La Cnil (Commission nationale de l'informatique et des libertés) a infligé une amende de 100 000 euros au magasin parisien La Samaritaine. En cause, l'installation en août 2023 de caméras camouflées en détecteurs de fumée dans deux réserves pour lutter contre une recrudescence de vols.
Découvert par les salariés quelques semaines plus tard, ce dispositif a entraîné une sanction pour plusieurs manquements au Règlement général sur la protection des données (RGPD). Un défaut de loyauté, une collecte de données excessive et une absence d'association du délégué à la protection des données.
Une surveillance jugée déloyale et disproportionnée
La Cnil rappelle que des caméras dissimulées ne sont tolérables que dans des " circonstances exceptionnelles " et à condition de " ménager un juste équilibre entre l'objectif poursuivi et la protection de la vie privée des salariés ".
Si La Samaritaine a bien justifié la mesure par l'existence de vols et son caractère temporaire, elle a failli sur un point crucial. Elle n'a mené aucune analyse préalable de conformité au RGPD. La surveillance secrète a été mise en place sans documentation adéquate.
La Cnil précise que la société n'a fait mention du dispositif " ni dans son registre des traitements, ni au sein de son analyse d'impact ".
D'autres manquements au RGPD
Le dossier s'est aggravé avec la découverte que les caméras étaient équipées de micros. L'enquête de la Cnil a révélé que des " conversations entre salariés, relevant de la sphère personnelle, ont été enregistrées ".
Cet enregistrement sonore a été jugé " excessif " par la formation restreinte de la Cnil, ce qui constitue un manquement au principe de minimisation des données. Un motif légitime, comme la lutte contre le vol, n'autorise donc pas tout.
Quel a été le rôle du délégué à la protection des données ?
Autre manquement pointé par la Cnil, la mise à l'écart du délégué à la protection des données (DPO). Ce dernier n'a été informé du dispositif que " plusieurs semaines après l'installation des caméras ". Or, selon le RGPD, le DPO doit être associé à toutes les questions relatives à la protection des données personnelles.
La Cnil souligne que, consulté à temps, le DPO " aurait été en mesure d'alerter la société sur les moyens à mettre en œuvre pour en limiter les risques ", évitant ainsi potentiellement les infractions.
