En août 2023, La Samaritaine a fait installer des caméras dissimulées sous forme de détecteurs de fumée. Ces dispositifs, censés lutter contre une recrudescence des vols, ont été découverts par les employés et retirés environ un mois après leur installation. Au-delà du caractère dissimulé, les caméras étaient équipées de microphones, enregistrant sons et images, au détriment de la vie privée des salariés.
« Le problème, c’est la manière dont cela a été fait, avec la dissimulation et la prise de son, notamment », explique Romain Mirabile. En effet, les caméras intérieures habituelles sont généralement signalées et limitent leur champ pour ne pas filmer directement les salariés sans transparence. Dans ce cas, la CNIL a constaté plusieurs manquements : absence d’analyse d’impact, non-saisine du DPO (‘Data Protection Officer’ ou Délégué à la protection des données), manque de transparence envers les salariés, et durée d’installation excessive.
Transparence et proportionnalité : des principes au cœur du RGPD
La CNIL, soutenue par la jurisprudence de la Cour européenne des droits de l’homme, rappelle que l’employeur ne peut installer des caméras dissimulées qu’en « circonstances exceptionnelles », sous réserve d’un juste équilibre entre la protection des biens et la protection de la vie privée des salariés. Le dispositif doit donc être temporaire, justifié et proportionné.
« Les analyses d’impact sont faites pour vérifier la proportionnalité […] Il faut des circonstances exceptionnelles, une absence d’alternatives moins intrusives et un caractère strictement temporaire », précise l’avocat. La captation du son est, par exemple, souvent difficile à justifier. « Cela est trop intrusif. Concrètement, dans le cas de La Samaritaine, la vidéo aurait largement suffi », tranche Romain Mirabile.
Erreurs courantes et bonnes pratiques
Selon cet avocat spécialisé, le manque de connaissance globale des principes est courant. « On constate souvent une information non conforme donnée aux salariés, des registres de traitement non tenus ou incomplets, et une absence de consultation sérieuse du DPO », souligne Maître Mirabile.
Pour garantir la conformité, plusieurs mesures sont indispensables, à commencer par l’implication d’un DPO : « Le bon réflexe, c’est de toujours s’associer en amont à son DPO ou son avocat pour s’assurer que ce que l’on fait est conforme à la réglementation ».
Informer les salariés avec une signalétique conforme et lisible est également indispensable. Ensuite, il faut réaliser une analyse d’impact rigoureuse et documentée. « Dans le cas de La Samaritaine, la CNIL n’a trouvé aucune preuve documentée quant à la durée d’installation ou la proportionnalité du dispositif. Et ce sont les salariés qui l’ont découvert, rappelle l’avocat. Si cela avait été documenté, peut-être que la CNIL aurait eu une position différente ».
Chez les réseaux d’enseignes, faut-il former les franchisés sur ces questions ? « Tout le monde est indépendant. Le franchiseur ne peut pas contrôler ce que font ses franchisés, mais une sensibilisation de ces derniers est un plus », conclut Maître Mirabile.
