Un grand magasin parisien sévèrement sanctionné pour avoir placé des caméras dissimulées aux salariés

Posté par: Franchising Belgium

Le 18 septembre 2025, la CNIL (Commission nationale de l’Informatique et des Libertés) a sanctionné la société Samaritaine, exploitante du célèbre grand magasin parisien, pour avoir installé des caméras dissimulées dans les réserves du magasin parfois équipées de microphones. Une amende de 100.000 euros a été prononcée, assortie d’une publicité de la décision, estimant que le dispositif de vidéo-surveillance mis en place méconnaissait plusieurs obligations fondamentales du Règlement général sur la protection des données (RGPD).

Le contexte

En août 2023, en raison de l’augmentation des vols de marchandises dans ses réserves, la société SAMARITAINE a placé des caméras dans ses réserves. Ces caméras ressemblaient à des détecteurs de fumée et permettaient d’enregistrer le son. 

En faisant référence à la Cour européenne des droits de l’homme, la CNIL a rappelé qu’un employeur peut installer des caméras dissimulées mais seulement dans des circonstances exceptionnelles et à condition de ménager un juste équilibre entre l’objectif poursuivi (la protection des biens et des personnes) et la protection de la vie privée des salariés. Pour être proportionné, un tel dispositif doit être temporaire et doit être justifié en vérifiant sa compatibilité avec le RGPD et au regard de circonstances exceptionnelles.

Le RGPD et la CNIL

Le RGPD, ou Règlement Général sur la Protection des Données, est une loi européenne qui harmonise les règles de protection des données personnelles dans toute l’UE (Règlement – 2016/679). Son objectif est de donner plus de droits aux citoyens sur l’utilisation de leurs données, d’uniformiser le traitement des données à l’ère du numérique et de responsabiliser les entreprises qui les collectent. Le RGPD est en vigueur dans les pays de l’Union Européenne depuis le 25 mai 2018.  

En France, c’est la CNIL qui est chargée de sanctionner le non-respect du RGPD.

Les manquements constatés

La CNIL a notamment sanctionné les manquements suivants :

  • Un manquement à l’obligation de traiter les données de manière loyale et un manquement au principe de responsabilité (articles 5-1-a et 5-2 du RGPD)

La CNIL a rappelé qu’afin de satisfaire à l’exigence de loyauté, les caméras filmant les salariés doivent être visibles et non dissimulées même si dans des circonstances exceptionnelles et sous certaines conditions, le responsable de traitement peut installer temporairement des caméras non visibles par les salariés. Le responsable doit alors analyser la compatibilité du dispositif avec le RGPD et être en mesure d’en justifier.

La société SAMARITAINE n’a fait mention de ce dispositif ni dans son registre des traitements, ni au sein de son analyse d’impact. En outre, elle n’a pas informé la déléguée à la protection des données de son intention d’installer des caméras dissimulées dans ses réserves. La mise en place de ce dispositif n’a donc pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés.

  1. Un manquement à l’obligation de collecter des données adéquates, pertinentes et non excessives (article 5-1-c) du RGPD). 

Les caméras étaient équipées de micros et des conversations entre salariés, relevant de leurs  contacts personnels, ont été enregistrées. La CNIL a considéré que l’enregistrement sonore des salariés était en l’espèce excessif, ce qui constitue un manquement au principe de minimisation.

  1. Un manquement à l’obligation d’associer le délégué à la protection des données aux questions relatives à la protection des données à caractère personnel (article 38-1 du RGPD). 

Ce n’est que plusieurs semaines après l’installation des caméras que la déléguée à la protection des données a été informée de l’existence du dispositif. Or, compte tenu des caractéristiques du dispositif en question, la déléguée aurait été en mesure d’alerter la société sur les moyens à mettre en œuvre pour en limiter les risques pour la protection des données des salariés, conformément à ce que prévoient ses missions.

Et en Belgique ?

L’Autorité de Protection des Données est en Belgique (APD) l’équivalent de la CNIL en France. 

Cette autorité a le pouvoir de sanctionner les manquements aux règles légales.

Dans un autre article, nous examinons les pouvoirs de cette Autorité et nous expliquons comment cette Autorité a sanctionné un commerçant belge qui faisait usage de caméras.

 

Le 13 novembre 2025
Pierre Demolin
Avocat aux Barreaux de Mons et de Paris
www.dbbdefenso.be

16
DéC

Articles liés

McDonald’s débarque à Walcourt Brico entend franchiser 10 de ses magasins intégrés Leonidas réalise le meilleur chiffre d’affaires de son histoire et termine la construction de sa nouvelle usine à Nivelles Résultats 2025