Vidéosurveillance des salariés : le respect du RGPD n’est pas une option !

Les faits et la procédure

En août 2023, la société la Samaritaine installe des caméras de surveillance dans certaines de ses réserves, à l’insu des salariés, car elle y a constaté une recrudescence de vols de marchandises. Ces caméras ont l’apparence de détecteurs de fumées, et au-delà de filmer, elles enregistrent les sons.

Rapidement repérées par les salariés, elles sont retirées en septembre 2023.

Le 28 novembre 2023, la CNIL est saisie d’une plainte d’un salarié dénonçant "un système de vidéosurveillance dissimulé dans des faux détecteurs de fumée au sein des réserves". La CNIL diligente un contrôle dans ce contexte.

Le 18 septembre 2025, la CNIL sanctionne la Samaritaine d’une amende de 100 000 euros pour plusieurs manquements au RGPD, sanction assortie d’une mesure de publicité de la délibération sur son site internet et sur légifrance.fr.

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) encadre et harmonise le traitement des données personnelles par les professionnels sur le territoire de l’Union européenne. Il tient compte de l’évolution des technologies et des usages numériques.

Le trois objectifs principaux du RGPD sont les suivants :

• renforcer les droits des personnes,

• responsabiliser les acteurs traitant des données,

• crédibiliser la régulation par une coopération renforcée entre les autorités compétentes en matière de protection des données.

Les principaux manquements relevés

1/ Un manquement à l’obligation de traiter les données de manière loyale et un manquement au principe de responsabilité (articles 5-1-a et 5-2 du RGPD)

Tout d’abord, la CNIL rappelle la règle en matière de vidéosurveillance des salariés : les caméras composant le dispositif doivent être visibles, non dissimulées, afin de respecter le principe de loyauté inscrit à l’article 5-1-a du RGPD. Ce dernier prévoit que « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. »

La jurisprudence de la CEDH, quant à elle, a aménagé une exception : sous certaines conditions dont il faut pouvoir justifier, le responsable de traitement peut installer des caméras non visibles par les salariés. Il devra s’assurer d’un juste équilibre entre l’objectif poursuivi par l’installation de ce dispositif et la protection de la vie privée des salariés.

Dans notre cas d’espèce, de nombreux points pêchent :

• L’entreprise n’a pas analysé la compatibilité du dispositif de surveillance avec le RGPD. Elle n’a pas non plus justifié de son utilisation sur un temps restreint.

• Le registre du RGPD n’a pas été complété : pas de mention des caméras de surveillance additionnelles ni de leur utilité.

• La déléguée à la protection des données de l’entreprise n’a pas été tenue informée de l’installation de ce système de vidéosurveillance.

• L’analyse d’impact a été complétée après l’installation du dispositif.

Enfin, le responsable de traitement n’a pu démontrer que le traitement des données à caractère personnel a été fait en bonne et due forme comme demandé par l’article 5-2 du RGPD.

Ainsi, la CNIL « considère que la mise en place de ce dispositif n’a pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés et d’être en mesure d’en attester, comme les jurisprudences applicables en la matière invitent les organismes à le faire dans de tels cas. »

Qui est responsable du RGDP dans l'entreprise ?

Le responsable du traitement est le représentant légal de l’organisation. Il incarne la personne morale. Lorsqu’il passe par des sous-traitants pour gérer les données traitées, ses partenaires doivent respecter tout autant le RGPD.

Quant au Délégué à la Protection des Données (DPO), sa mission est de conseiller et d’accompagner l’organisation à laquelle il appartient pour mettre en œuvre l’application du règlement européen.

Dans les entreprises de plus de 250 salariés, le registre des traitements est obligatoire. Il contient notamment les finalités du traitement, la durée de conservation des données et la description générale des mesures de sécurité des données.

2/ Un manquement à l’obligation de collecter des données adéquates, pertinentes et non excessives (article 5-1-c du RGPD)

Le RGPD prévoit que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Il faut donc appliquer le principe de minimisation des données.

Et dans notre cas d’espèce, le dispositif de surveillance contenait un micro. Des conversations personnelles ont été enregistrées.

Ce système était-il compatible avec le principe de minimisation des données ? Pas pour la CNIL !

La CNIL s’était déjà prononcée sur des enregistrements sonores : " La captation du son n’est admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier, et doit alors généralement ne pas être mise en œuvre en continu mais seulement lorsqu’un événement particulier se produit " (CNIL, FR, 19 décembre 2024, Sanction n° SAN-2024-021).

Concernant l’affaire de la Samaritaine, la CNIL considère « que l’enregistrement sonore des salariés était en l’espèce excessif, ce qui constitue un manquement au principe de minimisation. … Pour être proportionné, un dispositif de vidéosurveillance ne doit pas, en principe, capter le son ».

3/ Un manquement à l’obligation d’associer le délégué à la protection des données aux questions relatives à la protection des données à caractère personnel (article 38-1 du RGPD)

L’article 38 du RGPD est clair : " le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ".

Et pourtant, tel n’a pas été le cas pour la DPO de la Samaritaine : elle a été informée de ce dispositif le 2 octobre 2023, soit bien après son installation puis son retrait. Elle n’a pas pu exercer son rôle de conseil et d’alerte en matière de protection des données avec un tel dispositif de surveillance des salariés.

La CNIL ne peut que constater la méconnaissance de l’article 38-1 du RGPD par la société la Samaritaine.

En matière de preuve, tous les coups ne sont pas permis !

Saisir la CNIL semble une option intéressante à exploiter dès lors que l’on a connaissance d’une dérive en matière de protection des données dans l’organisation dans laquelle on travaille. Dans notre affaire, on peut imaginer que l’objectif de l'employeur, en installant ces caméras, était de sanctionner les salariés suspectés de vol. 

Dans sa délibération du 18 septembre 2025, la société la Samaritaine est condamnée à une amende de 100 000€ en raison des différents manquements. En effet, même s’il est possible d’avoir exceptionnellement recours à ce procédé, c’est à la condition d’assurer une juste proportion entre l’intérêt poursuivi et le respect de la vie privée des salariés, ce qui n’est pas le cas pour la Samaritaine !

D’ailleurs, depuis mai 2025, la CNIL a prononcé 16 sanctions dans le cadre de sa procédure simplifiée, principalement dans le domaine de la vidéosurveillance.

Enfin, rappelons que le CSE a son rôle à jouer en la matière car il "est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés " (article L.2312-38 C trav).