par Sofiane KOBBANE, étudiant du M2 Droit des communications électroniques
La CNIL sanctionne une entreprise pour usage de caméras dissimulées : la sécurité ne justifie pas tout
Au cœur du célèbre grand magasin parisien, la Samaritaine, un dispositif de surveillance discret veillait dans l’ombre. Derrière des détecteurs de fumée se cachaient en réalité des caméras et des micros, installés dans les réserves pour prévenir les vols internes. L’initiative, prise sans information préalable des salariés, a rapidement suscité l’indignation et conduit la Commission nationale de l’informatique et des libertés (CNIL) à intervenir.
Le 18 septembre 2025, la CNIL a prononcé une amende de 100 000 euros à l’encontre de la société Samaritaine SAS, estimant que cette surveillance dissimulée constituait une atteinte grave aux droits des employés et une violation manifeste du Règlement général sur la protection des données (RGPD). Au-delà du scandale médiatique, cette décision met en lumière une question cruciale : jusqu’où les employeurs peuvent-ils aller dans la surveillance de leurs salariés au nom de la sécurité ?
1/ Une surveillance dissimulée révélée au grand jour
L’affaire trouve son origine à l’été 2023, lorsque la direction de la Samaritaine décide d’installer, dans deux locaux de stockage, plusieurs caméras dissimulées sous des boîtiers de détecteurs de fumée. Ces dispositifs, équipés de micros, avaient pour but de surveiller les réserves du magasin à la suite d’une recrudescence de vols de marchandises. Découverts quelques semaines plus tard par les employés, ils ont immédiatement provoqué de fortes réactions, ouvrant la voie à un contrôle de la CNIL et à une enquête approfondie sur les pratiques de l’entreprise.
Alertée par un article de presse du 25 novembre 2023, la CNIL a effectué un contrôle sur place quelques jours plus tard. L’autorité a constaté que les dispositifs avaient été retirés, mais que leur installation antérieure n’avait fait l’objet d’aucune information, ni à destination des salariés, ni du délégué à la protection des données (DPO).
2/ Des violations multiples des principes du RGPD
Dans sa délibération du 18 septembre 2025, la formation restreinte de la CNIL a retenu plusieurs violations majeures du RGPD.
D’abord, un manquement au principe de loyauté et de transparence : les salariés n’avaient pas été informés de la présence de ces caméras, ce qui rendait le traitement de leurs données illicite. Une surveillance dissimulée, même temporaire, ne peut être justifiée qu’en cas de circonstances exceptionnelles, ce qui n’était pas le cas ici.
Ensuite, la CNIL a relevé un défaut de minimisation des données collectées : la présence de micros permettant d’enregistrer des conversations excédait manifestement l’objectif de lutte contre le vol. Une telle collecte sonore constitue une intrusion disproportionnée dans la vie privée des salariés.
La formation restreinte a également pointé le défaut d’implication du DPO, qui n’avait été informé de la mise en place du dispositif qu’après son installation. Ce manquement à l’article 38 du RGPD a privé l’entreprise d’un avis préalable essentiel à la conformité du traitement.
Enfin, la CNIL a constaté l’absence de registre des traitements mentionnant le dispositif et le défaut d’analyse d’impact relative à la protection des données (AIPD). Or, un tel traitement, compte tenu de son caractère caché et de la surveillance potentiellement constante des salariés, présentait un risque élevé justifiant une évaluation préalable.
3/ Le juste équilibre entre sécurité et vie privée
Cette décision s’inscrit dans la continuité de la jurisprudence de la CNIL et de la CEDH sur la surveillance en milieu professionnel. Si un employeur peut recourir à la vidéosurveillance pour protéger ses biens ou prévenir les comportements frauduleux, il doit le faire dans le respect des principes de proportionnalité et de transparence.
La CNIL rappelle qu’un dispositif caché ne peut être autorisé que dans des cas d’une gravité exceptionnelle et pour une durée très limitée. En l’espèce, la Samaritaine invoquait une hausse des vols, mais sans démontrer l’échec de solutions moins intrusives, ni la nécessité d’une surveillance secrète. L’installation de caméras dissimulées ne reposait donc sur aucune justification solide.
Cette sanction illustre ainsi la frontière nette entre la légitime protection des intérêts économiques d’une entreprise et le respect des droits fondamentaux des salariés, notamment leur droit à la vie privée et à la dignité au travail.
4/ Quand la gouvernance perd le fil de la conformité
Au-delà de la sanction pécuniaire, cette affaire a une portée symbolique. Elle souligne la nécessité pour les entreprises d’adopter une gouvernance éthique de la donnée et de mieux articuler leur stratégie de sécurité avec leurs obligations de conformité.
La captation d’images et de sons sans information préalable crée un environnement de méfiance et d’atteinte à la dignité des travailleurs. Elle ne respecte pas les principes consacrés par le Code du travail, qui impose que toute mesure de contrôle de l’activité des salariés soit connue et proportionnée.
L’affaire met aussi en lumière le rôle stratégique du Délégué à la protection des données. Trop souvent considéré comme un simple conseiller, le DPO doit au contraire être pleinement associé aux décisions de l’entreprise dès la conception d’un traitement. Sa mise à l’écart constitue une erreur à la fois juridique et managériale.
5. Un signal fort en faveur d’un numérique responsable
La sanction de la CNIL contre la Samaritaine rappelle une vérité simple : la conformité n’est pas une contrainte bureaucratique, mais une garantie éthique. Le RGPD repose sur la logique de l’accountability : prouver que l’on respecte les principes de protection des données. En dissimulant ses caméras, la Samaritaine a rompu ce lien de confiance et ignoré le fondement même du droit européen des données personnelles. Elle rappelle aux entreprises la nécessité d’intégrer pleinement la protection des données dans leur culture de gestion et leur usage des technologies numériques.
Sources :