Vidéosurveillance des salariés : quand la CNIL décide d’une amende de 100.000 euros à l’encontre d’un employeur ayant dissimulé des caméras de vidéosurveillance sans respecter le RGPD

Publié le 3 octobre 2025

Les faits :

En août 2023, en raison de la forte augmentation des vols de marchandises dans ses réserves, une entreprise décide d’installer de nouvelles caméras de surveillance ayant l’apparence de détecteurs de fumée et permettant d’enregistrer le son.

L’employeur explique qu’il installe ces caméras « test » (donc temporaires) pour mieux comprendre comment couvrir les angles morts de la vidéosurveillance classique, son idée à terme étant de déterminer les endroits où placer des caméras pérennes visibles.

Dans les semaines qui suivent, des salariés découvrent ces caméras et les démontent.

Fin novembre 2023, la CNIL, saisie d’une plainte d’un salarié, ouvre une procédure d’instruction.

La décision :

Ayant relevé plusieurs manquements au RGPD, dans une délibération du 18 septembre 2025, la Cnil condamne l’entreprise au paiement d’une amende de 100.000 €, à laquelle s’ajoute la publicité de la délibération notamment sur son site internet.

Dans sa décision, la CNIL rappelle les conditions exceptionnelles d’autorisation de l’utilisation de caméras de surveillance non visibles – qui en l’espèce n’étaient pas remplies.

1. Un dispositif de vidéosurveillance non visible peut être autorisé s’il est temporaire et s’il n’est pas excessif

Selon le RGPD (art. 5 § 1), le traitement des données personnelles doit être :

adéquat, pertinent et limité au regard des finalités pour lesquelles les données sont traitées (principe de minimisation des données) ;
licite, loyal et transparent.

Se fondant sur la jurisprudence de la Cour européenne des droits de l’homme (CEDH, 17 oct. 2019, n° 1874/13 et n° 8567/13), la CNIL admet toutefois quelques exceptions à cette interdiction. Par exemple, dissimuler des caméras de surveillance est autorisé temporairement si l’employeur pense raisonnablement que des irrégularités sont commises par les salariés et que ces manquements atteignent une certaine ampleur.

Pour être autorisé, un dispositif de vidéosurveillance non visible doit :

être temporaire ;
ne pas être excessif : le responsable de traitement doit respecter le principe de minimisation des données et s’abstenir de collecter/conserver/traiter des données non utiles pour atteindre le but poursuivi.

2. Or, dans cette affaire, le dispositif était déloyal et son caractère temporaire n’était pas prouvé

En effet, si l’entreprise avançait que les caméras étaient bien installées de manière temporaire, elle n’avait pas mené d’analyse préalable de conformité au RGPD, ni documenté ce caractère temporaire. En outre, elle n’avait mentionné ce dispositif ni dans le registre des traitements, ni au sein de son analyse d’impact, et n’en avait pas no plus informé le DPO.

Pour la CNIL, « la mise en place de ce dispositif n’avait pas été accompagnée de garanties appropriées permettant d’assurer la préservation d’un juste équilibre entre l’objectif poursuivi par le responsable de traitement et la protection de la vie privée des salariés ».

Même si les caméras « test » n’avaient pas eu pour objectif premier de surveiller les salariés mais d’améliorer, à terme, les angles de vue du dispositif de vidéosurveillance classique, elles captaient des images et conversations de salariés, à leur insu.

3. Ce dispositif méconnaissait aussi le principe de minimisation des données

Le dispositif sanctionné était équipé de micros, ce dont l’employeur était nécessairement informé.

Ledit l’enregistrement sonore des salariés a été jugé, en l’espèce, excessif, des conversations entre salariés relevant de la sphère personnelle ayant été enregistrées.

4. Enfin, l’entreprise a commis d’autres manquements au RGPD

manquement à l’obligation de respecter la durée de conservation définie en fonction de la finalité de chaque fichier
manquement à l’obligation de communiquer à la CNIL une violation de données personnelles : en effet, lorsque le responsable de traitement constate une violation de données personnelles, il doit notifier cette violation à la CNIL au plus tard 72 heures après en avoir pris connaissance (RGPD, art 33), la seule exception à cette notification étant le fait que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques
manquement à l’obligation d’associer le DPO (art. 38 du RGPD : le responsable de traitement doit veiller à ce que le délégué à la protection des données soit associé à toutes les questions relatives à la protection des données personnelles.