La récente condamnation du grand magasin parisien La Samaritaine, propriété de LVMH, par la CNIL à une amende de 100 000 euros est un signal d’alarme pour toutes les entreprises. Plus qu’une simple sanction financière, cette affaire illustre de manière concrète les risques juridiques et les violations du droit de la protection des données liés à une mauvaise gestion de la vidéosurveillance sur le lieu de travail.

En tant qu’avocat spécialisé, cette affaire met en lumière une série de manquements graves aux principes du Règlement Général sur la Protection des Données (RGPD) et aux règles établies par la Commission Nationale de l’Informatique et des Libertés (CNIL). Analysons les points de friction et les règles à respecter.

1. Le principe de transparence et de visibilité : une obligation légale

Le premier manquement de La Samaritaine, et le plus flagrant, est la dissimulation des caméras sous l’apparence de détecteurs de fumée. Ce procédé contrevient de manière directe à l’un des principes fondamentaux du RGPD : le principe de transparence (Art. 5, § 1, a) et Art. 12 du RGPD).

La jurisprudence française est constante sur ce point. Une surveillance des salariés ne peut être mise en place de manière clandestine. Comme le rappelle régulièrement la Cour de cassation (voir par exemple, Cass. soc., 12 juillet 2012, n° 10-25.968), un employeur ne peut utiliser des images de vidéosurveillance comme preuve contre un salarié si ce dernier n’a pas été préalablement informé du dispositif.

La CNIL, dans sa délibération n° 2017-317 du 26 octobre 2017 portant recommandation sur les dispositifs de vidéosurveillance, insiste sur le fait que “les caméras de vidéosurveillance filmant les salariés doivent être visibles et non dissimulées.” Bien que des exceptions puissent exister dans des “circonstances exceptionnelles”, comme le cas de la lutte contre le vol, celles-ci doivent être strictement encadrées, temporaires et proportionnées.

2. L’absence d’analyse d’impact (AIPD) : une faute lourde

La Samaritaine n’a pas non plus mené d’analyse d’impact relative à la protection des données (AIPD), pourtant requise pour tout traitement de données présentant un risque élevé pour les droits et libertés des personnes (Art. 35 du RGPD). La CNIL considère que la surveillance à grande échelle de lieux accessibles au public ou de zones de travail, comme c’est le cas dans un magasin, nécessite une telle analyse.

Cette analyse aurait dû permettre de :

  • Déterminer la finalité légitime du traitement (ici, la lutte contre le vol).
  • Évaluer la nécessité et la proportionnalité du dispositif par rapport à l’objectif poursuivi.
  • Identifier les risques pour la vie privée des salariés.

L’absence de cette étape cruciale est un manquement direct à l’obligation de “privacy by design” et “by default” (Art. 25 du RGPD) qui impose de prendre en compte la protection des données dès la conception du dispositif.

3. L’enregistrement sonore : une collecte excessive de données

Un autre point de condamnation a été l’enregistrement sonore des salariés, jugé “excessif” par la CNIL. Ce type de collecte va au-delà de ce qui est nécessaire pour l’objectif de vidéosurveillance et constitue une violation flagrante du principe de minimisation des données (Art. 5, § 1, c) du RGPD).

La CNIL a toujours été très stricte sur ce point. Comme le rappelle sa fiche pratique sur la vidéosurveillance au travail, l’enregistrement sonore est presque toujours interdit, sauf circonstances exceptionnelles (par exemple, dans les zones de caisse pour résoudre un litige précis), car il porte une atteinte disproportionnée à la vie privée des salariés.

4. Non-respect du délai d’information du DPO

Enfin, la CNIL a déploré que la déléguée à la protection des données (DPO) n’ait été informée de l’installation des caméras que plusieurs semaines après leur déploiement. L’Art. 38 du RGPD stipule pourtant que le DPO doit être associé “dès le début” à toutes les questions relatives à la protection des données. Ne pas le faire est une grave erreur, car le DPO a pour mission de conseiller l’employeur sur le respect du RGPD et d’agir comme un garde-fou.

5. Les leçons à tirer pour les entreprises

Cette affaire rappelle que la protection des données n’est pas une simple formalité, mais une obligation légale avec des conséquences réelles. Pour toute entreprise envisageant un système de vidéosurveillance, la démarche doit être la suivante :

  1. Justifier la finalité : La vidéosurveillance doit servir à des fins légitimes et ne pas être utilisée pour contrôler la productivité des employés.
  2. Informer les salariés : Afficher de manière claire et visible les caméras et informer les personnes filmées de leurs droits (accès, rectification, effacement).
  3. Mener une AIPD : Évaluer les risques et documenter le dispositif.
  4. Associer le DPO : Le consulter avant toute installation.
  5. Limiter la collecte : Ne filmer que les zones nécessaires, ne pas enregistrer le son et limiter la durée de conservation des images.

La Samaritaine a appris à ses dépens que la sécurité ne peut se faire au détriment des droits fondamentaux des salariés. Pour éviter une telle sanction, il est essentiel de se conformer aux règles du RGPD et aux recommandations de la CNIL, en s’appuyant si nécessaire sur l’expertise d’un conseil juridique.

Références juridiques et ressources :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) : Articles 5, 12, 25, 35, 38.
  • CNIL :
    • Délibération n° 2017-317 du 26 octobre 2017 portant recommandation sur les dispositifs de vidéosurveillance.
    • Fiches pratiques “Vidéosurveillance au travail”.
    • délibération SAN-2025-008
  • Jurisprudence :
    • Cass. soc., 12 juillet 2012, n° 10-25.968.
    • Cass. soc., 15 mai 2019, n° 17-21.782.