En novembre 2023, un article de presse révélait que la société SAMARITAINE avait installé, dans les réserves de son magasin, des caméras de vidéosurveillance dissimulées à l’intérieur de détecteurs de fumée. A la suite d'une plainte déposée par un salarié, la CNIL a diligenté un contrôle sur site, lequel a mis en évidence plusieurs manquements au RGPD.
Un manquement à l'obligation de loyauté, licéité et de transparence ainsi qu'au principe de responsabilité
En application des articles 5.1a et 5.2 du RGPD, ainsi que de la jurisprudence Bărbulescu c. Roumanie de la Cour Européenne des Droits de l'Homme (CEDH, 5 septembre 2017, n° 61496/08), le recours à des dispositifs de vidéosurveillance dissimulés n’est admissible que dans des circonstances exceptionnelles et sous réserve du respect d’un équilibre proportionné entre l’objectif poursuivi et la protection de la vie privée des salariés
La société soutenait que l’installation des caméras répondait à des suspicions de vols dans les réserves et présentait un caractère temporaire. Toutefois, la CNIL a relevé l’absence d'analyse préalable de conformité et de documentation du dispositif dans le registre des traitements et dans l’analyse d’impact. Elle en a conclu que la mise en place de ces caméras dissimulées ne permettait pas d’assurer le respect du juste équilibre entre la finalité poursuivie et la protection des droits des salariés.
Un manquement au principe de minimisation des données
Conformément à l'article 5.1c) du RGPD, le responsable de traitement doit veiller à ce que les données collectées soient adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies. En l'espèce, les caméras étaient dotées de micros qui ont permis l'enregistrement des conversations personnelles des salariés, alors qu’elles n’avaient pour objet que d’identifier les angles de prise de vue les plus appropriés pour de futures installations fixes. Dès lors, la CNIL a considéré que ces enregistrements sonores des salariés constituaient un manquement au principe de minimisation des données.
Un manquement à l'obligation d'associer le délégué à la protection des données (DPO)
En vertu de l'article 38.1 du RGPD, le responsable de traitement et le sous-traitant doivent associer le DPO, de manière appropriée et en temps utile, à toutes les questions relatives aux données personnelles. Or, en l'espèce, le DPO de la société n'a été informé de l’installation de ces dispositifs que plusieurs semaines après leur mise en place. La CNIL a ainsi constaté un manquement à l’obligation d’intégration effective du DPO dans le processus décisionnel relatif aux traitements des données.
Délibération SAN-2025-008 du 18 septembre 2025
Découvrir les actualités :
- du département Propriété intellectuelle & Nouvelles Technologies