Surligner les termes recherchés

Délibération SAN-2025-008 du 18 septembre 2025

Commission Nationale de l’Informatique et des Libertés

Nature de la délibération : Sanction
Etat juridique : En vigueur

Date de publication sur Légifrance : Mardi 23 septembre 2025

Délibération de la formation restreinte n°SAN-2025-008 du 18 septembre 2025 prononçant une sanction pécuniaire à l'encontre de la société SAMARITAINE SAS

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mme Isabelle LATOURNARIE-WILLEMS, M. Bertrand du MARAIS et M. Didier KLING, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la sécurité intérieure ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2023-264C du 27 novembre 2023 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés du 6 février 2025 portant désignation d’une rapporteure devant la formation restreinte ;

Vu le rapport de Mme Sophie LAMBREMON, commissaire rapporteure, du 13 mars 2025 ;

Vu les observations écrites versées par la société SAMARITAINE SAS le 14 avril 2025 ;

Vu la clôture de l’instruction, signifiée à la société SAMARITAINE SAS le 16 juin 2025.

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 3 juillet 2025 :

- Mme Sophie LAMBREMON, commissaire rapporteure, entendue en son rapport ;

En qualité de représentants de la société SAMARITAINE SAS:

- [...]

Le président ayant vérifié l’identité des représentants du mis en cause, présenté le déroulé de la séance et rappelé que les mis en cause peuvent, s’ils le souhaitent, présenter des observations orales introductives ou en réponse aux questions des membres de la formation restreinte.

La société SAMARITAINE SAS ayant été informée, à titre conservatoire et au regard des implications encore incertaines de la jurisprudence du Conseil constitutionnel en cette matière, de son droit de garder le silence sur les faits qui lui était reprochés, et celle-ci ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

I. Faits et procédure

1. La société SAMARITAINE SAS (ci-après " la société "), anciennement DFS France SAS, est une société par actions simplifiée créée en 2011, sise 21 rue de la Monnaie à Paris (75001).

2. La société exploite le magasin " La Samaritaine " depuis 2021 et emploie environ 640 salariés. L’enseigne accueille environ 4 millions de visiteurs par an.

3. En 2023, le chiffre d’affaires de la société s’élevait à […] pour un résultat […].

4. Le 25 novembre 2023, un article de presse intitulé " La Samaritaine a camouflé des caméras dans des détecteurs de fumée pour surveiller ses salariés " faisait état de l’installation de " caméras espion camouflées en détecteurs de fumée " fin août 2023 dans les réserves du magasin.

5. Le 28 novembre 2023, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie d’une plainte d’un salarié dénonçant " un système de vidéosurveillance dissimulé dans des faux détecteurs de fumée au sein des réserves ".

6. En application de la décision n° 2023-264C de la Présidente de la CNIL du 27 novembre 2023, une délégation de la Commission a procédé à un contrôle sur place le 29 novembre 2023 afin de vérifier le respect, par la société SAMARITAINE SAS, de l’ensemble des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la " loi Informatique et Libertés "), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le " RGPD ") et des articles L. 251 1 et suivants du code de la sécurité intérieure.

7. Le procès-verbal n° 2023-264/1 dressé à l’issue du contrôle a été notifié à la société le 1er décembre 2023.

8. Les 8 décembre 2023 et 29 mars 2024, la société a transmis des éléments complémentaires à la délégation de contrôle.

9. Les 11 et 20 décembre 2023, deux auditions sur convocation ont été réalisées par la délégation de contrôle.

10. Les procès-verbaux n° 2023-264/2 et n° 2023-264/3 dressés à l’issue des auditions ont été notifiés à la société SAMARITAINE SAS le 21 décembre 2023.

11. Le 15 juillet 2024, un contrôle sur pièces a été effectué. La délégation de contrôle a sollicité des informations complémentaires auprès de la société SAMARITAINE SAS, du représentant du personnel et du sous-traitant en charge du dispositif de vidéosurveillance, la société […]. Les éléments sollicités ont été respectivement reçus le 29 juillet 2024, le 31 juillet 2024 et le 15 novembre 2024.

12. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 6 février 2025, désigné Mme Sophie LAMBREMON en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

13. Le 13 mars 2025, à l’issue de son instruction, la rapporteure a fait notifier à la société un rapport détaillant les manquements aux articles 5-1-a), 5-1-c), 5-1-e) 33-1, 33-5 et 38-1 du RGPD qu’elle estimait constitués en l’espèce. Son rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

14. Le 14 avril 2025, la société a produit des observations en réponse au rapport de sanction.

15. Le 16 juin 2025, la rapporteure a, en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après, " le décret du 29 mai 2019 "), informé la société que l’instruction était close.

16. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 3 juillet 2025.

17. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur le manquement à l’obligation de traiter les données de manière loyale, licite et transparente des données et au principe de responsabilité, articles 5-1-a) et 5-2 du RGPD

18. En droit, aux termes de l’article 5-1-a) du RGPD, " Les données à caractère personnel doivent être : a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ". L’article 5-2 prévoit que " Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) ".

19. Le considérant 60 du RGPD précise que " tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées ". Il indique également que " le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées ".

20. S’agissant d’un dispositif de vidéoprotection ou de vidéosurveillance, la CNIL estime en principe que les obligations de transparence ou le droit d’accès du RGPD n’impliquent pas l’affichage ou la communication d’un plan comprenant les emplacements exacts des caméras (CNIL, P, 29 mai 2024, Rejet, Commune de X, 27412, non publié, aux tables Informatique et Libertés), à condition que l’information donne des indications suffisantes sur la zone soumise à vidéoprotection/surveillance. Toutefois, pour satisfaire à l’exigence de loyauté posée par l’article 5-1-a) du RGPD, la CNIL estime qu’en principe, les caméras composant le dispositif doivent être visibles, non dissimulées. Pour autant, comme cela a été admis par la jurisprudence, dans des circonstances exceptionnelles et sous certaines conditions, dont il faut pouvoir justifier, le responsable de traitement peut installer des caméras non visibles par les salariés

21. Dans une affaire de licenciement de membres du personnel d’un supermarché pour vols de marchandises découverts grâce à des caméras de vidéosurveillance dont certaines étaient dissimulées, la Cour européenne des droits de l’homme a jugé que, " si elle ne saurait accepter que, de manière générale, le moindre soupçon que des détournements ou d’autres irrégularités aient été commis par des employés puisse justifier la mise en place d’une vidéosurveillance secrète par l’employeur, l’existence de soupçons raisonnables que des irrégularités graves avaient été commises et l’ampleur des manques constatés en l’espèce peuvent apparaître comme des justifications sérieuses. Cela est d’autant plus vrai dans une situation où le bon fonctionnement d’une entreprise est mis à mal par des soupçons d’irrégularités commises non par un seul employé mais par l’action concertée de plusieurs employés, dans la mesure où cette situation a pu créer un climat général de méfiance dans l’entreprise " (CEDH, Grande Chambre, 17 octobre 2019, Lopez Ribalda et autres c. Espagne, requêtes n° 1874/13 et 8567/13, pt 134).

22. Dans cet arrêt, et au regard des exigences nées du droit au respect de la vie privée, la CEDH a donc jugé que les principes établis par la Cour dans l’arrêt Bărbulescu c. Roumanie (CEDH, 5 septembre 2017, Bărbulescu c. Roumanie, requête n° 61496/08) sont transposables, mutatis mutandis, aux circonstances dans lesquelles un employeur peut mettre en place une mesure de vidéosurveillance sur le lieu de travail. Elle a également rappelé à cette occasion la nécessité de manier les critères ainsi mis en avant en tenant compte de la spécificité des relations de travail et du développement des nouvelles technologies, qui peut permettre des mesures de surveillance de plus en plus intrusives dans la vie privée des salariés. Dans ce contexte, pour s’assurer de la proportionnalité de mesures de vidéosurveillance sur le lieu de travail, la Cour a estimé que les juridictions nationales devaient tenir compte des facteurs suivants lorsqu’elles procèdent à la mise en balance des différents intérêts en jeu :

- L’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de vidéosurveillance ainsi que de la mise en place de telles mesures ?

- Quels ont été l’ampleur de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ?

- L’employeur a-t-il justifié par des motifs légitimes le recours à la surveillance et l’ampleur de celle-ci ?

- Était-il possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs ?

- Quelles ont été les conséquences de la surveillance pour l’employé qui en a fait l’objet ?

- L’employé s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ?

23. À la lumière de cette décision et des critères définis, si le recours à des caméras dissimulées peut être admis, cela ne peut être que dans des circonstances exceptionnelles et à condition de ménager un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés. La conciliation proportionnée de ces objectifs implique, en principe, qu’un tel dispositif dissimulé devrait généralement rester temporaire.

24. La rapporteure observe que cinq caméras de vidéosurveillance prenant l’apparence de détecteurs de fumée ont été installées dans deux des réserves du magasin " La Samaritaine " en août 2023, en raison de l’augmentation des vols de marchandises dans ces réserves. Elle considère que le traitement de données permis par ces caméras constitue un traitement déloyal, faute pour la société de n’avoir apporté aucun élément permettant d’attester du caractère temporaire du dispositif, dans la mesure où ce n’est qu’à la faveur de sa découverte puis de son démontage par les salariés que le traitement de données à caractère personnel a été interrompu. Elle relève aussi que les caméras étaient dotées de micros, rendant ainsi le dispositif très intrusif vis-à-vis des salariés.

25. Elle considère enfin que le fait que, le dispositif n’avait pas été répertorié dans l’analyse d’impact sur la protection des données (ci-après " AIPD ") et que la déléguée à la protection des données n’avait pas été informée de son déploiement démontrent que la société a mis en œuvre le traitement en dehors de toutes considérations liées au respect du RGPD.

26. En défense, la société explique que les deux réserves en question étaient déjà équipées d’un dispositif de vidéosurveillance " classique ", composé de caméras visibles et dont les salariés avaient été informés. Toutefois, la recrudescence de vols commis entre le 14 et le 23 aout 2023 au sein de ces réserves a mis en avant l’inefficacité du dispositif de vidéosurveillance déjà existant. Elle précise que la décision d’installer ces caméras a été prise durant la période estivale où son prestataire habituel, en charge du dispositif de vidéosurveillance " classique ", n’était pas disponible dans les délais requis. Elle s’est donc tournée vers un autre prestataire.

27. Elle a alors décidé d’installer de nouvelles caméras afin de couvrir plus efficacement la surface des réserves. Afin de s’assurer que les futures caméras permettraient de mieux sécuriser les marchandises, la société a décidé d’installer des caméras " test " pour mieux comprendre comment couvrir les angles morts du dispositif classique et pouvoir déterminer où placer, dans un second temps, des caméras pérennes, dans les mêmes conditions que celles du dispositif de vidéosurveillance actuel.

28. La société explique que l’objectif de ces caméras " test " n’était donc pas de surveiller les salariés, mais d’identifier où implanter les futures caméras. Elle précise que ces caméras " test " n’étaient d’ailleurs pas connectées au dispositif classique et que les images qu’elles captaient ne pouvaient pas être visionnées depuis le PC sécurité du magasin. En outre, elle observe qu’elle n’avait pas connaissance de ce que les caméras étaient dotées de micros et qu’en tout état de cause, elle n’a jamais été en possession des enregistrements en raison du démontage des caméras et de la subtilisation des cartes SD.

29. En séance, la société a expliqué que les caméras n’étaient pas dissimulées puisque disposées sur des murs nus. Elle a également précisé que la commande des caméras auprès du prestataire avait été faite uniquement à l’oral, sans bon de commande, et au vu de l’urgence survenant au cœur de l’été. Elle a également ajouté que les réserves ne constituent pas le lieu de travail des salariés, qui ne sont amenés à s’y rendre que ponctuellement.

30. En l’espèce, la formation restreinte relève qu’il ressort des pièces du dossier que les caméras " test ", installées dans deux réserves durant plusieurs semaines, ont enregistré des images sur lesquelles apparaissent les salariés travaillant dans les réserves et ont capté le son. Elle note que les caméras ont été désinstallées par les salariés en septembre 2023.

31. À titre liminaire, elle souligne que le fait que les caméras test n’étaient pas reliées au dispositif classique n’a aucune conséquence sur la qualification de données à caractère personnel des données collectées.

32. En premier lieu, la formation restreinte relève que les caractéristiques techniques des caméras - fonctionnant sur batterie, simplement collées au mur et sans être reliées au dispositif de vidéosurveillance classique - tendent à corroborer les déclarations de la société selon lesquelles le dispositif en cause n’avait pas vocation à être pérenne. Elle note toutefois, qu’afin de garantir un juste équilibre entre la protection de la vie privée des salariés et l’objectif poursuivi par le responsable de traitement, ce dernier doit analyser la compatibilité du dispositif avec le RGPD et être en mesure d’en rendre compte, comme le prévoient les dispositions de l’article 5-2 du RGPD. Il doit ainsi, dans ce cadre, documenter les caractéristiques de déploiement de son dispositif, et pouvoir attester notamment de son caractère temporaire.

33. Or, la formation restreinte relève qu’en l’espèce, la documentation (registre des traitements et AIPD) mise en place par la société ne contient aucune trace du dispositif qui permettrait de confirmer les allégations de la société. Le traitement de données en lien avec le dispositif n’est pas mentionné dans son registre des traitements et ce n’est que le 22 décembre 2023, soit postérieurement à son installation et au contrôle, que le dispositif a été intégré à l’analyse d’impact établi par la société. Par ailleurs, la formation restreinte observe que la société n’a pas non plus tenu informée sa déléguée à la protection des données de l’installation du dispositif. La société ne dispose pas non plus d’éléments écrits (bon de commande par exemple) établissant le caractère temporaire du dispositif, tous les échanges entre la société et le prestataire relatifs à son déploiement étant intervenus par oral.

34. Elle considère ainsi que la mise en place de ce dispositif n’a pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés et d’être en mesure d’en attester, comme les jurisprudences applicables en la matière invitent les organismes à le faire dans de tels cas.

35. En deuxième lieu, la formation restreinte considère que le fait que les salariés avaient été informés de la présence du dispositif de vidéosurveillance classique ne remet pas en cause ce qui précède. Au contraire, elle relève que, les caméras " test " prenant l’apparence de détecteurs de fumée, les salariés ne pouvaient raisonnablement pas s’attendre à ce qu’il s’agisse de nouvelles caméras et que le dispositif mis en place était, par suite, susceptible de les tromper.

36. En troisième lieu, la formation restreinte ne peut souscrire à l’argument de la société selon lequel les caméras " test " n’avaient pas pour objectif de surveiller les salariés. En effet, elle constate au contraire que, dans la mesure où l’objectif des caméras " test " était de s’assurer que les angles de vue des futures caméras permettent de détecter les vols, cela implique nécessairement que les caméras " test " ont été positionnées de manière à tenter de capter de façon suffisamment claire les faits et gestes des salariés travaillant dans les réserves.

37. En tout état de cause, la formation restreinte considère que quand bien même les caméras " test " n’auraient pas eu pour objectif premier de surveiller les salariés mais d’identifier les angles de vue pertinents pour installer de futures caméras à des fins de prévention des atteintes aux biens et personnes, cela est sans incidence sur le fait que le dispositif a effectivement conduit à ce que soient captées des images et des conversations de salariés, à leur insu.

38. La formation restreinte considère que ces faits constituent un manquement aux articles 5-1-a et 5-2 combinés du RGPD.

B. Sur le manquement à l’obligation de collecter des données adéquates, pertinentes et non excessives (article 5-1-c) du RGPD

39. En droit, l’article 5, paragraphe 1, point c) du RGPD prévoit que les données à caractère personnel doivent être " adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ".

40. Le responsable d’un traitement doit ainsi respecter le principe de minimisation en s’abstenant de collecter, conserver, ou plus généralement de traiter des données qui sont sans utilité pour atteindre les finalités poursuivies.

41. La Commission considère que pour être proportionné, un dispositif de vidéosurveillance ne doit pas, en principe, capter le son. La formation restreinte a ainsi rappelé récemment que " La captation du son n’est admissible que dans des circonstances exceptionnelles dont l’employeur doit pouvoir justifier, et doit alors généralement ne pas être mise en œuvre en continu mais seulement lorsqu’un événement particulier se produit " (CNIL, FR, 19 décembre 2024, Sanction n° SAN-2024-021, publiée, § 37).

42. La rapporteure relève que les caméras " test " étaient dotées de micros qui ont permis la captation de conservations entre les salariés relevant de la sphère personnelle. Elle considère que la société n'a pas fait état d’une situation particulière justifiant le recours à la captation du son dans les réserves de son magasin. Elle observe que l’emballage des caméras ainsi que leur notice d’utilisation faisaient explicitement état de la fonctionnalité de captation du son, ce que la société ne pouvait donc ignorer.

43. En défense, la société explique qu’elle n’avait pas connaissance de la captation du son par les caméras " test ". Elle précise que la décision d’installer ces caméras a été prise durant la période estivale où son prestataire habituel, en charge du dispositif de vidéosurveillance " classique ", n’était pas disponible dans les délais requis. Elle a donc fait appel à un autre prestataire, à qui elle a laissé le soin de choisir le modèle de caméra, sans le valider.

44. En l’espèce, la formation restreinte relève d’abord qu’il ressort des enregistrements transmis à la délégation de contrôle que ceux-ci comportaient à la fois des images et du son, sans que la société n’apporte de justification particulière.

45. Au contraire, au regard de la finalité annoncée par la société - qui indique que les caméras " test " ont été installées afin d’identifier les angles de prises de vues les plus adéquats pour de nouvelles caméras - la formation restreinte considère que la collecte du son n’était pas nécessaire à cette fin, cet objectif pouvant être atteint par le seul recours à l’enregistrement d’images.

46. La formation restreinte observe ensuite que la captation du son est susceptible d’engendrer la collecte de données relatives à la vie privée des salariés, contenues dans leurs conversations, ce qui a été le cas à l’espèce puisque l’un des enregistrements contient une conversation au cours de laquelle un salarié évoque son départ de la société.

47. La formation restreinte prend note des explications de la société relatives aux contraintes autour de l’installation des caméras " test " durant la période estivale. Elle considère néanmoins que les circonstances évoquées ne sauraient exonérer la société de ses responsabilités et qu’en application des principes de responsabilité énoncés aux articles 5-2 et 24 du RGPD, elle était justement tenue de s’assurer que le modèle de caméras mis en place n’aurait pas pour conséquence de procéder à un traitement de données à caractère personnel incompatible avec les textes applicables.

48. Elle note d’ailleurs sur ce point qu’il ressort des pièces du dossier que tant l’emballage des caméras que la notice d’utilisation mentionnent la présence d’un micro et la fonctionnalité d’écoute du modèle choisi par la prestataire. Or, quand bien même la société n’aurait pas choisi volontairement un modèle permettant la captation du son, elle disposait, avant l’installation, de tous les éléments lui permettant de savoir que le modèle comportait une fonctionnalité d’écoute.

49. La formation restreinte considère que ces faits constituent un manquement à l’article 5-1-c du RGPD. Les données issues du système de vidéosurveillance n’apparaissent ni adéquates, ni pertinentes, ni limitées à ce qui est nécessaire au regard de la finalité annoncée par la société (tests en vue de la prévention des vols) et l’enregistrement sonore des salariés apparaît dès lors excessif.

C. Sur le manquement à l’obligation de respecter la durée de conservation définie (article 5.1.e) du RGPD)

50. En droit, l’article 5, paragraphe 1, point e) du RGPD dispose que " les données à caractère personnel doivent être […] conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ".

51. En vertu des dispositions précitées, il incombe au responsable de traitement de définir une durée de conservation en fonction de la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l’objet d’un archivage intermédiaire lorsque leur conservation est nécessaire, notamment, pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses. Au-delà des durées de conservation des données versées en archives intermédiaires, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées. L’obligation de supprimer les données à l’expiration d’une certaine durée constitue l’une des garanties fondamentales du régime de protection des données personnelles.

52. L’effectivité de la mise en œuvre d’une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers.

53. La rapporteure souligne que si la société a défini une durée de conservation des images issues du dispositif de vidéosurveillance de 17 jours, le contrôle sur place effectué le 29 novembre 2023 a révélé la présence sur le poste de travail dédié à la vidéosurveillance d’extraits vidéo datant du 3 janvier 2022. Elle précise que la société n’a pas indiqué de finalité justifiant la conservation de ces images au-delà de la durée de 17 jours qu’elle avait définie.

54. En défense, la société explique que les extraits en question ne contenaient a priori pas de données à caractère personnel dans la mesure où il s’agissait de captations réalisées pour des raisons de maintenance des caméras, lorsque le magasin est fermé. Elle explique que les extraits en question ont été supprimés à la suite du contrôle.

55. La formation restreinte prend acte des explications fournies par la société. Elle considère que les pièces versées au dossier ne permettent pas d’établir la présence de données à caractère personnel dans les extraits en question.

56. Elle considère en conséquence que les éléments du dossier ne permettent pas de caractériser l’existence d’un manquement à l’article 5-1-e du RGPD.

D. Sur le manquement à l’obligation de communication à la CNIL d’une violation de données à caractère personnel (article 33 du RGPD)

57. En droit, l’article 33.1 du RGPD dispose qu’en cas de violation de données à caractère personnel, " le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ".

58. Le paragraphe 5 du même article prévoit quant à lui que " le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article ".

59. Une violation de données à caractère personnel est définie à l’article 4.12 du RGPD de la façon suivante : " une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ".

60. En outre, les lignes directrices 9/2022 du comité européen de la protection des données (ci-après, " CEDP ") sur la notification de violations de données à caractère personnel en vertu du RGPD du 28 mars 2023 précisent au point 14 que " Pour ce qui est de la " perte " de données à caractère personnel, cela signifie que les données pourraient toujours exister, mais que le responsable du traitement a perdu tout contrôle ou tout accès à ces données, ou encore qu’il ne les a plus en sa possession. […] Il peut, par exemple, y avoir perte de données à caractère personnel lorsqu’un appareil contenant une copie de la base de données client d’un responsable du traitement est perdu ou volé ".

61. La rapporteure rappelle qu’à l’occasion du démontage des caméras " test " par les salariés entre les 13 et 14 septembre 2023, ces derniers ont conservé deux cartes SD contenant les enregistrements réalisés par le dispositif, ce qui caractérise une violation de données à caractère personnel. Elle relève qu’au jour du contrôle effectué le 29 novembre 2023, ces faits n’avaient fait l’objet d’aucune notification à la CNIL, ni d’inscription par la société au sein du registre des violations de données.

62. En défense, la société explique que ce n’est qu’à l’occasion des échanges intervenus avec la délégation de contrôle de la CNIL qu’elle a été en mesure d’apprécier que le fait que deux cartes SD aient été subtilisées par des salariés constituait une violation de données à caractère personnel. Elle explique avoir procédé à la notification auprès de la CNIL le 2 décembre 2023, soit dans le délai de 72 heures après avoir qualifié l’incident.

63. En l’espèce, la formation restreinte relève tout d’abord que la qualification de violation de données à caractère personnel des faits en cause ne présentait pas la moindre ambiguïté. En effet, la perte de contrôle par le responsable de traitement d’un matériel contenant des données à caractère personnel est explicitement citée comme exemple d’événement devant être qualifié de violation de données à caractère personnel par l’article 4-12 du RGPD et est utilisée comme illustration dans les lignes directrices du CEPD précitées ou encore dans les communications publiques de la CNIL en lien avec la sécurité des données, par exemple au sein de la page " Perte ou vol de matériel informatique nomade : les bons réflexes à avoir ! " publiée sur le site web de la CNIL le 14 septembre 2022.

64. La formation retreinte considère par ailleurs que compte tenu de la présence sur les cartes SD d’enregistrements vidéo et sonores concernant des salariés, la violation en question était susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, rendant ainsi obligatoire sa notification à l’autorité de contrôle.

65. Elle relève ensuite qu’il ressort des pièces du dossier que la société a eu connaissance du fait que les cartes SD des caméras " test " avaient été retirées entre le 13 et le 14 septembre 2023, quelques jours après le vol, soit avant le contrôle de la délégation de la CNIL du 29 novembre 2023. Cela n’est d’ailleurs pas contesté par la société en défense.

66. Compte tenu de ces éléments, la formation restreinte considère que la société n’apporte aucun élément de nature à justifier le retard pris dans la notification de la violation de données à la CNIL ni dans son inscription au sein d’un registre.

67. La formation restreinte considère que l’absence de notification de violation de données à la CNIL et de documentation au sein du registre des violation de données de la société constituent un manquement à l’article 33, paragraphe 1 et paragraphe 5, du RGPD.

E. Sur le manquement à l’obligation d’associer le délégué à la protection des données aux questions relatives à la protection des données à caractère personnel (article 38.1 du RGPD)

68. En droit, aux termes de l’article 38, paragraphe 1, du RGPD, " le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ".

69. L’article 39, paragraphe 1, du RGPD prévoit parmi les missions du délégué à la protection des données celles d’" informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent […] " et de " contrôler le respect du présent règlement ".

70. Dans ses lignes directrices du 13 décembre 2016 révisées le 5 avril 2017, concernant les délégués à la protection des données, le groupe de travail de l’article 29 (dit " G29 ", devenu le " CEPD ") souligne qu’" il est essentiel que le DPD, ou son équipe, soit associé dès le stade le plus précoce possible à toutes les questions relatives à la protection des données […]l’information et la consultation du DPD dès le début permettront de faciliter le respect du RGPD et d’encourager une approche fondée sur la protection des données dès la conception; il devrait donc s’agir d’une procédure habituelle au sein de la gouvernance de l’organisme. "

71. La rapporteure relève que la déléguée à la protection des données a été informée de l’existence du dispositif des caméras " test " seulement le 2 octobre 2023, soit après que le dispositif a été installé puis démonté, ce qui ne lui a pas permis d’exercer ses missions de conseil auprès du responsable de traitement.

72. En défense, la société explique que la décision de déployer le dispositif de caméras " test " a été prise dans un contexte de recrudescence de vols, durant la période estivale, lorsque que la déléguée à la protection des données n’était pas disponible. Elle rappelle néanmoins qu’en temps normal, la déléguée à la protection des données est systématiquement associée aux questions de protection des données.

73. En l’espèce, la formation restreinte relève qu’il ressort des pièces du dossier, et sans que cela ne soit contesté par la société en défense, que la déléguée à la protection des données a été informée pour la toute première fois de l’existence du dispositif par courriers électroniques du 28 septembre 2023 puis par visioconférence le 2 octobre 2023, soit postérieurement à l’installation du dispositif et à son démontage.

74. Ainsi, la société n’a pas associé la déléguée à la protection des données alors qu’elle s’apprêtait à déployer un traitement de données à caractère personnel au moyen de caméras dissimulées dans des détecteurs de fumée. Pourtant, au regard des caractéristiques particulières du dispositif rappelées précédemment, la formation restreinte considère que la consultation en amont de la déléguée à la protection des données aurait donné l’opportunité à cette dernière de rappeler au responsable de traitement les conditions dans lesquelles un tel dispositif peut être déployé, comme cela fait d’ailleurs partie de ses missions au titre de l’article 39-1 du RGPD. La formation restreinte souligne d’ailleurs qu’interrogée par la délégation de contrôle, la déléguée à la protection des données a indiqué que si la société l’avait sollicitée, elle l’aurait alertée sur le fait que la mise en place d’un tel dispositif était contraire aux principes de transparence et de loyauté.

75. La formation restreinte observe ensuite que la décision de recourir à des caméras " test " a été prise en urgence, durant la période estivale, ce qui a rendu difficile la consultation en amont de la déléguée à la protection des données. Toutefois, outre le fait que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données, le caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable de traitement à consulter la déléguée avant de démarrer l’installation du dispositif. La formation restreinte note de surcroit que la société n’a informé la déléguée du déploiement du dispositif, ne serait-ce que, par exemple, en lui adressant un message dont elle aurait pu prendre connaissance ultérieurement, et que ce sont les salariés qui, bien après la fin de la période estivale, l’ont informée de l’existence du dispositif les 28 septembre et 2 octobre 2023.

76. La formation restreinte considère qu’en n’associant pas la déléguée à la protection des données à la mise en place du dispositif de vidéosurveillance " test ", la société a méconnu les dispositions de l’article 38-1 du RGPD.

III. Sur les mesures correctrices sanction et leur publicité

77. Aux termes de l’article 20 de la loi du 6 janvier 1978 susvisée : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".

78. L’article 83 du RGPD dispose que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

79. Enfin, l’article 22, alinéa 2 de la loi Informatique et Libertés dispose que " la formation restreinte peut rendre publique les mesures qu’elle prend ".

A. Sur le prononcé d’une amende administrative

80. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, le caractère délibéré ou non de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et le nombre de personnes et les catégories de données à caractère personnel concernées par la violation.

81. La rapporteure considère que les manquements aux articles 5-1-a), 5-1-c), 33 paragraphes 1 et 5 et 38-1 du RGPD justifient le prononcé d’une amende administrative.

82. En défense, la société considère que la gravité des manquements qui lui sont reprochés ne justifient pas le prononcé d’une amende et qu’un rappel à l’ordre constituerait une mesure plus appropriée. Elle rappelle que les salariés étaient déjà informés de la présence de caméras dans les réserves, que ces derniers n’ont subi aucun préjudice et qu’elle n’avait pas l’intention de visionner les images issues des caméras " test ". Elle rappelle en outre qu’elle n’avait pas connaissance de ce que les caméras " test " étaient dotées de micros.

83. En premier lieu, s’agissant des manquements aux articles 5-1-a, 5-2 et 5-1-c du RGPD, la formation restreinte considère que l’utilisation de caméras prenant l’apparence de détecteurs de fumée, permettant de surcroît l’enregistrement du son, a porté atteinte aux libertés et droits fondamentaux des salariés qui ont été filmés et enregistrés à leur insu. La formation restreinte considère, contrairement à ce que soutient la société, que les images enregistrées avaient bien vocation à être visionnées ne serait-ce que pour confirmer que les angles de prises de vue pour les futures caméras étaient adéquats. Elle rappelle en outre que les faits en cause ont fait l’objet d’une plainte adressée à la CNIL. Elle rappelle d’ailleurs que des conversations privées ont été enregistrées, dont l’une évoquant la démission d’un salarié. Elle note enfin que ce n’est qu’à la faveur du démontage des caméras par les salariés que les manquements ont cessé.

84. S’agissant des manquements à l’articles 33, paragraphes -1 et 5, du RGPD, la formation restreinte rappelle qu’une violation de données peut potentiellement avoir une série d’effets négatifs sur les personnes concernées. C’est pourquoi il est primordial que le responsable de traitement confronté à une violation de données documente cet incident, en évalue les risques pour les droits et libertés des personnes concernées et, le cas échéant, en informe l’autorité de protection des données.

85. S’agissant du manquement à l’article 38-1 du RGPD, la formation restreinte rappelle que le fait de ne pas avoir consulté la déléguée à la protection des données préalablement à la mise en œuvre du traitement lié au dispositif de caméras " test " a conduit la société à déployer un traitement de données à caractère personnel non conforme avec les dispositions applicables.

86. En deuxième lieu, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.

87. Au regard des éléments du dossier, la formation restreinte considère que la société a mis en place un dispositif susceptible de tromper les salariés. Outre le fait que les caméras - captant le son - prenaient l’apparence de détecteurs de fumée, la société n’a pas documenté l’installation du dispositif, réalisée au mois d’août, et n’a pas associé la déléguée à la protection de données à son déploiement, laquelle aurait d’ailleurs sinon, selon ses déclarations, alerté la société sur le fait que le dispositif n’était pas conforme au cadre prévu par le RGPD.

88. La formation restreinte considère que les manquements résultent d’une succession de fautes, en ne vérifiant pas le modèle de caméra choisi par son prestataire, en ne documentant pas l’installation du dispositif, en n’évaluant pas les risques associés à son installation, et en ne consultant pas sa déléguée à la protection des données et considère donc que la société a fait preuve d’une négligence certaine.

89. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le prononcé d’une amende apparait justifié s’agissant des manquements aux articles 5-1-a), 5-2, 5-1-c), 33 paragraphes 1 et 5, et 38-1 du RGPD.

B. Sur le montant de l’amende administrative

90. La formation restreinte relève d’abord qu’en application de l’article 83 du RGPD, une amende administrative pouvant atteindre 20 millions d'euros ou, s'agissant d'une entreprise, 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, est susceptible d’être prononcée.

91. La formation restreinte rappelle ensuite que les amendes administratives doivent être à la fois dissuasives et proportionnées.

92. La formation restreinte observe que le chiffre d’affaires de la société pour l’année 2023 était de […] pour un résultat […].

93. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83 du RGPD, la formation considère qu’une amende administrative d’un montant de cent mille euros pour sanctionner les manquements aux articles 5-1-a), 5-2 et 5-1-c), 33 paragraphes 1 et 5 et 38-1 du RGPD apparait dissuasive et proportionnée.

C. Sur la publicité de la sanction

94. La rapporteure considère que compte tenu de la gravité des manquements en cause, la publicité de la décision de la formation restreinte est justifiée.

95. La société rappelle que, selon elle, les manquements aux articles 5-1-a, 5-2 et 5-1-c ne sont pas constitués et que les autres manquements n’ont pas porté préjudice aux personnes concernées. Elle considère donc que la publicité n’est pas justifiée.

96. La formation restreinte considère qu’une telle mesure se justifie au regard de la gravité des manquements en cause.

97. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société SAMARITAINE SAS, une amende administrative d’un montant de cent-mille (100 000) euros au regard des manquements constitués aux articles 5-1-a), 5-2, 5-1-c), 33 paragraphes 1 et 5 et 38-1 du Règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données;

- rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément les sociétés à l’issue d’une durée de deux ans à compter de sa publication.

Le Président

Philippe-Pierre CABOURDIN

Cette décision peut faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page