En septembre 2025, la CNIL a sanctionné La Samaritaine (délibération SAN-2025-008) à hauteur de 100 000 € pour avoir installé des caméras camouflées en détecteurs de fumée, équipées de micros, dans les réserves du magasin.
Objectif affiché : identifier l’auteur de vols internes.
Résultat : une violation multiple du RGPD.
⚖️ Des faits concrets, une ligne rouge franchie
Cinq caméras, une captation sonore, et des salariés filmés à leur insu.
Le dispositif, découvert un mois plus tard, a été retiré, mais la plainte était déjà déposée.
La CNIL, saisie, a jugé la surveillance déloyale, disproportionnée et non documentée.
Le droit européen n’interdit pas toute vidéosurveillance cachée, mais la réserve est stricte.
L’arrêt López Ribalda c. Espagne (CEDH, 17 octobre 2019) admet un recours exceptionnel, sous trois conditions cumulatives :
1️⃣ Des soupçons raisonnables d’actes fautifs ;
2️⃣ Aucune alternative moins intrusive ;
3️⃣ Un dispositif strictement temporaire et proportionné.
La Samaritaine n’a satisfait aucune de ces conditions.
Aucune documentation préalable, aucune analyse d’impact (AIPD), et un dispositif audio sans justification technique.
📜 Les fondements juridiques du manquement
La CNIL a retenu cinq violations majeures du RGPD :
- Manquement à la loyauté et à la transparence (art. 5 §1 a) :
les caméras dissimulées en détecteurs de fumée constituent une tromperie délibérée. - Manquement à la minimisation des données (art. 5 §1 c) :
la captation audio n’était ni nécessaire ni proportionnée.
En milieu professionnel, la captation sonore est presque toujours interdite, sauf nécessité impérieuse. - Défaut d’accountability (art. 5 §2) :
aucun registre des traitements, aucune AIPD, aucune traçabilité interne. - Absence de consultation du DPO (art. 38 §1) :
la déléguée à la protection des données n’a été informée qu’après installation, empêchant toute prévention. - Violation de données non notifiée (art. 33) :
deux cartes SD contenant des enregistrements ont été volées.
Aucune notification à la CNIL dans le délai de 72 heures.
🔍 Le rappel de fond : contrôler n’est pas surveiller
Le principe est simple mais essentiel :
👁️ le contrôle du salarié n’est pas une surveillance sans limites.
La CNIL et la jurisprudence sociale rappellent régulièrement que tout dispositif de contrôle doit respecter les principes de finalité, de proportionnalité et de transparence.
Cette affaire n’est pas isolée.
Elle fait écho à d’autres formes de surveillance :
- géolocalisation permanente des véhicules,
- captation des frappes clavier,
- analyse automatique des mails,
- enregistrement des conversations téléphoniques à des fins de “qualité de service”.
Toutes reposent sur la même exigence : mesure nécessaire, proportionnée et encadrée.
🧠 L’enjeu dépasse les caméras
La CNIL ouvre ici une réflexion plus large : celle de la surveillance algorithmique.
Demain, les caméras ne se contenteront plus d’enregistrer, mais d’analyser les comportements : reconnaissance faciale, détection d’émotions, suivi de productivité.
Ces technologies relèvent du haut risque au sens de l’AI Act européen (2024), impliquant des obligations renforcées : explicabilité, contrôle humain effectif, documentation et audits réguliers.
Le droit du travail et le droit des données personnelles convergent donc vers un même impératif : préserver la dignité et la liberté des salariés face à des outils toujours plus puissants.
📘 Enseignements
✅ Toujours documenter l’exception : toute surveillance cachée doit être justifiée par des éléments objectifs et proportionnés.
✅ Réaliser une AIPD avant toute installation.
✅ Consulter le DPO en amont, pas a posteriori.
✅ Limiter techniquement le dispositif : pas d’audio, durée minimale, zones ciblées.
✅ Notifier sans délai toute violation de données.
La compliance n’est pas un réflexe bureaucratique ; c’est une preuve de loyauté numérique envers les salariés et les institutions.
🎯 Conclusion
La CNIL n’interdit pas la vidéosurveillance cachée.
Elle en fait une exception, tolérée uniquement dans un cadre rigoureux et temporaire.
Le cas Samaritaine illustre une constante : ce n’est pas la technologie qui est fautive, mais l’absence de gouvernance juridique autour de son usage.
Le RGPD, loin d’être un simple frein, demeure le meilleur outil pour concilier sécurité, performance et respect des droits fondamentaux.
Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052266505
