Le 18 septembre 2025, la CNIL a sanctionné la société Samaritaine SAS, exploitante du célèbre grand magasin parisien, pour avoir installé des caméras dissimulées dans les réserves du magasin parfois équipées de microphones.
La formation restreinte de l’autorité a infligé une amende de 100.000 euros, assortie d’une publicité de la décision, estimant que le dispositif de vidéosurveillance mis en place méconnaissait plusieurs obligations fondamentales du Règlement général sur la protection des données (RGPD).
Des caméras qui n’ont pas fait long feu
À l’été 2023, confrontée à une recrudescence de vols internes, La Samaritaine décide d’installer des caméras dans ses espaces de stockage. Ces dispositifs étaient dissimulés dans de faux détecteurs de fumée et, pour certains, équipés de microphones permettant la captation sonore.
Rapidement, des salariés découvrent ces caméras et en demandent le retrait. Quelques semaines plus tard, un article de presse révèle l’affaire, suscitant une vive réaction médiatique.
La CNIL décide alors d’intervenir. Un contrôle sur place est réalisé en novembre 2023 : il révèle que le dispositif n’avait fait l’objet d’aucune documentation, qu’aucune analyse d’impact n’avait été menée, et que le délégué à la protection des données (DPO) n’avait pas été consulté.
La Samaritaine oublie de soigner sa conformité RGPD
La formation restreinte a relevé plusieurs infractions aux principes du RGPD résultant de la mise en place du dispositif, expliquant ainsi qu’il aurait pu se révéler conforme si plusieurs conditions avaient été réunies.
– Manquement à l’obligation de traiter les données de manière loyale et un manquement au principe de responsabilité
La CNIL rappelle qu’en principe, pour respecter l’exigence de traitement loyal, licite et transparent, les caméras de vidéosurveillance installées dans un lieu de travail doivent être visibles et connues des salariés. Le responsable de traitement peut recourir temporairement à des caméras dissimulées — à condition de pouvoir démontrer la nécessité du dispositif et d’en évaluer la conformité au RGPD avant toute mise en œuvre.
La Samaritaine invoquait une série de vols internes pour justifier la pose de caméras camouflées dans de faux détecteurs de fumée, présentée comme temporaire. Si la finalité pouvait, à première vue, apparaître légitime, la CNIL souligne que rien n’avait été formalisé : aucune analyse d’impact, aucune inscription au registre des traitements.
Le caractère temporaire du dispositif, par ailleurs, n’a jamais été documenté et n’a été découvert que fortuitement par des salariés, plusieurs semaines après son installation.
La mise en place de ce dispositif n’a pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés.
– Manquement au principe de minimisation
La présence d’un micro sur certains dispositifs était une circonstance aggravante, rappelant à cet égard que l’article 5, paragraphe 1, point c) du RGPD prévoit que les données à caractère personnel doivent être » adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « .
En effet, la CNIL a considéré que la captation sonore n’était ni adéquates ni pertinantes, ni limitées à ce qui est nécessaire au regard à la finalité de prévention des vols.
Elle constituait alors une collecte excessive et ainsi un manquement au principe de « minimisation » du RGPD.
– Manquement à l’obligation d’associer le DPO au dispositif
Le dispositif n’avait pas été inscrit au registre des traitements, aucune analyse d’impact n’avait été menée, et le DPO n’avait pas été associé à la démarche.
Compte tenu des caractéristiques du dispositif, la déléguée à la protection des données aurait pu en l’occurrence alerter la société sur les précautions à prendre et les mesures à mettre en place pour limiter les risques pesant sur les données des salariés, conformément à la mission de conseil et de vigilance que lui confie le RGPD.
Bref, faire appel à un DPO est souvent le meilleur moyen d’éviter que sa conformité RGPD ne parte .. en fumée.