Le 18 septembre 2025, la CNIL a infligé une amende de 100 000 euros à la société SAMARITAINE SAS pour avoir dissimulé des caméras dans les réserves du magasin. Installés en août 2023 sous forme de détecteurs de fumée, ces dispositifs enregistraient également le son, captant ainsi des conversations entre salariés. Découvertes un mois plus tard, les caméras ont rapidement été retirées, mais la CNIL a jugé le procédé contraire aux principes de loyauté, de minimisation et de transparence du RGPD. Elle a rappelé qu’une surveillance cachée ne peut être justifiée que dans des circonstances exceptionnelles et qu’elle doit toujours respecter la vie privée des employés.
Le 18 septembre 2025, la CNIL a sanctionné la société SAMARITAINE SAS d’une amende de 100 000 euros pour avoir dissimulé des caméras dans les réserves du magasin.
Le contexte
En août 2023, face à l’augmentation des vols dans ses réserves, la SAMARITAINE SAS a installé de nouvelles caméras camouflées en détecteurs de fumée avec capacité d’enregistrement sonore.
Découvertes par des salariés, elles ont été retirées en septembre 2023.
La CNIL a été alertée par un article de presse du 25 novembre 2023, puis saisie d’une plainte. Un contrôle a été rapidement diligenté.
A la suite de ce contrôle, la formation restreinte de la CNIL a sanctionné la société pour plusieurs manquements au RGPD. S’appuyant sur la jurisprudence de la CEDH, elle a rappelé qu’un employeur peut installer des caméras cachées uniquement dans des circonstances exceptionnelles et en préservant l’équilibre entre protection des biens et respect de la vie privée des salariés.
Les manquements sanctionnés
- Un manquement à l’obligation de traiter les données de manière loyale et au principe de responsabilité (articles 5-1-a) et 5-2 du RGPD)
La formation restreinte de la CNIL a rappelé que les caméras filmant les salariés doivent être visibles. Des exceptions sont possibles dans des circonstances exceptionnelles, mais le responsable doit analyser la conformité au RGPD et pouvoir la justifier.
Bien que la société concernée ait pu prouver l’existence de vols et le caractère temporaire du dispositif, elle n’a pas en revanche été à même de démontrer avoir procédé à une analyse préalable de conformité, ni avoir documenté l’installation temporaire : le dispositif n’apparaissait ni dans son registre des traitements, ni dans son analyse d’impact.
La déléguée à la protection des données n’a pas été informée du projet.
- Un manquement à l’obligation de collecter des données adéquates, pertinentes et non excessives (article 5-1-c) du RGPD)
Les caméras enregistraient des conversations personnelles entre salariés, ce que la formation restreinte a jugé excessif et contraire au principe de minimisation[1].
- Un manquement à l’obligation d’associer le délégué à la protection des données (article 38-1 du RGPD)
La déléguée n’a été informée que plusieurs semaines après l’installation, alors qu’elle aurait pu alerter sur les moyens de limiter les risques pour la protection des données des salariés.
Avocate collaboratrice
Avocat associé
[1] Le principe de minimisation du RGPD consiste à ne collecter et traiter que les données personnelles strictement nécessaires pour atteindre un objectif précis. Autrement dit, il faut éviter de recueillir des informations superflues ou excessives par rapport aux besoins de l’activité.