En août 2023, en raison de l’augmentation des vols de marchandises dans ses réserves, la société Samaritaine SAS a placé de nouvelles caméras dans deux réserves qui prenaient l’apparence de détecteurs de fumée et permettaient d’enregistrer le son. Découvertes par des salariés, les caméras ont été retirées en septembre 2023.
La Cnil a été alertée sur ces faits par un article de presse du 25 novembre 2023 intitulé ” La Samaritaine a camouflé des caméras dans des détecteurs de fumée pour surveiller ses salariés “. Peu après, la Cnil a été saisie d’une plainte d’un salarié. Dans les jours qui ont suivi, elle a diligenté un contrôle.
Dans une délibération datée du 18 septembre 2025, la Cnil a relevé plusieurs manquements au RGPD de la part de la société et l’a condamnée à une amende d’un montant de 100 000 euros.
Dans sa délibération, la Cnil détaille les manquements observés.
En application de l’article e l’article 5-1-a) du RGPD, “les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) “. L’article 5-2 prévoit que “le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité)”.
La Cnil a a rappelé sur son site “qu’en principe, afin de satisfaire à l’exigence de loyauté, les caméras de vidéosurveillance filmant les salariés doivent être visibles et non dissimulées. Pour autant, comme cela a été admis par la jurisprudence, dans des circonstances exceptionnelles et sous certaines conditions, le responsable de traitement peut installer temporairement des caméras non visibles par les salariés. Le responsable doit alors analyser la compatibilité du dispositif avec le RGPD et être en mesure d’en justifier”.
En l’espèce, constate la Cnil, si la “société a bien rapporté l’existence de vols commis dans les réserves et expliqué que le dispositif était temporaire, ce que les caractéristiques techniques du dispositif apparaissent confirmer (à savoir fonctionnant sur batterie, simplement collées au mur et sans être reliées au dispositif de vidéosurveillance classique), elle n’a néanmoins mené aucune analyse préalable de conformité au RGPD, ni documenté le caractère temporaire de l’installation – qui a été découverte par des salariés quelques semaines après son déploiement. En effet, la société n’a fait mention de ce dispositif ni dans son registre des traitements, ni au sein de son analyse d’impact. En outre, la société n’a pas informé la déléguée à la protection des données de son intention d’installer des caméras dissimulées dans des réserves. Ainsi, la mise en place de ce dispositif n’a pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés”.
Pour sa défense, la société faisait également valoir que l’objectif de ces caméras “test” n’était pas de surveiller les salariés, mais d’identifier où implanter les futures caméras. Un fait qui ne change rien pour la Cnil. Elle considère que “quand bien même les caméras « test » n’auraient pas eu pour objectif premier de surveiller les salariés mais d’identifier les angles de vue pertinents pour installer de futures caméras à des fins de prévention des atteintes aux biens et personnes, cela est sans incidence sur le fait que le dispositif a effectivement conduit à ce que soient captées des images et des conversations de salariés, à leur insu”.
L’article 5, paragraphe 1, point c) du RGPD prévoit que les données à caractère personnel doivent être “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)”. Le responsable d’un traitement doit ainsi respecter le principe de minimisation en s’abstenant de collecter, conserver, ou plus généralement de traiter des données qui sont sans utilité pour atteindre les finalités poursuivies.
La Cnil relève que “les caméras étaient équipées de micros et des conversations entre salariés, relevant de la sphère personnelle, ont été enregistrées (…) L’enregistrement sonore des salariés était en l’espèce excessif, ce qui constitue un manquement au principe de minimisation”.
Ainsi, l’un des enregistrements contient une conversation au cours de laquelle un salarié évoque son départ de la société.
La Cnil note par ailleurs que “tant l’emballage des caméras que la notice d’utilisation mentionnent la présence d’un micro et la fonctionnalité d’écoute du modèle choisi par la prestataire. Or, quand bien même la société n’aurait pas choisi volontairement un modèle permettant la captation du son, elle disposait, avant l’installation, de tous les éléments lui permettant de savoir que le modèle comportait une fonctionnalité d’écoute”.
L’article 5, paragraphe 1, point e) du RGPD dispose que ” les données à caractère personnel doivent être […] conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées “.
“En vertu des dispositions précitées, il incombe au responsable de traitement de définir une durée de conservation en fonction de la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire, notamment, pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Au-delà des durées de conservation des données versées en archives intermédiaires, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées. L’obligation de supprimer les données à l’expiration d’une certaine durée constitue l’une des garanties fondamentales du régime de protection des données personnelles”.
Or, si la société avait défini une durée de conservation des images issues du dispositif de vidéosurveillance de 17 jours, le contrôle sur place effectué le 29 novembre 2023 a révélé la présence sur le poste de travail dédié à la vidéosurveillance d’extraits vidéo datant du 3 janvier 2022, la société n’ayant pas indiqué de finalité justifiant la conservation de ces images au-delà de la durée de 17 jours.
L’article 33.1 du RGPD dispose qu’en cas de violation de données à caractère personnel, “le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques”.
Or, relève la Cnil, la société a eu connaissance du fait que les cartes SD des caméras “test” avaient été retirées entre le 13 et le 14 septembre 2023, quelques jours après le vol, soit avant le contrôle de la délégation de la Cnil du 29 novembre 2023. Elle considère ainsi que “la société n’apporte aucun élément de nature à justifier le retard pris dans la notification de la violation de données à la Cnil ni dans son inscription au sein d’un registre”.
Aux termes de l’article 38, paragraphe 1, du RGPD, ” le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel “.
Or, constate la Cnil, “ce n’est que plusieurs semaines après l’installation des caméras que la déléguée à la protection des données a été informée de l’existence du dispositif. Or, compte tenu des caractéristiques du dispositif en question, la déléguée à la protection des données aurait été en mesure d’alerter la société sur les moyens à mettre en œuvre pour en limiter les risques pour la protection des données des salariés, conformément à ce que prévoient ses missions”, souligne la Cnil.
En défense, la société explique que la décision de déployer le dispositif de caméras “test” a été prise dans un contexte de recrudescence de vols, durant la période estivale, lorsque que la déléguée à la protection des données n’était pas disponible.
La Cnil constate effectivement que “la décision de recourir à des caméras « test » a été prise en urgence, durant la période estivale, ce qui a rendu difficile la consultation en amont de la déléguée à la protection des données”. Toutefois, “outre le fait que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données, le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable de traitement à consulter la déléguée avant de démarrer l’installation du dispositif”.
En outre, souligne la Cnil, la société n’a pas non plus “informé la déléguée du déploiement du dispositif, ne serait-ce que, par exemple, en lui adressant un message dont elle aurait pu prendre connaissance ultérieurement, et que ce sont les salariés qui, bien après la fin de la période estivale, l’ont informée de l’existence du dispositif les 28 septembre et 2 octobre 2023”.
Cet article provient du site Editions Législatives - ActuEL RH