Caméras dissimulées : la CNIL sanctionne la SAMARITAINE

Le contexte

En août 2023, en raison de l’augmentation des vols de marchandises dans ses réserves, la société SAMARITAINE SAS a placé de nouvelles caméras dans deux réserves. Ces caméras prenaient l’apparence de détecteurs de fumées et permettaient d’enregistrer le son. Découvertes par des salariés, les caméras ont été retirées en septembre 2023.

L’attention de la CNIL a été appelée sur ces faits par un article de presse du 25 novembre 2023. Peu après, elle a été saisie d’une plainte portant sur les mêmes éléments. Dans les jours qui ont suivi, la CNIL a diligenté un contrôle.

Sur la base des constats effectués lors de ce contrôle, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a sanctionné la société SAMARITAINE SAS d’une amende de 100 000 euros pour plusieurs manquements au RGPD. Dans le prolongement de la Cour européenne des droits de l’homme (CEDH), la formation restreinte a rappelé qu’un employeur peut installer des caméras dissimulées dans des circonstances exceptionnelles et à condition de ménager un juste équilibre entre l’objectif poursuivi (la protection des biens et des personnes) et la protection de la vie privée des salariés. Par exemple, pour être proportionné, un tel dispositif devrait être temporaire et déployé après analyse documentée de sa compatibilité avec le RGPD et au regard des circonstances exceptionnelles.

La CNIL a notamment sanctionné les manquements suivants.

Les manquements sanctionnés

Un manquement à l’obligation de traiter les données de manière loyale et un manquement au principe de responsabilité (articles 5-1-a) et 5-2 du RGPD)

La formation restreinte a rappelé qu’en principe, afin de satisfaire à l’exigence de loyauté, les caméras de vidéosurveillance filmant les salariés doivent être visibles et non dissimulées. Pour autant, comme cela a été admis par la jurisprudence, dans des circonstances exceptionnelles et sous certaines conditions, le responsable de traitement peut installer temporairement des caméras non visibles par les salariés. Le responsable doit alors analyser la compatibilité du dispositif avec le RGPD et être en mesure d’en justifier.

Dans le cas présent, la société a bien rapporté l’existence de vols commis dans les réserves et expliqué que le dispositif était temporaire (ce que les caractéristiques techniques du dispositif apparaissent confirmer), elle n’a néanmoins mené aucune analyse préalable de conformité au RGPD, ni documenté le caractère temporaire de l’installation – qui a été découverte par des salariés quelques semaines après son déploiement.

En effet, la société SAMARITAINE SAS n’a fait mention de ce dispositif ni dans son registre des traitements, ni au sein de son analyse d’impact. En outre, la société n’a pas informé la déléguée à la protection des données de son intention d’installer des caméras dissimulées dans des réserves. Ainsi, la mise en place de ce dispositif n’a pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés.

Un manquement à l’obligation de collecter des données adéquates, pertinentes et non excessives (article 5-1-c) du RGPD)

Les caméras étaient équipées de micros et des conversations entre salariés, relevant de la sphère personnelle, ont été enregistrées. La formation restreinte a considéré que l’enregistrement sonore des salariés était en l’espèce excessif, ce qui constitue un manquement au principe de minimisation.

Un manquement à l’obligation d’associer le délégué à la protection des données aux questions relatives à la protection des données à caractère personnel (article 38-1 du RGPD)

Ce n’est que plusieurs semaines après l’installation des caméras que la déléguée à la protection des données a été informée de l’existence du dispositif. Or, compte tenu des caractéristiques du dispositif en question, la déléguée à la protection des données aurait été en mesure d’alerter la société sur les moyens à mettre en œuvre pour en limiter les risques pour la protection des données des salariés, conformément à ce que prévoient ses missions.