CNIL | SAN-2025-008 | 18 SEPTEMBRE 2025 | AFFAIRE SAMARITAINE SAS |
SAMARITAINE SAS | ON TROUVE TOUJOURS TOUT A LA SAMARITAINE !
FAUX DÉTECTEURS DE FUMÉE, VRAIS MICROPHONES, VRAIES CAMÉRAS ESPIONS DANS LES RÉSERVES DE LA “SAMAR”
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
PARTIE 1 — VIDÉOSURVEILLANCE EN MILIEU PROFESSIONNEL : CADRE GÉNÉRAL ET CONDITIONS DE LICÉITÉ
Q1. LA VIDÉOSURVEILLANCE DANS LES LOCAUX PROFESSIONNELS EST-ELLE AUTORISÉE PAR LE RGPD ?
Oui, la vidéosurveillance dans les locaux professionnels est en principe licite dès lors qu’elle remplit les conditions cumulatives posées par le RGPD. Le responsable de traitement doit pouvoir invoquer une base légale valide au sens de l’article 6 du RGPD — généralement l’intérêt légitime (art. 6-1-f) pour la protection des biens contre les vols —, informer les personnes concernées conformément aux articles 12 et 13 du RGPD, limiter la collecte aux données strictement nécessaires à la finalité poursuivie (art. 5-1-c), définir et respecter une durée de conservation appropriée (art. 5-1-e) et documenter l’ensemble de ces éléments dans son registre des traitements et, le cas échéant, dans une Analyse d’Impact relative à la Protection des Données (AIPD).
La délibération SAN-2025-008 ne remet nullement en cause la licéité de principe de la vidéosurveillance des réserves ou des zones à risque d’un établissement commercial. Ce qu’elle sanctionne, c’est la mise en place d’un dispositif dissimulé (caméras cachées dans de faux détecteurs de fumée) en l’absence de toute documentation préalable, sans consultation du DPO et sans notification de la violation de données constituée par ce traitement illicite.
Ce qu’il faut retenir : Toute mise en place d’un dispositif de vidéosurveillance dans un lieu accueillant des salariés ou des tiers doit être précédée d’une évaluation de conformité au RGPD (AIPD ou évaluation simplifiée), d’une inscription au registre des traitements, d’une information des personnes concernées, et d’une consultation du DPO et des représentants du personnel (CSE).
Q2. UNE VIDÉOSURVEILLANCE SECRÈTE — AVEC DES CAMÉRAS DISSIMULÉES — EST-ELLE ABSOLUMENT INTERDITE ?
Non, la vidéosurveillance secrète n’est pas absolument interdite par le RGPD, mais elle ne peut être admise qu’à titre exceptionnel et sous des conditions très strictes et cumulatives. La formation restreinte de la CNIL, se fondant sur l’arrêt de Grande Chambre de la Cour européenne des droits de l’homme López Ribalda et autres c. Espagne du 17 octobre 2019, admet qu’une vidéosurveillance dissimulée peut être compatible avec le RGPD lorsque :
Première condition : Il existe des soupçons raisonnables et documentés d’irrégularités graves (vols caractérisés, détournements) — et non de simples suspicions générales non étayées.
Deuxième condition : Les mesures moins intrusives ont été envisagées et se sont révélées insuffisantes ou inadaptées (caméras visibles n’ayant pas mis fin aux vols, contrôles renforcés inefficaces, etc.).
Troisième condition : Le dispositif est strictement temporaire, avec une date de retrait planifiée dès l’origine et formalisée par écrit.
Quatrième condition : Le dispositif est documenté préalablement à son déploiement — registre des traitements mis à jour, AIPD réalisée ou actualisée, DPO consulté.
Cinquième condition : Les données collectées sont limitées au strict nécessaire — en particulier, aucune captation sonore n’est admise si la finalité peut être atteinte par les seules images.
L’affaire SAMARITAINE illustre précisément le cas où toutes ces conditions étaient susceptibles d’être réunies dans les faits (vols documentés, dispositif temporaire) mais où l’absence de toute documentation a rendu impossible d’en apporter la démonstration, ce qui a suffi à caractériser les manquements.
Ce qu’il faut retenir : Avant toute décision de recourir à une caméra dissimulée, constituez impérativement un dossier documentaire : rapport de sécurité établissant la réalité des vols, compte-rendu de la réunion de décision, bon de commande mentionnant les caractéristiques et la durée maximale du déploiement, avis formalisé du DPO, mise à jour du registre des traitements et de l’AIPD.
Q3. MON ENTREPRISE DISPOSE DÉJÀ D’UNE VIDÉOSURVEILLANCE VISIBLE. DOIS-JE UNE INFORMATION SPÉCIFIQUE POUR CHAQUE NOUVELLE CAMÉRA INSTALLÉE ?
Oui, dans tous les cas. L’information préalable des personnes concernées est une obligation continue qui s’applique à chaque modification substantielle du dispositif de vidéosurveillance. L’information générale donnée lors de la mise en place du dispositif initial ne couvre pas les nouvelles caméras installées ultérieurement, et a fortiori pas les caméras dissimulées dont les personnes ne peuvent raisonnablement pas deviner l’existence.
La formation restreinte de la CNIL est explicite sur ce point dans la délibération SAN-2025-008 : les salariés de SAMARITAINE SAS « ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras » (§ 35), et l’information générale antérieure sur l’existence d’une vidéosurveillance dans l’établissement ne valait pas information sur ce dispositif spécifique et distinct.
S’agissant des caméras visibles, la CNIL a précisé dans sa délibération relative à une Commune de X (29 mai 2024, n° 27412) que les obligations d’information n’impliquent pas la communication d’un plan avec les emplacements exacts des caméras, à condition que l’information donne des indications suffisantes sur la zone soumise à surveillance. En pratique, la signalétique doit indiquer l’existence du dispositif, la finalité de la surveillance, le responsable de traitement, la durée de conservation des images et les droits des personnes concernées (accès, suppression).
Ce qu’il faut retenir : Toute installation de nouvelles caméras — même dans une zone déjà couverte par un dispositif existant — doit faire l’objet d’une mise à jour de l’information donnée aux personnes concernées, par voie de signalétique pour les caméras visibles, ou par voie d’information appropriée (note de service, affichage) avant le déploiement pour les caméras temporaires.
PARTIE 2 — DOCUMENTATION, ACCOUNTABILITY ET REGISTRE DES TRAITEMENTS
Q4. NOTRE SOCIÉTÉ EST DE TAILLE MOYENNE. SOMMES-NOUS VRAIMENT TENUS DE TENIR UN REGISTRE DES TRAITEMENTS ET DE RÉALISER DES AIPD ?
Oui, sans restriction liée à la taille. L’obligation de tenir un registre des traitements (article 30 du RGPD) s’applique à toute organisation employant 50 personnes ou plus, ce qui est le cas de la grande majorité des entreprises de taille moyenne. La société SAMARITAINE SAS emploie environ 640 salariés : elle était donc soumise sans ambiguïté possible à cette obligation.
L’obligation de réaliser une AIPD (article 35 du RGPD) s’applique à tout traitement « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». La liste établie par le Comité européen de la protection des données (CEPD) des types de traitements requérant obligatoirement une AIPD inclut expressément les « évaluations ou notations systématiques » et les « traitements à grande échelle », mais également, de manière plus générale, tout traitement impliquant une surveillance systématique de personnes dans des lieux accessibles au public ou des espaces réservés. La mise en place d’un dispositif de vidéosurveillance — a fortiori dissimulé et équipé de microphones — relève incontestablement de cette catégorie.
La délibération SAN-2025-008 illustre concrètement les conséquences d’une défaillance dans la tenue de ces deux documents : l’absence d’inscription du dispositif au registre des traitements et la mise à jour tardive de l’AIPD (postérieure au contrôle) ont constitué deux éléments centraux de la caractérisation du manquement à l’article 5-2 du RGPD.
Ce qu’il faut retenir : Le registre des traitements n’est pas un document statique établi une fois pour toutes : il doit être mis à jour à chaque nouveau traitement, y compris les traitements temporaires ou expérimentaux. Une AIPD doit être réalisée ou actualisée avant tout déploiement de traitement impliquant une surveillance des personnes, même dans le cadre d’un dispositif « test ».
Q5. L’URGENCE OPÉRATIONNELLE NOUS DISPENSE-T-ELLE DE DOCUMENTER UN TRAITEMENT AVANT SA MISE EN ŒUVRE ?
Non, l’urgence ne dispense jamais d’une documentation préalable minimale. C’est l’un des enseignements les plus clairs de la délibération SAN-2025-008 : la formation restreinte a expressément écarté l’argument de la période estivale et de l’urgence invoqués par la société, en relevant que rien ne démontrait l’impossibilité de différer l’installation de quelques jours pour permettre la documentation nécessaire et la consultation du DPO.
Si une urgence réelle ne permet pas de réaliser une AIPD complète avant le déploiement, le responsable de traitement doit a minima :
—-Créer une entrée dans le registre des traitements dès la prise de décision, même sous forme provisoire ;
—-Adresser un courriel au DPO décrivant le traitement envisagé, sa finalité, sa durée prévue et les mesures de sécurité retenues ;
—-Formaliser par écrit la décision de déploiement, avec indication de la durée maximale prévue et de la personne responsable du suivi ;
—-Lancer immédiatement une AIPD qui devra être finalisée dans les meilleurs délais et, si possible, avant l’expiration de la durée initiale prévue.
La formation restreinte a rappelé que l’article 5-2 du RGPD n’admet aucune dérogation : être en mesure de démontrer la conformité du traitement est une obligation permanente, qui ne peut être satisfaite a posteriori par des documents rédigés après le contrôle de la CNIL.
Ce qu’il faut retenir : Adoptez un formulaire d’urgence (une page, recto seul) permettant de formaliser en quelques minutes les éléments essentiels de tout traitement mis en place dans l’urgence : description, finalité, durée, personnes concernées, données collectées, responsable du suivi, date de retrait planifiée. Ce document, même succinct, vous permettra de démontrer que le principe d’accountability n’a pas été totalement méconnu.
PARTIE 3 — LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO) : RÔLE ET CONSULTATION OBLIGATOIRE
Q6. DANS QUELS CAS LE DPO DOIT-IL ÊTRE CONSULTÉ AVANT LA MISE EN PLACE D’UN TRAITEMENT ?
L’article 38-1 du RGPD impose que le DPO soit associé « d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ». Cette formulation est intentionnellement large : elle ne liste pas les types de traitements pour lesquels la consultation est obligatoire, mais impose une consultation systématique et préalable pour tous les traitements.
En pratique, la formation restreinte de la CNIL a précisé dans la délibération SAN-2025-008 que cette obligation est particulièrement impérative pour les traitements « particulièrement intrusifs » (§ 75). La notion d’intrusion doit être appréciée largement : elle couvre a minima les dispositifs de vidéosurveillance, les logiciels de surveillance des postes de travail et de mesure de la productivité, la géolocalisation des véhicules ou des terminaux, les dispositifs d’enregistrement sonore ou téléphonique, les traitements de données biométriques, les dispositifs d’analyse comportementale ou de profilage.
La formation restreinte a également établi que le caractère estival ou de congés de la période ne constitue pas une dispense de consultation : si le DPO est momentanément indisponible, il doit être informé au minimum par un courriel qui pourra être pris en compte à son retour — et le déploiement doit si possible être différé jusqu’à réception de son avis.
Ce qu’il faut retenir : Établissez une liste de contrôle (checklist) qui déclenche automatiquement la consultation du DPO dès lors qu’un nouveau traitement est envisagé, quelle qu’en soit la nature. Cette consultation doit être tracée — par courriel, note ou compte-rendu — et l’avis du DPO formalisé. Un DPO qui ne laisse pas de trace écrite de ses consultations ne remplit pas pleinement son rôle.
Q7. LE DPO PEUT-IL S’OPPOSER À LA MISE EN PLACE D’UN TRAITEMENT NON CONFORME ?
Le DPO n’a pas, en droit, un pouvoir d’opposition formelle. Son rôle est d’informer, de conseiller et de contrôler : il ne dispose pas d’un droit de veto sur les décisions du responsable de traitement. Cependant, la délibération SAN-2025-008 illustre parfaitement l’importance pratique de son avis : la DPO de SAMARITAINE SAS a déclaré que « si elle avait été consultée, elle aurait alerté la société sur le fait que le dispositif n’était pas conforme au cadre prévu par le RGPD » (§ 87). En d’autres termes, la consultation du DPO aurait probablement permis d’éviter l’ensemble des manquements reprochés.
Le DPO a cependant l’obligation de documenter ses avis, en particulier lorsqu’il estime qu’un traitement n’est pas conforme. L’article 38-3 du RGPD prévoit qu’il ne peut être sanctionné pour l’exercice de ses missions, ce qui inclut la formulation d’avis défavorables. Si le responsable de traitement passe outre l’avis négatif du DPO, celui-ci doit consigner son désaccord par écrit, ce qui constituera un élément de preuve précieux en cas de contrôle ultérieur de la CNIL.
Ce qu’il faut retenir : Le DPO doit systématiquement formaliser ses avis par écrit, y compris (et surtout) lorsqu’ils sont défavorables. Cette formalisation protège à la fois le DPO (qui démontre avoir rempli sa mission) et le responsable de traitement (qui, s’il a passé outre l’avis du DPO, ne pourra pas prétendre avoir ignoré les risques de non-conformité, mais aura au moins démontré qu’un processus de gouvernance existait).
PARTIE 4 — MINIMISATION DES DONNÉES ET DISPOSITIFS SONORES
Q8. NOS CAMÉRAS DE VIDÉOSURVEILLANCE SONT ÉQUIPÉES DE MICROPHONES. EST-CE UNE INFRACTION ?
Oui, dans la grande majorité des cas, l’enregistrement sonore par des caméras de vidéosurveillance dans des locaux professionnels constitue un manquement au principe de minimisation des données prévu à l’article 5-1-c du RGPD, sauf circonstances extrêmement particulières.
La jurisprudence de la CNIL est constante sur ce point. Dans la délibération SAN-2024-021 du 19 décembre 2024 (société du secteur immobilier), la formation restreinte avait retenu que « la société ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo » et que « de tels agissements portent une atteinte excessive aux droits des salariés ». Dans la délibération SAN-2025-008 (SAMARITAINE SAS), la formation restreinte a de nouveau relevé que « l’enregistrement sonore des salariés était en l’espèce excessif » (§ 83).
Cette jurisprudence repose sur un raisonnement simple : les finalités habituelles de la vidéosurveillance (prévention des vols, protection des biens, sécurité des personnes) peuvent être pleinement atteintes par les seules images. L’ajout d’une captation sonore — qui permet d’entendre et d’enregistrer les conversations des salariés, y compris leurs échanges personnels — constitue une collecte excédentaire par rapport à ces finalités, en violation du principe de minimisation.
Ce qu’il faut retenir : Si vos caméras de vidéosurveillance sont équipées de microphones, vous devez immédiatement désactiver la fonction d’enregistrement sonore, sauf si vous pouvez démontrer que la captation du son est strictement nécessaire à la finalité spécifique poursuivie (ce qui est extrêmement rare dans un contexte professionnel ordinaire). La vérification de cette désactivation doit être documentée.
Q9. NOUS ENVISAGEONS DE DÉPLOYER UN DISPOSITIF DE VIDÉOSURVEILLANCE « TEST » POUR VÉRIFIER LES ANGLES DE PRISE DE VUE AVANT L’INSTALLATION DÉFINITIVE. SOMMES-NOUS SOUMIS AUX MÊMES OBLIGATIONS QUE POUR UN DISPOSITIF PERMANENT ?
Oui, sans restriction ni exemption. Le RGPD ne distingue pas entre traitements « définitifs » et traitements « temporaires » ou « expérimentaux » : dès lors que des données à caractère personnel sont collectées et traitées, les obligations du règlement s’appliquent pleinement, que le traitement soit permanent, ponctuel ou limité dans le temps.
La délibération SAN-2025-008 est particulièrement instructive à cet égard : la société SAMARITAINE SAS avait présenté son dispositif de caméras dissimulées comme un équipement « test » visant à vérifier les angles de prise de vue pour de futurs équipements permanents. La formation restreinte a rejeté l’idée que ce caractère de test puisse exonérer la société de ses obligations au titre du RGPD. Elle a au contraire exigé que la nature temporaire du dispositif soit démontrée par des éléments écrits contemporains — ce que la société ne pouvait faire, faute de documentation.
Ce qu’il faut retenir : Un dispositif « test » de vidéosurveillance doit être traité exactement comme un dispositif permanent au regard du RGPD : inscription au registre des traitements avec mention explicite de la durée maximale prévue, AIPD actualisée, consultation du DPO et des représentants du personnel, information des salariés. La brièveté du dispositif peut constituer une circonstance atténuante dans l’appréciation de la sanction, mais non une cause d’exemption des obligations.
PARTIE 5 — VIOLATION DE DONNÉES : QUALIFICATION, NOTIFICATION ET DOCUMENTATION
Q10. LA MISE EN PLACE D’UNE VIDÉOSURVEILLANCE NON CONFORME CONSTITUE-T-ELLE UNE « VIOLATION DE DONNÉES » AU SENS DU RGPD ?
Oui, selon la qualification opérée par la formation restreinte dans la délibération SAN-2025-008. L’installation de caméras dissimulées équipées de microphones, filmant et enregistrant des salariés à leur insu, constitue une violation de données à caractère personnel au sens de l’article 4-12 du RGPD, qui définit la violation comme « une violation de la sécurité entraînant […] la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Cette qualification étend significativement le périmètre des violations de données au-delà des seules hypothèses d’attaques informatiques ou de fuites accidentelles. Elle couvre désormais les collectes illicites internes : tout traitement mis en place sans base légale valide, sans information des personnes concernées, ou en violation du principe de minimisation, peut être qualifié de violation de données devant être notifiée à la CNIL dans les 72 heures et documentée dans le registre des violations.
Ce qu’il faut retenir : Votre dispositif de gestion des violations de données doit couvrir non seulement les incidents d’origine externe (cyberattaques, vol de matériel, erreur d’envoi) mais également les traitements internes mis en place sans les garanties réglementaires requises. Dès qu’un responsable opérationnel prend conscience qu’un traitement a été déployé sans conformité préalable, il doit en informer le DPO, qui évalue si la situation constitue une violation de données devant être notifiée à la CNIL et documentée.
Q11. NOUS AVONS MIS EN PLACE UNE VIDÉOSURVEILLANCE NON CONFORME QUI A DEPUIS ÉTÉ SUPPRIMÉE. DEVONS-NOUS ENCORE NOTIFIER LA CNIL ?
Oui, la suppression du dispositif n’exonère pas de l’obligation de notification. L’article 33-1 du RGPD impose la notification de la violation « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Le délai court à compter de la prise de connaissance de la violation — c’est-à-dire de la découverte du dispositif non conforme — et non à compter de son retrait.
Dans l’affaire SAMARITAINE SAS, les caméras avaient été démontées par les salariés les 28 septembre et 2 octobre 2023. La CNIL considère que c’est à compter de ces dates que le délai de 72 heures a commencé à courir, sans que le retrait des caméras ne vienne éteindre l’obligation de notification.
La seule exception à l’obligation de notification est prévue à l’article 33-1, alinéa 2 du RGPD : la notification n’est pas requise « si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». Cette exception ne peut manifestement pas s’appliquer à la captation secrète d’images et de sons de salariés, qui porte une atteinte directe et grave à leur vie privée et à leur dignité.
Ce qu’il faut retenir : En cas de découverte d’un traitement non conforme, procédez immédiatement à une triple démarche simultanée : suppression du dispositif illicite, notification à la CNIL dans les 72 heures, documentation de la violation dans le registre des violations. Ces trois actions ne se substituent pas l’une à l’autre : elles sont cumulatives.
PARTIE 6 — DROITS DES SALARIÉS ET RECOURS
Q12. EN TANT QUE SALARIÉ AYANT ÉTÉ FILMÉ ET ENREGISTRÉ À MON INSU, QUELS RECOURS PUIS-JE EXERCER ?
Vous disposez de plusieurs voies de recours cumulatives. Sur le plan des droits individuels prévus par le RGPD, vous pouvez exercer votre droit d’accès (article 15) pour obtenir confirmation de l’existence du traitement et, si les données n’ont pas été supprimées, copie des images ou enregistrements vous concernant. Vous pouvez exercer votre droit à l’effacement (article 17) pour obtenir la suppression des données collectées illicitement.
Sur le plan de la procédure administrative, vous pouvez déposer une plainte auprès de la CNIL (www.cnil.fr) dans les conditions prévues à l’article 77 du RGPD. La présente affaire SAMARITAINE a d’ailleurs été déclenchée par la plainte d’un salarié déposée le 28 novembre 2023, qui a conduit au contrôle sur place du lendemain et, in fine, à l’amende de 100 000 euros prononcée en 2025. Cette plainte constitue donc un mécanisme effectif et efficace.
Sur le plan indemnitaire, l’article 82 du RGPD vous reconnaît le droit d’obtenir réparation du « dommage matériel ou moral » subi du fait de la violation. Ce droit peut être exercé devant le conseil de prud’hommes (pour les salariés). La délibération SAN-2025-008, étant une décision publique de la CNIL, constitue un élément probatoire utilisable pour établir la réalité et l’illicéité du traitement dans le cadre d’une action indemnitaire.
Ce qu’il faut retenir : Conservez tout élément de preuve disponible (photographies des dispositifs, témoignages, échanges internes ayant mentionné le dispositif). Exercez votre droit d’accès par écrit auprès de votre employeur. En cas de refus ou de réponse insuffisante dans le délai d’un mois, saisissez la CNIL d’une plainte en joignant tous les éléments disponibles.
Q13. LE COMITÉ SOCIAL ET ÉCONOMIQUE (CSE) AURAIT-IL DÛ ÊTRE CONSULTÉ AVANT LA MISE EN PLACE DES CAMÉRAS DISSIMULÉES ?
Oui, sans aucun doute. L’article L. 2312-38 du code du travail impose que le CSE soit informé et consulté préalablement à la mise en place de tout traitement automatisé susceptible d’avoir des incidences sur les conditions de travail, l’emploi, la qualification professionnelle, la rémunération ou la formation des salariés. Un dispositif de vidéosurveillance dans les réserves relève incontestablement de cette obligation d’information-consultation, a fortiori lorsqu’il est équipé de microphones et qu’il peut enregistrer des conversations privées.
La délibération SAN-2025-008 ne s’est pas expressément prononcée sur l’obligation de consultation du CSE, qui relève du droit du travail et non du RGPD. Cependant, l’absence de consultation du CSE constitue un manquement distinct aux dispositions du code du travail, qui pourrait donner lieu à une décision du tribunal judiciaire statuant en référé pour ordonner la suspension du dispositif, et à une demande d’annulation de la procédure disciplinaire ou de licenciement fondée sur des éléments de preuve recueillis par ce dispositif illicite.
Ce qu’il faut retenir : Le non-respect des obligations d’information et de consultation du CSE avant la mise en place d’un dispositif de vidéosurveillance constitue un délit d’entrave aux dispositions relatives au CSE, sanctionné par l’article L. 2317-1 du code du travail. Cette infraction pénale s’ajoute aux manquements au RGPD sanctionnés par la CNIL, ce qui illustre la nécessité d’articuler rigoureusement les obligations du RGPD et celles du droit du travail dans tout projet de surveillance en milieu professionnel.
Q14. MON EMPLOYEUR PEUT-IL UTILISER LES IMAGES OU LES ENREGISTREMENTS SONORES CAPTÉS PAR DES CAMÉRAS DISSIMULÉES POUR FONDER UNE SANCTION DISCIPLINAIRE OU UN LICENCIEMENT ?
Non, en principe. Les enregistrements réalisés au moyen d’un dispositif de surveillance illicite constituent une preuve déloyale qui, en droit civil et prud’homal, est en principe irrecevable. La Cour de cassation a consacré, dans sa jurisprudence récente issue de l’assemblée plénière du 22 décembre 2023 (n° 20-20.648), une application nuancée de la règle d’exclusion des preuves déloyales : le juge peut admettre une preuve illicite si son admission est indispensable à l’exercice du droit à la preuve et si l’atteinte à la vie privée est proportionnée au but poursuivi.
Cependant, dans le contexte spécifique des caméras dissimulées équipées de microphones capturant des conversations privées de salariés — comme dans l’affaire SAMARITAINE SAS — il est fort probable que les juridictions prud’homales refusent d’admettre ces éléments de preuve, au motif que l’atteinte à la vie privée est disproportionnée et que d’autres modes de preuve (témoignages, inventaires, constats d’huissier) auraient pu être mis en œuvre.
Ce qu’il faut retenir : Si votre employeur a engagé une procédure disciplinaire ou un licenciement en s’appuyant sur des éléments recueillis par un dispositif de surveillance illicite (caméras non déclarées, enregistrements sonores non autorisés), vous devez immédiatement invoquer devant le conseil de prud’hommes l’irrecevabilité de ces éléments de preuve. La délibération SAN-2025-008 de la CNIL qualifiant le dispositif d’illicite constitue un argument de première force à l’appui de cette demande.
POINTS ESSENTIELS
Par délibération du 18 septembre 2025, publiée sur Légifrance le 23 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS — exploitant le grand magasin éponyme de Paris depuis 2021, avec environ 640 salariés et 4 millions de visiteurs annuels — d’une amende administrative de 100 000 euros pour cinq manquements distincts au Règlement général sur la protection des données, consécutifs à l’installation, fin août 2023, de caméras dissimulées dans de faux détecteurs de fumée équipées de microphones, déployées dans les réserves de l’établissement à la suite d’une augmentation des vols de marchandises, sans consultation du délégué à la protection des données, sans inscription préalable au registre des traitements, sans actualisation de l’AIPD et sans notification de la violation de données ainsi constituée, le tout en l’absence de tout document écrit — bon de commande, courriel, note de service — permettant d’établir le caractère temporaire et justifié du dispositif, caméras qui ont en réalité été découvertes et démontées par les salariés eux-mêmes les 28 septembre et 2 octobre 2023, déclenchant une plainte le 28 novembre 2023 et un contrôle sur place de la CNIL le lendemain.
La délibération retient cinq manquements : au principe de loyauté (art. 5-1-a RGPD), au principe d’accountability (art. 5-2 RGPD), au principe de minimisation des données (art. 5-1-c RGPD — captation sonore de conversations privées de salariés totalement étrangère aux finalités déclarées du dispositif), à l’obligation de notification et de documentation des violations de données (art. 33 §1 et §5 RGPD — la collecte illicite interne par caméras dissimulées constituant elle-même une « violation de données » au sens de l’article 4-12 du RGPD), et à l’obligation d’associer le DPO (art. 38-1 RGPD — dont la déléguée a expressément déclaré que sa consultation préalable l’aurait conduit à alerter la société sur la non-conformité du dispositif) ; elle écarte en revanche le manquement à l’article 5-1-e du RGPD relatif à la limitation de la durée de conservation.
Sur le plan doctrinal, la décision se distingue par plusieurs apports fondamentaux : elle transpose fidèlement l’arrêt CEDH López Ribalda Gr. Ch. 2019 dans le cadre du RGPD, en admettant la légitimité de principe de la surveillance secrète en cas de circonstances exceptionnelles documentées, tout en exigeant que le responsable de traitement soit en mesure d’en démontrer la justification par des éléments écrits contemporains des faits — consacrant ainsi le principe d’accountability comme condition sine qua non de l’admissibilité d’une vidéosurveillance dissimulée ; elle confirme et enrichit la jurisprudence antérieure (SAN-2024-021, décembre 2024, société immobilière, 40 000 €) qui qualifiait déjà la captation sonore en milieu professionnel de contraire au principe de minimisation ; elle opère une extension significative de la notion de « violation de données » au-delà des seules intrusions externes, en qualifiant la collecte illicite interne de violation devant être notifiée et documentée ; elle impose au DPO un rôle opérationnel ex ante non négociable, dont l’omission est constitutive d’un manquement autonome sanctionnable, l’urgence ou la période estivale ne pouvant exonérer le responsable de traitement de l’obligation a minima d’adresser un message d’information au délégué avant tout déploiement ; elle ouvre enfin la voie à des actions indemnitaires des salariés concernés sur le fondement de l’article 82 du RGPD, la délibération publique constituant un élément probatoire mobilisable tant devant le conseil de prud’hommes que dans le cadre de demandes de nullité de toute procédure disciplinaire fondée sur des éléments recueillis par ce dispositif illicite.
24.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats