Caméras dissimulées dans les réserves de la Samaritaine pour lutter contre les vols : sanction de la Cnil

Le grand magasin la Samaritaine écope d’une amende de 100 000 € infligée par la Cnil pour avoir dissimulé des caméras dans les réserves du magasin.

Lutter contre les vols en augmentation

En août 2023, la Samaritaine avait placé de nouvelles caméras dans deux réserves afin de lutter contre l’augmentation des vols de marchandises. Ces caméras prenaient l’apparence de détecteurs de fumées et permettaient d’enregistrer le son. Les salariés ont découvert de quoi il s’agissait et les caméras ont été retirées en septembre 2023.

C’est un article de presse qui a attiré l’attention de la Cnil le 25 novembre 2023. Peu après, la Cnil a été saisie d’une plainte portant sur les mêmes éléments. Dans les jours qui ont suivi, la Cnil a effectué un contrôle qui a mené à l’amende de 100 000 € pour plusieurs manquements au RGPD.

La Cnil s’appuie sur le RGPD et la Cour européenne des droits de l’homme (CEDH) pour rappeler qu’un employeur ne peut installer des caméras dissimulées que dans des circonstances exceptionnelles. Il lui faut également conserver un juste équilibre entre l’objectif poursuivi qui est la protection des biens et des personnes et la protection de la vie privée des salariés. De telles caméras devraient être temporaires et déployées après une analyse documentée de sa compatibilité avec le RGPD et au regard des circonstances exceptionnelles.

Manque de loyauté de la Samaritaine

La Cnil sanctionne un manquement à l’obligation de traiter les données de manière loyale et un manquement au principe de responsabilité (articles 5-1-a) et 5-2 du RGPD). Les caméras de vidéosurveillance filmant les salariés doivent être visibles et non dissimulées.

La jurisprudence a toutefois admis que dans des circonstances exceptionnelles et sous certaines conditions, on peut installer temporairement des caméras non visibles par les salariés. Le responsable doit alors être en mesure de justifier son action en conformité avec le RGPD.

Dans le cas présent, la Samaritaine a bien rapporté l’existence de vols commis dans les réserves. Elle a expliqué que le dispositif était temporaire, ce que les caractéristiques techniques du dispositif apparaissent confirmer. Mais elle n’a mené aucune analyse préalable de conformité au RGPD, ni documenté le caractère temporaire de l’installation qui a été découverte par des salariés quelques semaines après son déploiement.

Restez connecté à La Revue du Digital

Recevez le meilleur de la transformation digitale dans votre boîte mail

Email

Email *

Je m'inscris à la newsletter

Absence de trace écrite de la mise en place du dispositif

La Samaritaine n’a pas fait mention de ce dispositif. Il n’apparaît ni dans son registre des traitements, ni au sein de son analyse d’impact. En outre, la société n’a pas informé la déléguée à la protection des données de son intention d’installer des caméras dissimulées dans des réserves. La Cnil estime que cette manière de procéder n’a pas été accompagnée des garanties permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi et la protection de la vie privée des salariés.

D’autre part, les caméras étaient équipées de micros et des conversations entre salariés, relevant de la sphère personnelle, ont été enregistrées. La Cnil estime que l’enregistrement sonore des salariés était excessif, ce qui constitue un manquement au principe de minimisation des données défini par le  RGPD.  Il s’agit de collecter des données adéquates, pertinentes et non excessives (article 5-1-c) du RGPD).

Enfin, la DPD (délégué à la protection des données) n’a pas été mise dans la boucle dès le départ. Ce n’est que plusieurs semaines après l’installation des caméras que la DPD a été informée de l’existence du dispositif. Or, elle aurait été en mesure d’alerter la Samaritaine sur les moyens à mettre en œuvre pour limiter les risques pour la protection des données des salariés, conformément à ce que prévoient ses missions. Il s’agit d’un manquement à l’obligation d’associer le DPD aux questions relatives à la protection des données à caractère personnel (article 38-1 du RGPD).

L’actualité de la transformation

Trois questions auxquelles les retailers doivent répondre face à l’IA agentique

Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Databricks

Spécialiste des huiles essentielles, le laboratoire Puressentiel opte pour un Cloud privé

Cloud souverain : SFR Business s’associe à Cloud Temple pour proposer une offre

+

Dossier

L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz

Dossier exclusif

Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités

Saur, spécialiste de la distribution d’eau potable,  fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…

je lis l’article

Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie

Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …

je lis l’article

Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA

GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…

je lis l’article