CNIL | SAN-2025-008 | 18 septembre 2025 | Affaire SAMARITAINE SAS | MANQUEMENTS

LE CADRE NORMATIF ET JURISPRUDENTIEL DE RÉFÉRENCE

A. L’ARCHITECTURE NORMATIVE DE LA DÉLIBÉRATION

La délibération SAN-2025-008 mobilise un corpus normatif articulé autour de cinq dispositions du RGPD, dont la violation simultanée traduit l’ampleur systémique des défaillances de la société SAMARITAINE SAS dans la mise en place d’un dispositif de vidéosurveillance secrète au sein de ses réserves. Ces cinq dispositions — les articles 5-1-a et 5-2 (loyauté et accountability), 5-1-c (minimisation), 33 paragraphes 1 et 5 (notification et documentation des violations de données) et 38-1 (association du DPO) — ne forment pas un ensemble redondant : chacune saisit une dimension spécifique de l’obligation pesant sur le responsable de traitement, et leur violation concomitante en l’espèce dessine un portrait saisissant d’une organisation qui, sous la pression d’un problème opérationnel (les vols dans les réserves), a agi dans une urgence absolue, sans gouvernance, sans documentation et sans implication des acteurs institutionnels de la conformité.

Il importe de souligner d’emblée le contexte normatif préexistant dans lequel s’inscrit la délibération. La légalité des dispositifs de vidéosurveillance en milieu professionnel, et a fortiori des dispositifs dissimulés, est encadrée non seulement par le RGPD, mais également par les articles L. 251-1 et suivants du code de la sécurité intérieure régissant les systèmes de vidéoprotection, et par les règles de droit du travail imposant la consultation des représentants du personnel avant toute mise en place d’un dispositif susceptible d’affecter les conditions de travail (article L. 2312-38 du code du travail). La formation restreinte a concentré son appréciation sur les manquements au RGPD stricto sensu, sans se prononcer sur la légalité du dispositif au regard du droit du travail, dont le contrôle relève d’autres juridictions.

B. LA JURISPRUDENCE STRASBOURGEOISE COMME GRILLE DE LECTURE DE LA LOYAUTÉ

Le manquement à l’article 5-1-a du RGPD est, en l’espèce, le manquement cardinal autour duquel s’ordonnent les autres griefs. Il s’analyse en deux volets distincts : la déloyauté du traitement (caméras dissimulées, salariés filmés à leur insu sans information préalable adaptée à ce dispositif spécifique) et l’accountability (absence de toute documentation permettant d’en démontrer la régularité a posteriori).

Pour apprécier la légitimité d’un dispositif de vidéosurveillance secrète, la formation restreinte s’appuie sur la jurisprudence de la Cour européenne des droits de l’homme, et spécifiquement sur l’arrêt de Grande Chambre López Ribalda et autres c. Espagne du 17 octobre 2019 (requêtes n° 1874/13 et 8567/13). Cette décision, qui constitue l’état le plus abouti de la jurisprudence européenne en la matière, a posé les conditions dans lesquelles la vidéosurveillance secrète d’employés peut être compatible avec l’article 8 de la Convention européenne de sauvegarde des droits de l’homme — lequel protège le droit au respect de la vie privée et, en son sein, la vie privée au travail. La Grande Chambre avait jugé, dans les circonstances particulières de l’espèce espagnole (vols commis par plusieurs salariés de manière concertée, pertes de stocks importantes et vérifiables, dispositif limité à la zone où les vols se produisaient), que la vidéosurveillance secrète n’avait pas violé l’article 8. Elle avait cependant énoncé les conditions cumulatives de cette compatibilité :

« Si elle ne saurait accepter que, de manière générale, le moindre soupçon que des détournements ou d’autres irrégularités aient été commis par des employés puisse justifier la mise en place d’une vidéosurveillance secrète par l’employeur, l’existence de soupçons raisonnables que des irrégularités graves avaient été commises et l’ampleur des manques constatés en l’espèce peuvent apparaître comme des justifications sérieuses. Cela est d’autant plus vrai dans une situation où le bon fonctionnement d’une entreprise est mis à mal par des soupçons d’irrégularités commises non par un seul employé mais par l’action concertée de plusieurs employés » (CEDH, Gr. Ch., 17 oct. 2019, López Ribalda, pt. 134).

La formation restreinte transpose fidèlement ce cadre jurisprudentiel dans le droit du RGPD : la vidéosurveillance secrète n’est pas prohibée par principe, mais sa légalité est conditionnée à la démonstration de circonstances exceptionnelles, de l’insuffisance des mesures moins intrusives, du caractère temporaire du dispositif et, surtout dans le cadre du RGPD, à la capacité du responsable de traitement d’en attester par écrit. C’est précisément sur ce dernier point que la société SAMARITAINE SAS a irrémédiablement échoué.

---

LE MANQUEMENT AUX ARTICLES 5-1-A ET 5-2 DU RGPD : DÉLOYAUTÉ ET CARENCE DOCUMENTAIRE

A. LES FAITS CONSTITUTIFS DU MANQUEMENT

1. Le dispositif de vidéosurveillance dissimulée

Fin août 2023, la société SAMARITAINE SAS a fait installer, dans ses réserves, des caméras dissimulées dans des faux détecteurs de fumée. Ce dispositif a été déployé à l’initiative de la direction générale, en dehors de tout cadre documentaire formalisé, sans consultation du DPO et sans mise à jour préalable du registre des traitements. Les échanges avec le prestataire mandaté pour l’installation ont été conduits oralement, sans qu’aucun bon de commande écrit, aucun courriel ou aucun document contractuel ne vienne attester des caractéristiques convenues — et notamment du caractère temporaire du déploiement.

Les caméras avaient la particularité d’être équipées de microphones, permettant non seulement l’enregistrement des images mais également la captation sonore des conversations des salariés présents dans les réserves. La formation restreinte relève à cet égard que « les salariés ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras » (§ 35), soulignant ainsi que le camouflage rendait inopérante toute information générale antérieure sur l’existence d’un dispositif de vidéosurveillance dans l’établissement.

Ce dispositif a été découvert et démonté par les salariés eux-mêmes les 28 septembre et 2 octobre 2023, soit quelques semaines seulement après son installation. Ce sont ces mêmes salariés, et non la direction ou le DPO, qui ont informé la déléguée à la protection des données de l’existence du système — révélant ainsi l’absence totale de processus interne de contrôle de conformité.

2. L’absence de documentation préalable

La délibération est particulièrement sévère sur le défaut de documentation. La formation restreinte relève que :

« la documentation — registre des traitements et AIPD — mise en place par la société ne contient aucune trace du dispositif qui permettrait de confirmer les allégations de la société. Le traitement de données en lien avec le dispositif n’est pas mentionné dans son registre des traitements et ce n’est que le 22 décembre 2023, soit postérieurement à son installation et au contrôle, que le dispositif a été intégré à l’analyse d’impact établi par la société » (§ 33).

Cette séquence — installation d’abord, documentation ensuite — est, au regard du RGPD, une inversion inacceptable de la logique de conformité. Le principe d’accountability, tel qu’il résulte de l’article 5-2 du RGPD, n’est pas une obligation de résultat éventuelle : c’est une obligation permanente et préalable à toute mise en œuvre d’un traitement. En l’absence de toute trace écrite — ni bon de commande, ni note de service, ni courriel, ni compte-rendu de réunion — la société se trouvait dans l’incapacité structurelle de démontrer quoi que ce soit sur la nature, la finalité, la durée ou les conditions du traitement.

B. LES ARGUMENTS DE DÉFENSE DE LA SOCIÉTÉ ET LEUR REJET

La société SAMARITAINE SAS a articulé plusieurs arguments en défense, que la formation restreinte a systématiquement écartés avec une argumentation rigoureuse.

1. L’argument tiré de l’information générale préexistante

La société a fait valoir que les salariés avaient déjà été informés, de manière générale, de l’existence d’un dispositif de vidéosurveillance dans l’établissement. La formation restreinte a écarté cet argument en relevant que les caméras de test prenant l’apparence de détecteurs de fumée constituaient un dispositif distinct de la vidéosurveillance visible déjà en place, de sorte que l’information générale antérieure ne couvrait pas ce nouveau traitement spécifique. « Les salariés ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras » (§ 35) : cette formulation, empruntée à la jurisprudence de la Cour européenne des droits de l’homme, traduit l’exigence que l’information soit adéquate au type de surveillance effectivement mise en œuvre.

2. L’argument tiré des vols documentés

La société a également invoqué l’existence de vols commis dans ses réserves pour justifier le recours à un dispositif de surveillance dissimulé. La formation restreinte a pris acte de cet élément mais a constaté que la société n’était pas en mesure d’en établir la réalité par des documents écrits — inventaires, signalements internes, procès-verbaux de plainte, rapports de sécurité — contemporains des faits. En d’autres termes, la justification substantielle invoquée était peut-être exacte dans les faits, mais elle ne pouvait être retenue faute de preuve écrite la confirmant.

3. L’argument tiré du caractère temporaire du dispositif

La société a encore soutenu que le dispositif était par nature temporaire, ce que les caractéristiques techniques des caméras utilisées semblaient confirmer. La formation restreinte a accueilli cet argument dans son appréciation factuelle, mais a relevé que le caractère temporaire allégué n’était attesté par aucun document écrit : ni la décision de mise en place, ni la durée envisagée, ni les conditions de retrait n’avaient été formalisées. Le principe d’accountability ne se satisfait pas d’intentions ou d’allégations verbales : il requiert une documentation contemporaine des faits permettant d’en apporter la preuve.

4. L’argument tiré de l’urgence opérationnelle

Implicitement, la société a évoqué le caractère urgent de la situation — augmentation des vols pendant la période estivale — pour expliquer l’absence de formalisation préalable. Cet argument est écarté sans équivoque par la formation restreinte, qui rappelle que le RGPD ne prévoit aucune exonération des obligations de documentation et de consultation du DPO pour cause d’urgence. Il suffit d’un courriel envoyé à la DPO, d’une note interne datée, d’un bon de commande mentionnant les caractéristiques et la durée du dispositif pour satisfaire aux exigences minimales de l’article 5-2 du RGPD.

---

LE MANQUEMENT À L’ARTICLE 5-1-C DU RGPD : LA MINIMISATION DES DONNÉES ET L’EXCÈS SONORE

A. LE CADRE JURIDIQUE APPLICABLE

L’article 5-1-c du RGPD dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe de minimisation constitue l’une des pierres angulaires du RGPD : il oblige le responsable de traitement à ne collecter, parmi les données techniquement disponibles, que celles qui sont strictement nécessaires à la finalité poursuivie. Toute collecte excédentaire — fût-elle techniquement aisée et opérationnellement pratique — constitue une violation du règlement.

La jurisprudence de la CNIL en matière de minimisation des données dans les dispositifs de surveillance en milieu professionnel est abondante et constante. La formation restreinte, dans la délibération SAN-2024-021 du 19 décembre 2024 (société du secteur immobilier) rendue quelques mois avant la présente décision, avait déjà jugé que « la société ne justifiait d’aucune circonstance exceptionnelle concernant la captation du son et d’images en continu via le système vidéo » et que « de tels agissements portent une atteinte excessive aux droits des salariés et sont donc contraires au principe de minimisation des données (article 5.1.c du RGPD) ». La délibération SAN-2025-008 s’inscrit dans cette continuité jurisprudentielle directe.

B. L’APPRÉCIATION DE LA FORMATION RESTREINTE

La formation restreinte relève que les caméras utilisées par la société SAMARITAINE SAS étaient équipées de microphones et ont permis l’enregistrement sonore de conversations entre salariés. Elle mentionne expressément qu’une de ces conversations enregistrées évoquait « la démission d’un salarié » (§ 83), ce qui illustre de manière concrète la nature profondément personnelle et intime des données ainsi captées.

La formation restreinte conclut que « l’enregistrement sonore des salariés était en l’espèce excessif », au motif que les finalités déclarées du dispositif — vérification des angles de prise de vue pour de futures caméras ou surveillance des vols de marchandises — ne nécessitaient en aucun cas la captation sonore de conversations. Pour vérifier qu’une caméra couvre correctement une zone de stockage, ou pour identifier des individus procédant à des vols, l’image seule est suffisante. La dimension sonore, qui permet d’entendre et d’enregistrer les conversations des salariés, est totalement étrangère à ces finalités.

LA NÉGLIGENCE DANS LE CHOIX DU MATÉRIEL

La formation restreinte relève, dans son appréciation de la faute, que la société « ne s’est pas assurée du modèle de caméra choisi par son prestataire » (§ 88). Cette défaillance est doublement significative. D’une part, elle illustre un manque élémentaire de diligence dans la supervision du sous-traitant : un responsable de traitement qui mandate un prestataire pour l’installation d’un dispositif de surveillance a l’obligation de s’assurer que les équipements déployés correspondent aux spécifications validées. D’autre part, elle met en lumière la carence du processus d’AIPD : si la société avait conduit une analyse d’impact préalable, elle aurait nécessairement identifié la question de la présence de microphones et aurait pu y répondre avant le déploiement.

Ce manquement à la minimisation des données est ainsi le révélateur d’une défaillance de gouvernance plus profonde : l’absence de processus d’évaluation préalable de la conformité des équipements techniques aux exigences du RGPD.

---

LE MANQUEMENT AUX ARTICLES 33-1 ET 33-5 DU RGPD : NOTIFICATION ET DOCUMENTATION DE LA VIOLATION

A. LA QUALIFICATION DE « VIOLATION DE DONNÉES »

Le manquement aux articles 33-1 et 33-5 du RGPD soulève une question de qualification juridique d’une grande portée doctrinale : l’installation d’un dispositif de vidéosurveillance dissimulé constitue-t-elle une « violation de données à caractère personnel » au sens du RGPD ? La formation restreinte répond positivement à cette question, en opérant une extension remarquable de la notion.

L’article 4, §12 du RGPD définit la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». La formation restreinte retient que la captation d’images et de sons de salariés à leur insu, par un dispositif dissimulé et non conforme aux exigences du RGPD, constitue une collecte illicite de données à caractère personnel entrant dans cette définition.

Cette qualification, parfois contestée en doctrine pour les hypothèses de collecte illicite interne (par opposition aux intrusions externes), est juridiquement irréprochable. La définition légale de la « violation de données » ne se limite pas aux atteintes à la confidentialité résultant d’une intrusion externe ou d’une négligence dans la conservation des données. Elle couvre, au sens littéral, toute situation dans laquelle des données sont obtenues (« accès ») par des moyens non autorisés — ce qui inclut leur collecte sans base légale valable et sans information préalable des personnes concernées.

B. L’OBLIGATION DE NOTIFICATION À LA CNIL (ARTICLE 33-1)

L’article 33-1 du RGPD impose au responsable de traitement, en cas de violation de données, d’en notifier l’autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». La formation restreinte constate que la société SAMARITAINE SAS n’a pas satisfait à cette obligation. La violation a été portée à la connaissance de la direction — et, indirectement, de la DPO — lorsque les salariés ont démonté les caméras les 28 septembre et 2 octobre 2023. Or, aucune notification de violation de données n’a été adressée à la CNIL dans les 72 heures suivant ces dates.

La société ne pouvait pas soutenir qu’elle n’avait pas « pris connaissance » de la violation : la découverte et le démontage des caméras par les salariés ont nécessairement entraîné l’information de la direction de l’établissement, ce qui suffit à déclencher l’obligation de notification. L’article 33-1 du RGPD ne conditionne pas cette obligation à la réalisation d’un préjudice pour les personnes concernées, ni à la divulgation des données à des tiers : il suffit que la violation ait eu lieu — ce qui était le cas depuis l’installation fin août 2023.

L’OBLIGATION DE DOCUMENTATION (ARTICLE 33-5)

L’article 33-5 du RGPD exige que le responsable de traitement « documente toute violation de données à caractère personnel, y compris les faits concernant la violation, ses effets et les mesures prises pour y remédier ». Cette obligation de documentation est autonome de l’obligation de notification : même lorsqu’une violation est jugée ne pas présenter de risque élevé pour les droits et libertés des personnes et ne nécessite donc pas de notification formelle, elle doit néanmoins être consignée dans le registre des violations.

La formation restreinte constate que la société SAMARITAINE SAS n’a pas documenté la violation dans son registre des violations. Ce manquement est d’autant plus significatif qu’il révèle une méconnaissance fondamentale du régime des violations de données : beaucoup d’organisations ont tendance à ne considérer comme des « violations » que les incidents d’origine externe (cyberattaques, vol de matériel), en ignorant que tout traitement illicite interne — dont la collecte déloyale de données — relève du même régime documentaire.

LES ARGUMENTS DE DÉFENSE

La société aurait pu soutenir que la brièveté du dispositif (quelques semaines de déploiement) et l’absence de divulgation des données à des tiers réduisaient à néant le risque pour les personnes concernées, de sorte que ni la notification ni la documentation n’étaient requises. La formation restreinte a écarté implicitement cet argument : les obligations des articles 33-1 et 33-5 du RGPD ne sont pas conditionnées à l’existence d’un risque élevé pour les personnes concernées. L’article 33-1 prévoit certes que la notification n’est pas requise lorsque « la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques », mais ce cas d’exemption — qui correspond à des incidents mineurs — n’est manifestement pas applicable à la captation secrète d’images et de sons de salariés à leur insu. La formation restreinte a ainsi, à bon droit, retenu les deux chefs de manquement.

---

LE MANQUEMENT À L’ARTICLE 38-1 DU RGPD : LA NON-ASSOCIATION DU DPO

A. LA PORTÉE DE L’OBLIGATION

L’article 38-1 du RGPD dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ». Cette disposition traduit la conception du DPO comme acteur opérationnel intégré au processus décisionnel de l’organisation, et non comme consultant externe sollicité après coup pour valider des décisions déjà prises.

La jurisprudence de la CNIL sur ce point est constante et sévère. Dans la délibération relative à une société du secteur immobilier (SAN-2024-021, décembre 2024), la formation restreinte avait déjà relevé parmi les éléments aggravants l’absence de consultation du DPO avant la mise en place de dispositifs de surveillance. La délibération SAN-2025-008 confirme et enrichit cette doctrine en précisant que l’obligation de consultation est particulièrement impérative lorsque le dispositif envisagé est « particulièrement intrusif ».

B. LES FAITS ET LEUR QUALIFICATION

La formation restreinte relève plusieurs éléments factuels concordants démontrant la totale mise à l’écart de la DPO dans la chaîne décisionnelle qui a conduit à l’installation des caméras :

1., la décision d’installation a été prise et exécutée durant la période estivale, sans qu’aucune information ne soit adressée à la DPO — pas même un courriel ou un message. La DPO n’a été informée de l’existence du dispositif que plusieurs semaines après son installation, et c’est par les salariés eux-mêmes qui avaient démonté les caméras, et non par la direction.

2., la DPO elle-même a déclaré, lors de ses auditions, que « si elle avait été consultée, elle aurait alerté la société sur le fait que le dispositif n’était pas conforme au cadre prévu par le RGPD » (§ 87). Cette déclaration est d’une importance capitale : elle démontre que la consultation du DPO n’aurait pas été une formalité vaine mais aurait produit un effet concret — l’alerte sur la non-conformité et, vraisemblablement, le report ou la modification du projet pour le rendre conforme.

3., la formation restreinte formule une règle de portée générale d’une grande clarté :

« outre le fait que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données, le caractère particulièrement intrusif du dispositif envisagé aurait dû, lui seul, conduire le responsable de traitement à consulter la déléguée avant de démarrer l’installation du dispositif » (§ 75).

Cette formulation consacre un principe de proportionnalité inversée dans l’obligation de consultation du DPO : plus le dispositif envisagé est intrusif, plus l’obligation de consulter le DPO est impérieuse, et moins les arguments d’urgence opérationnelle ou de contrainte calendaire peuvent prévaloir sur cette obligation.

LES ARGUMENTS DE DÉFENSE ET LEUR REJET

La société a invoqué le caractère estival de la période pour justifier l’impossibilité pratique de consulter la DPO avant l’installation. La formation restreinte a rejeté cet argument par deux voies complémentaires.

D’une part, il « n’est pas établi que la société n’aurait pas pu différer l’installation ». La formation restreinte refuse de reconnaître l’urgence comme une donnée factuelle établie, dès lors que la société n’a produit aucun élément documentant le caractère impératif du calendrier d’installation.

D’autre part et plus fondamentalement, même dans l’hypothèse d’une urgence réelle, l’obligation de l’article 38-1 du RGPD n’est pas suspendue : elle est simplement adaptée aux circonstances. Il suffisait, en l’occurrence, d’adresser un message à la DPO — « ne serait-ce que, par exemple, en lui adressant un message dont elle aurait pu prendre connaissance ultérieurement » (§ 75) — pour satisfaire a minima à l’obligation d’association. Cette exigence minimale, consistant en l’envoi d’un courriel d’information, est d’une accessibilité telle que son omission ne saurait être excusée par aucune urgence, fût-elle réelle.

---

LE DISPOSITIF ET LA SANCTION

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

— prononcer à l’encontre de la société SAMARITAINE SAS, une amende administrative d’un montant de cent-mille (100 000) euros au regard des manquements constitués aux articles 5-1-a, 5-2, 5-1-c, 33 paragraphes 1 et 5 et 38-1 du Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

— rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément les sociétés à l’issue d’une durée de deux ans à compter de sa publication.

---

CONTEXTUALISATION JURISPRUDENTIELLE

A. LA JURISPRUDENCE ANTÉRIEURE DE LA CNIL SUR LA SURVEILLANCE DES SALARIÉS

La délibération SAN-2025-008 s’inscrit dans un corpus jurisprudentiel en formation rapide, qui traduit la vigilance croissante de la CNIL à l’égard des dispositifs de surveillance en milieu professionnel.

La référence la plus proche est la délibération SAN-2024-021 du 19 décembre 2024 relative à une société du secteur immobilier (amende de 40 000 euros), rendue moins d’un an avant SAN-2025-008. Cette décision présentait des caractéristiques frappantes de similarité avec l’affaire SAMARITAINE : dispositif de vidéosurveillance captant à la fois les images et le son des salariés, absence de justification de circonstances exceptionnelles pour la captation sonore, manquement au principe de minimisation des données. La principale différence réside dans le montant de l’amende — 40 000 euros pour la société immobilière, 100 000 euros pour SAMARITAINE SAS — qui s’explique par la différence de taille des deux organisations et par le caractère aggravé des manquements dans l’affaire SAMARITAINE (caméras dissimulées, absence totale de documentation, non-association du DPO, non-notification de la violation).

La jurisprudence de la CNIL met ainsi en évidence deux critères aggravants déterminants dans la qualification de la surveillance des salariés : d’une part, le caractère dissimulé du dispositif (caméras cachées dans de faux détecteurs de fumée chez SAMARITAINE, contre caméras visibles chez la société immobilière) ; d’autre part, la captation sonore qui, dans les deux affaires, a été qualifiée de contraire au principe de minimisation.

B. LA PORTÉE PROSPECTIVE DE LA DÉLIBÉRATION

Au-delà de la jurisprudence antérieure, la délibération SAN-2025-008 ouvre plusieurs perspectives doctrinales importantes pour l’évolution du droit de la protection des données en milieu professionnel.

Sur le plan de la qualification des violations de données, la décision consolide l’interprétation extensive de l’article 4-12 du RGPD qui assimile la collecte illicite interne à une violation de données, ce qui aura des répercussions importantes pour de nombreux employeurs ayant mis en place, sans base légale solide, des dispositifs de contrôle de l’activité de leurs salariés (logiciels de surveillance des postes de travail, géolocalisation, enregistrement des appels téléphoniques). Chacun de ces dispositifs, s’il n’est pas mis en place dans le respect des exigences du RGPD, pourrait être qualifié de violation de données devant être notifiée et documentée.

Sur le plan du rôle du DPO, la délibération constitue un signal fort adressé aux organisations : le DPO n’est pas un acteur de la conformité ex post, consulté après la prise de décision pour valider ou régulariser des traitements déjà en cours. Il est un acteur de la conformité ex ante, dont la consultation préalable est une condition nécessaire — et non une bonne pratique — pour les traitements intrusifs. Cette position, qui renforce l’article 38-1 du RGPD d’une sanction effective, devrait conduire les organisations à revoir profondément leur organisation interne pour s’assurer que le DPO est systématiquement impliqué dans les processus de prise de décision liés à tout nouveau traitement.

---

---

 
 
 

---

POINTS ESSENTIELS

---

Par délibération du 18 septembre 2025, publiée sur Légifrance le 23 septembre 2025, la formation restreinte de la CNIL a sanctionné la société SAMARITAINE SAS — exploitant le grand magasin éponyme de Paris depuis 2021, avec environ 640 salariés et 4 millions de visiteurs annuels — d’une amende administrative de 100 000 euros pour cinq manquements distincts au Règlement général sur la protection des données, consécutifs à l’installation, fin août 2023, de caméras dissimulées dans de faux détecteurs de fumée équipées de microphones, déployées dans les réserves de l’établissement à la suite d’une augmentation des vols de marchandises, sans consultation du délégué à la protection des données, sans inscription préalable au registre des traitements, sans actualisation de l’AIPD et sans notification de la violation de données ainsi constituée, le tout en l’absence de tout document écrit — bon de commande, courriel, note de service — permettant d’établir le caractère temporaire et justifié du dispositif, caméras qui ont en réalité été découvertes et démontées par les salariés eux-mêmes les 28 septembre et 2 octobre 2023, déclenchant une plainte le 28 novembre 2023 et un contrôle sur place de la CNIL le lendemain.

La délibération retient cinq manquements : au principe de loyauté (art. 5-1-a RGPD), au principe d’accountability (art. 5-2 RGPD), au principe de minimisation des données (art. 5-1-c RGPD — captation sonore de conversations privées de salariés totalement étrangère aux finalités déclarées du dispositif), à l’obligation de notification et de documentation des violations de données (art. 33 §1 et §5 RGPD — la collecte illicite interne par caméras dissimulées constituant elle-même une « violation de données » au sens de l’article 4-12 du RGPD), et à l’obligation d’associer le DPO (art. 38-1 RGPD — dont la déléguée a expressément déclaré que sa consultation préalable l’aurait conduit à alerter la société sur la non-conformité du dispositif) ; elle écarte en revanche le manquement à l’article 5-1-e du RGPD relatif à la limitation de la durée de conservation.

Sur le plan doctrinal, la décision se distingue par plusieurs apports fondamentaux : elle transpose fidèlement l’arrêt CEDH López Ribalda Gr. Ch. 2019 dans le cadre du RGPD, en admettant la légitimité de principe de la surveillance secrète en cas de circonstances exceptionnelles documentées, tout en exigeant que le responsable de traitement soit en mesure d’en démontrer la justification par des éléments écrits contemporains des faits — consacrant ainsi le principe d’accountability comme condition sine qua non de l’admissibilité d’une vidéosurveillance dissimulée ; elle confirme et enrichit la jurisprudence antérieure (SAN-2024-021, décembre 2024, société immobilière, 40 000 €) qui qualifiait déjà la captation sonore en milieu professionnel de contraire au principe de minimisation ; elle opère une extension significative de la notion de « violation de données » au-delà des seules intrusions externes, en qualifiant la collecte illicite interne de violation devant être notifiée et documentée ; elle impose au DPO un rôle opérationnel ex ante non négociable, dont l’omission est constitutive d’un manquement autonome sanctionnable, l’urgence ou la période estivale ne pouvant exonérer le responsable de traitement de l’obligation a minima d’adresser un message d’information au délégué avant tout déploiement ; elle ouvre enfin la voie à des actions indemnitaires des salariés concernés sur le fondement de l’article 82 du RGPD, la délibération publique constituant un élément probatoire mobilisable tant devant le conseil de prud’hommes que dans le cadre de demandes de nullité de toute procédure disciplinaire fondée sur des éléments recueillis par ce dispositif illicite.