CNIL | SAN-2025-008 | 18 SEPTEMBRE 2025 | AFFAIRE SAMARITAINE SAS |
ON TROUVE TOUJOURS TOUT A LA SAMARITAINE !
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Des caméras camouflées en détecteurs de fumée
En août 2023, face à une vague de vols de marchandises dans deux réserves de son magasin parisien, la société SAMARITAINE SAS a décidé d’installer cinq caméras « test » destinées, selon elle, à identifier les angles de prises de vue optimaux pour l’implantation future de caméras permanentes. Ces appareils, fonctionnant sur batterie et simplement collés aux murs, prenaient l’apparence de détecteurs de fumée et n’étaient pas raccordés au dispositif de vidéosurveillance classique déjà en place. La commande avait été passée oralement à un prestataire de remplacement, sans bon de commande ni validation du modèle retenu. Ce modèle était équipé de microphones — fonctionnalité explicitement mentionnée sur l’emballage et la notice d’utilisation.
Le dispositif a été découvert et démonté par les salariés en septembre 2023, qui ont conservé deux cartes SD contenant les enregistrements vidéo et sonores. L’un de ces enregistrements comportait une conversation dans laquelle un salarié évoquait son départ de l’entreprise. Le 25 novembre 2023, un article de presse révélait les faits. Une plainte d’un salarié était déposée auprès de la CNIL le 28 novembre 2023. Dès le lendemain, une délégation de la Commission effectuait un contrôle sur place. Des auditions et contrôles complémentaires se succédaient jusqu’en novembre 2024. Par délibération du 18 septembre 2025, la formation restreinte a retenu quatre manquements au RGPD.
II.
Un traitement déloyal insuffisamment documenté (articles 5-1-a et 5-2 du RGPD)
La formation restreinte a retenu un manquement aux articles 5-1-a et 5-2 du RGPD combinés, relatifs à la loyauté du traitement et au principe d’accountability. Elle a rappelé que si la CNIL admet, dans le prolongement de la jurisprudence de la CEDH (Grande Chambre, López Ribalda et autres c. Espagne, 17 octobre 2019), qu’un employeur peut installer des caméras dissimulées dans des circonstances exceptionnelles, cette admissibilité est subordonnée à une condition fondamentale : le responsable de traitement doit analyser la compatibilité du dispositif avec le RGPD et être en mesure d’en rendre compte, notamment en attestant de son caractère temporaire.
Or, le dispositif ne figurait pas dans le registre des activités de traitement de la société. Il n’a été intégré dans l’analyse d’impact qu’après l’installation et après le contrôle de la CNIL, le 22 décembre 2023. Aucun document écrit n’attestait du caractère temporaire de l’installation. La déléguée à la protection des données n’avait pas été informée du déploiement. La formation restreinte a écarté l’argument selon lequel les salariés étaient déjà informés de la présence d’un dispositif classique dans les réserves : les caméras « test » prenant l’apparence de détecteurs de fumée, ils ne pouvaient raisonnablement pas s’attendre à leur existence. Elle a également écarté l’argument selon lequel l’objectif des caméras n’était pas de surveiller les salariés mais d’identifier des angles de vue : cet objectif impliquait nécessairement la captation des faits et gestes des personnes travaillant dans les réserves.
III.
Une captation sonore excédant la finalité déclarée (article 5-1-c du RGPD)
La formation restreinte a retenu un manquement au principe de minimisation prévu par l’article 5-1-c du RGPD. La finalité déclarée par la société — identifier les angles de prises de vue les plus adéquats pour de nouvelles caméras — pouvait être atteinte par le seul recours à l’enregistrement d’images, sans qu’il fût nécessaire de capter le son. La captation sonore n’était donc ni adéquate, ni pertinente, ni limitée à ce qui était nécessaire.
La société avait fait valoir qu’elle ignorait que les caméras étaient équipées de microphones, ayant laissé au prestataire le soin de choisir le modèle. La formation restreinte a écarté cet argument : l’emballage et la notice d’utilisation mentionnaient explicitement la fonctionnalité audio. En application du principe d’accountability, le responsable de traitement est tenu de vérifier les caractéristiques techniques des équipements qu’il déploie, a fortiori lorsqu’ils ont vocation à traiter des données de personnes dans un espace de travail. La formation restreinte a souligné que la captation sonore avait conduit à l’enregistrement de conversations relevant de la sphère personnelle des salariés, dont une portant sur le départ d’un salarié.
IV.
Une violation de données non notifiée et non documentée (article 33, paragraphes 1 et 5, du RGPD)
La soustraction des deux cartes SD par les salariés lors du démontage des caméras entre les 13 et 14 septembre 2023 constituait une violation de données à caractère personnel au sens de l’article 4-12 du RGPD : la perte de contrôle par le responsable de traitement d’un matériel contenant des données à caractère personnel est explicitement citée à ce titre dans les textes et les lignes directrices du CEPD.
La société avait invoqué, pour justifier l’absence de notification dans le délai de 72 heures, le fait qu’elle n’avait pris conscience du caractère de violation de données de l’incident qu’au moment des échanges avec la délégation de contrôle de la CNIL. La formation restreinte a écarté cet argument : la qualification ne présentait aucune ambiguïté et un responsable de traitement averti ne pouvait l’ignorer. Elle a en outre constaté que la société n’avait procédé à aucune inscription au registre interne des violations de données prévu par l’article 33, paragraphe 5, du RGPD.
V.
Un DPO tenu à l’écart (article 38-1 du RGPD)
La formation restreinte a retenu un manquement à l’article 38-1 du RGPD, qui impose que le délégué à la protection des données soit associé en temps utile à toutes les questions relatives à la protection des données à caractère personnel. La DPO n’a été informée de l’existence du dispositif qu’à la fin du mois de septembre 2023, soit après l’installation et le démontage des caméras. Interrogée par la délégation de contrôle, elle avait indiqué que si la société l’avait sollicitée, elle l’aurait alertée sur la non-conformité du dispositif au RGPD.
La formation restreinte a refusé d’admettre que l’urgence estivale constituait une circonstance exonératoire. Elle a relevé que le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable de traitement à consulter préalablement la DPO, même en urgence et même par message resté provisoirement sans réponse. Elle a qualifié les manquements de résultant d’une succession de négligences : absence de vérification du modèle de caméra, absence de documentation, absence d’évaluation des risques, absence de consultation du DPO.
VI.
Un manquement non retenu : la durée de conservation
La rapporteure avait initialement relevé la présence d’extraits vidéo datant de janvier 2022 sur le poste de vidéosurveillance, alors que la durée de conservation définie par la société était de 17 jours. La société avait expliqué qu’il s’agissait de captations de maintenance réalisées magasin fermé, sans données à caractère personnel, supprimées après le contrôle. La formation restreinte a pris acte de ces explications et a considéré que les pièces du dossier ne permettaient pas d’établir la présence de données à caractère personnel dans ces extraits. Le manquement à l’article 5-1-e du RGPD n’a donc pas été retenu.
Synthèse réalisée exclusivement à partir des sources primaires de l’espace « CNIL Analyses 2026 » : délibération intégrale SAN-2025-008 et communiqué CNIL du 23 septembre 2025.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats