarte également l’argument selon lequel les salariés étaient déjà informés de la présence d’un dispositif classique de vidéosurveillance : les caméras test prenant l’apparence de détecteurs de fumée, les salariés ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras.
Un troisième argument de la société est écarté avec fermeté : la thèse selon laquelle les caméras test n’avaient pas pour objectif de surveiller les salariés mais d’identifier les angles de vue. La formation restreinte juge que dès lors que le but était de s’assurer que les futures caméras permettent de détecter les vols, les caméras test ont nécessairement été positionnées pour capter les faits et gestes des salariés. En tout état de cause, le dispositif a effectivement capté des images et des conversations, indépendamment de l’intention initiale invoquée.
LA VIOLATION DU PRINCIPE DE MINIMISATION DES DONNÉES (ARTICLE 5-1-C RGPD)
Le deuxième manquement retenu concerne le principe de minimisation. L’article 5, §1, point c du RGPD dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe impose au responsable de traitement de s’abstenir de collecter des données sans utilité pour atteindre les finalités poursuivies.
La formation restreinte rappelle sa doctrine constante : un dispositif de vidéosurveillance proportionné ne doit pas, en principe, capter le son. Elle cite à cet égard la délibération SAN-2024-021 du 19 décembre 2024 : « La captation du son n’est admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier, et doit alors généralement ne pas être mise en œuvre en continu mais seulement lorsqu’un événement particulier se produit ».
En l’espèce, les caméras test étaient équipées de microphones qui ont permis la captation de conversations entre salariés relevant de la sphre personnelle. L’un des enregistrements capte une conversation dans laquelle un salarié évoque son départ de la société. La finalité annoncée par la société — identifier les angles de prises de vue pour des caméras futures — ne justifiait nullement l’enregistrement sonore : cet objectif pouvait être atteint par le seul recours à l’enregistrement d’images.
L’argument défensif central de la société est que la décision d’installation a été prise en urgence pendant la période estivale, que le prestataire habituel n’était pas disponible, et qu’elle a laissé le soin au nouveau prestataire de choisir le modèle de caméra sans le valider. Elle affirme ne pas avoir eu connaissance de la fonctionnalité de captation sonore. La formation restreinte écarte cet argument de manière décisive : l’emballage des caméras et leur notice d’utilisation mentionnaient explicitement la présence d’un microphone et la fonctionnalité d’écoute. La société disposait donc, avant l’installation, de tous les éléments nécessaires pour savoir que le modèle comportait cette fonctionnalité.
Mais l’enjeu normatif dépasse la seule question de la connaissance effective. La formation restreinte énonce un principe d’accountability appliqué à la sous-traitance technique : en application des articles 5-2 et 24 du RGPD, le responsable de traitement est tenu de s’assurer que le modèle de caméras mis en place ne produit pas de traitement incompatible avec les textes applicables. La délégation du choix technique au prestataire ne saurait constituer une cause exonératoire : le responsable de traitement demeure responsable des choix techniques opérés en son nom.
L’ABSENCE DE NOTIFICATION DE VIOLATION DE DONNÉES (ARTICLE 33 RGPD, §§ 1 ET 5)
Le troisième manquement retenu porte sur l’obligation de notification des violations de données à caractère personnel. L’article 33, §1, du RGPD impose au responsable de traitement de notifier toute violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes concernées à l’autorité de contrôle dans un délai de 72 heures après en avoir pris connaissance. L’article 33, §5, impose la documentation de toute violation de données dans un registre interne.
Les faits sont les suivants : lors du démontage des caméras test par les salariés entre les 13 et 14 septembre 2023, ceux-ci ont conservé deux cartes SD contenant les enregistrements. La société a eu connaissance de cette soustraction quelques jours après, soit bien avant le contrôle du 29 novembre 2023. Pourtant, au jour du contrôle, aucune notification n’avait été adressée à la CNIL et aucune inscription n’avait été portée au registre interne des violations.
La société se défend en expliquant qu’elle n’a compris que lors des échanges avec la délégation de contrôle que la soustraction des cartes SD constituait une violation de données à caractère personnel, et qu’elle a notifié la CNIL le 2 décembre 2023 — dans les 72 heures suivant cette qualification. La formation restreinte rejette cet argument avec force. Elle rappelle que la perte de contrôle d’un support contenant des données personnelles est explicitement citée comme exemple de violation de données par l’article 4-12 du RGPD, qu’elle figure dans les lignes directrices du CEPD et dans les communications publiques de la CNIL. La qualification de violation de données ne présentait « pas la moindre ambiguïté » : des enregistrements vidéo et sonores de salariés étaient stockés sur des cartes SD désormais en possession de tiers non autorisés.
La formation restreinte ajoute que la présence sur ces cartes SD d’enregistrements concernant des salariés rendait la violation susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, rendant obligatoire la notification à l’autorité de contrôle. L’argument de qualification tardive est d’autant moins recevable que la société, en tant que responsable de traitement, devait disposer de procédures internes permettant de détecter et qualifier rapidement ce type d’incidents.
LE DÉFAUT D’ASSOCIATION DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES (ARTICLE 38-1 RGPD)
Le quatrième manquement retenu concerne l’obligation d’associer le délégué à la protection des données aux questions relatives à la protection des données. L’article 38, §1, du RGPD dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».
En l’espèce, la DPD a été informée pour la première fois de l’existence du dispositif par courriers électroniques du 28 septembre 2023 — soit postérieurement à l’installation du dispositif et à son démontage. Elle n’a jamais été consultée en amont. La formation restreinte souligne deux éléments à cet égard.
1., la DPD interrogée par la délégation de contrôle a déclaré que si elle avait été consultée, elle aurait alerté la société sur le fait que le dispositif était contraire aux principes de transparence et de loyauté. La consultation préalable aurait ainsi, selon toute probabilité, permis d’éviter les manquements. 2., la formation restreinte écarte l’argument d’urgence avancé par la société. Elle reconnaît que la période estivale a rendu difficile la consultation en amont. Mais elle considère que l’impossibilité de différer l’installation dans l’attente de la consultation n’est pas démontrée, et surtout que le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable de traitement à consulter la DPD — ne serait-ce que de manière informelle.
La formation restreinte précise encore que la société n’a même pas adressé à la DPD un simple message lui signalant le déploiement du dispositif, dont elle aurait pu prendre connaissance ultérieurement. La non-consultation est donc totale et non circonstanciellement justifiée.
LE MANQUEMENT ÉCARTÉ : LA DURÉE DE CONSERVATION (ARTICLE 5-1-E RGPD)
La rapporteure avait également retenu dans son rapport un manquement à l’obligation de respect des durées de conservation définies, en relevant la présence sur le poste de travail dédié à la vidéosurveillance d’extraits vidéo datant du 3 janvier 2022, alors que la société avait défini une durée de conservation de 17 jours.
La formation restreinte prend acte des explications de la société, qui indique que ces extraits concernaient des captations réalisées pour des raisons de maintenance des caméras, lorsque le magasin était fermé. Elle considère que les pièces versées au dossier ne permettent pas d’établir la présence de données à caractère personnel dans ces extraits. Elle écarte donc ce manquement en l’absence d’élément probant suffisant. Cette issue illustre la rigueur probatoire que la formation restreinte s’impose : le manquement doit être établi sur la base de constatations factuelles documentées et non sur des présomptions.
ANALYSE CRITIQUE DES FONDEMENTS RETENUS
Sur l’exigence de formalisation documentaire pralable. Le raisonnement de la formation restreinte repose sur une lecture extensive du principe d’accountability. Si l’article 5-2 du RGPD impose au responsable de traitement d’être en mesure de démontrer le respect des principes du §1, il ne prescrit pas explicitement une formalisation documentaire préalable systématique pour tout dispositif temporaire. La formation restreinte comble ce silence par une exigence de traçabilité que les textes ne formulent pas en termes aussi précis. On peut se demander si une analyse de proportionnalité conduite oralement mais suivie d’effets — dispositif techniquement temporaire, déployé en réponse à un contexte de vol avéré, retiré dans un délai court — pouvait satisfaire à l’obligation de responsabilisation, quand bien même elle n’aurait pas été formalisée par écrit.
Sur le caractère excessif de la captation sonore. La formation restreinte affirme que les images seules auraient suffi pour atteindre la finalité annoncée. Cette affirmation procède d’une appréciation abstraite. L’enregistrement sonore peut constituer un élément probatoire déterminant : il permet l’identification lorsque les images sont insuffisantes (visages dissimulés, angles défavorables), révèle l’intention des personnes, l’existence d’une préméditation ou d’une organisation collective. La jurisprudence sociale a établi que l’expectative de confidentialité des salariés sur leur lieu de travail est nécessairement limitée (Cass. soc., 19 juin 2013, n° 12-12.138). Ces éléments méritent d’être mis en balance avec l’appréciation de la formation restreinte.
Sur la qualification de violation de données. La qualification retenue soulève une difficulté conceptuelle. L’article 4-12 du RGPD définit la violation de données comme un incident de sécurité caractérisé entraînant une divulgation non autorisée ou un accès non autorisé. Dans l’espèce, il n’y a eu ni divulgation à des tiers ni accès par des personnes n’ayant pas vocation à consulter les données. Ce sont les salariés eux-mêmes qui ont conservé les cartes SD à l’occasion du démontage du dispositif. Si la perte de contrôle d’un support peut constituer une violation de données, la question se pose de savoir si la non-conformité initiale du traitement ne se confond pas ici avec la qualification d’incident de sécurité — une confusion que les Lignes directrices du CEPD sur la notification des violations (WP250 rév. 01) ne confortent pas nécessairement.
Sur la consultation du DPO. La notion « en temps utile » de l’article 38-1 du RGPD ne signifie pas nécessairement consultation préalable systématique. La formation restreinte admet elle-même que les circonstances d’urgence pouvaient rendre difficile la consultation en amont. On peut soutenir qu’une consultation consécutive immédiatement à l’installation, en situation d’urgence opérationnelle avérée, pourrait satisfaire à l’exigence du texte. L’argument selon lequel la consultation aurait évité les manquements relève au demeurant de la spéculation rétrospective, le DPO n’ayant qu’un rôle consultatif.
LES MOYENS DE DÉFENSE ET LEUR TRAITEMENT PAR LA FORMATION RESTREINTE
La société SAMARITAINE SAS a articulé plusieurs lignes défensives. Elle a soutenu que les caméras n’étaient pas dissimulées puisque disposées sur des murs nus — argument écarté par la formation restreinte au motif que leur apparence de détecteurs de fumée suffisait à les rendre imperceptibles comme caméras. Elle a affirmé que les salariés n’avaient subi aucun préjudice — argument atténuant retenu dans l’appréciation de la gravité mais insuffisant pour écarter le manquement. Elle a contesté avoir eu connaissance de la fonctionnalité sonore — argument rejeté au vu des mentions explicites sur l’emballage et la notice.
Elle a également soutenu que la gravité des manquements ne justifiait pas le prononcé d’une amende et qu’un simple rappel à l’ordre aurait été une mesure plus appropriée. La formation restreinte rejette cette thèse en relevant que l’utilisation de caméras prenant l’apparence de détecteurs de fumée, permettant de surcroît l’enregistrement sonore, « a porté atteinte aux libertés et droits fondamentaux des salariés qui ont été filmés et enregistrés à leur insu ». Elle rappelle que des conversations privées ont été enregistrées, dont une évoquant la démission d’un salarié, et que ce n’est qu’à la faveur du démontage par les salariés que les manquements ont cessé.
La formation restreinte qualifie par ailleurs la négligence de la société de « certaine » en relevant une succession de fautes : défaut de vérification du modèle de caméra choisi par le prestataire, défaut de documentation de l’installation, défaut d’évaluation des risques, défaut de consultation de la DPD. Ces fautes cumulatives attestent d’une absence de culture de conformité RGPD dans la gestion opérationnelle du dispositif de surveillance.
POINTS ESSENTIELS
Par délibération du 18 septembre 2025, publiée sur Légifrance le 23 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS — exploitant le grand magasin éponyme de Paris depuis 2021, avec environ 640 salariés et 4 millions de visiteurs annuels — d’une amende administrative de 100 000 euros pour cinq manquements distincts au Règlement général sur la protection des données, consécutifs à l’installation, fin août 2023, de caméras dissimulées dans de faux détecteurs de fumée équipées de microphones, déployées dans les réserves de l’établissement à la suite d’une augmentation des vols de marchandises, sans consultation du délégué à la protection des données, sans inscription préalable au registre des traitements, sans actualisation de l’AIPD et sans notification de la violation de données ainsi constituée, le tout en l’absence de tout document écrit — bon de commande, courriel, note de service — permettant d’établir le caractère temporaire et justifié du dispositif, caméras qui ont en réalité été découvertes et démontées par les salariés eux-mêmes les 28 septembre et 2 octobre 2023, déclenchant une plainte le 28 novembre 2023 et un contrôle sur place de la CNIL le lendemain.
La délibération retient cinq manquements : au principe de loyauté (art. 5-1-a RGPD), au principe d’accountability (art. 5-2 RGPD), au principe de minimisation des données (art. 5-1-c RGPD — captation sonore de conversations privées de salariés totalement étrangère aux finalités déclarées du dispositif), à l’obligation de notification et de documentation des violations de données (art. 33 §1 et §5 RGPD — la collecte illicite interne par caméras dissimulées constituant elle-même une « violation de données » au sens de l’article 4-12 du RGPD), et à l’obligation d’associer le DPO (art. 38-1 RGPD — dont la déléguée a expressément déclaré que sa consultation préalable l’aurait conduit à alerter la société sur la non-conformité du dispositif) ; elle écarte en revanche le manquement à l’article 5-1-e du RGPD relatif à la limitation de la durée de conservation.
Sur le plan doctrinal, la décision se distingue par plusieurs apports fondamentaux : elle transpose fidèlement l’arrêt CEDH López Ribalda Gr. Ch. 2019 dans le cadre du RGPD, en admettant la légitimité de principe de la surveillance secrète en cas de circonstances exceptionnelles documentées, tout en exigeant que le responsable de traitement soit en mesure d’en démontrer la justification par des éléments écrits contemporains des faits — consacrant ainsi le principe d’accountability comme condition sine qua non de l’admissibilité d’une vidéosurveillance dissimulée ; elle confirme et enrichit la jurisprudence antérieure (SAN-2024-021, décembre 2024, société immobilière, 40 000 €) qui qualifiait déjà la captation sonore en milieu professionnel de contraire au principe de minimisation ; elle opère une extension significative de la notion de « violation de données » au-delà des seules intrusions externes, en qualifiant la collecte illicite interne de violation devant être notifiée et documentée ; elle impose au DPO un rôle opérationnel ex ante non négociable, dont l’omission est constitutive d’un manquement autonome sanctionnable, l’urgence ou la période estivale ne pouvant exonérer le responsable de traitement de l’obligation a minima d’adresser un message d’information au délégué avant tout déploiement ; elle ouvre enfin la voie à des actions indemnitaires des salariés concernés sur le fondement de l’article 82 du RGPD, la délibération publique constituant un élément probatoire mobilisable tant devant le conseil de prud’hommes que dans le cadre de demandes de nullité de toute procédure disciplinaire fondée sur des éléments recueillis par ce dispositif illicite.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats