Le 18 septembre 2025, la CNIL a sanctionné la Samaritaine pour avoir installé un système de vidéosurveillance dissimulé dans son magasin. La Samaritaine aurait pu éviter cette sanction si elle avait suffisamment impliqué son DPO.
En novembre 2023, la CNIL a été saisie d’une plainte d’un salarié de la Samaritaine dénonçant la mise en œuvre d’un système de vidéosurveillance dissimulé dans des faux détecteurs de fumée situés dans les réserves du magasin.
Après avoir procédé à un contrôle sur place et à plusieurs auditions, la CNIL a constaté que les faits dénoncés dans la plainte du salarié étaient avérés.
La CNIL a donc, logiquement, sanctionné la Samaritaine pour avoir violé plusieurs dispositions du RGPD.
1/ La sanction pour n’avoir pas respecté de nombreux principes du RGPD
La CNIL a considéré que le traitement mis en œuvre était contraire aux principes de :
- Licéité, loyauté et transparence, posés à l’article 5§1a du RGPD ;
- Responsabilité, posé à l’article 5§2 du RGPD ;
- Minimisation, posé à l’article 5§1c du RGPD ;
- Limitation de la conservation, posé à l’article 5§1e du RGPD.
2/ La sanction pour ne pas avoir suffisamment impliqué son DPO
Par ailleurs, la CNIL est venue rappeler le principe selon lequel le délégué à la protection des données doit être associé « d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».
Or, en l’espèce, la CNIL a constaté que la déléguée à la protection des données n’a été informée de l’existence du dispositif que bien après son intallation.
Pour sa défense, la Samaritaine a invoqué le fait que le dispositif a été déployé dans un contexte d’urgence (dans un contexte de recrudescence des vols) et que la déléguée à la protection des données n’était pas disponible au moment où la décision a été prise de déployer le dispositif.
Ces arguments n’ont pas emporté la conviction de la CNIL, qui a indiqué (i) « que la société ne rapporte pas l’impossibilité de différer l’installation dans l’attente de la consultation de la déléguée à la protection des données », (ii) que le « caractère particulièrement intrusif du dispositif envisagé aurait dû, à lui seul, conduire le responsable du traitement à consulter la déléguée » et (iii) qu’une fois mis en place, la société « n’a pas informé la déléguée du déploiement du dispositif, ne serait-ce que, par exemple, en lui adressant un message dont elle aurait pu prendre connaissance ultérieurement ».
Selon la CNIL « la consultation en amont de la déléguée à la protection des données aurait donné l’opportunité à cette dernière de rappeler les conditions dans lesquelles un tel dispositif peut être déployé ».
Ainsi, la CNIL rappelle, en filigrane, que la simple consultation du DPO aurait pu éviter à la Samaritaine d’être sanctionnée à hauteur de 100.000 € pour non-respect du RGPD : à bon entendeur.