Vidéosurveillance des salariés : obligations à respecter et sanctions récentes

Video surveillance in the workplace is an increasingly common security tool used by companies. It helps prevent intrusions, protect property, deter malicious behavior, and ensure employee safety.

However, as soon as employees are filmed, video surveillance falls within the scope of personal data protection. It must therefore comply with the requirements of the General Data Protection Regulation (GDPR), the French Labor Code, and the recommendations of the CNIL (French Data Protection Authority).

In recent years, several decisions have reminded organizations that non-compliant use of video surveillance can expose employers to significant financial penalties and labor court disputes.

This article provides an overview of the rules to follow and recent CNIL decisions illustrating the authority’s growing vigilance.

‍I. A strict legal framework and the need to demonstrate a legitimate purpose

1. Des objectifs clairement définis

Video surveillance can only be installed for legitimate purposes such as the security of property and individuals, preventing intrusions, thefts, or damage, or controlling access to certain sensitive areas.

However, constant monitoring of employee activities is prohibited. The CNIL considers that a system continuously filming workstations, unless there is an exceptional justification (e.g., handling of funds, high-risk environment), is disproportionate and therefore illegal.

‍

2. Une base légale fondée sur l’intérêt légitime

According to Article 6(1)(f) of the GDPR, employers can base processing on their legitimate interest, provided it does not excessively infringe on the rights and freedoms of the individuals concerned.

Before implementing any system, it is advisable to conduct a Data Protection Impact Assessment (DPIA) when the system is likely to pose a high risk, such as large-scale surveillance or continuous filming of workstations.

II. Mettre en place un dispositif conforme : obligations et bonnes pratiques

1. Informer les salariés et consulter le CSE

Providing information is a fundamental requirement of the GDPR (Article 13). Employees must be informed, either through notices or via the intranet, about the following elements:

• purpose of the processing,

• legal basis,

• retention period,

• rights of access, rectification, and complaint to the CNIL,

• contact details of the Data Protection Officer (DPO).

Avant toute installation, le Comité social et économique (CSE) doit être consulté (article L.2312-38 du Code du travail). Cette consultation permet de vérifier la proportionnalité du dispositif au regard de l’objectif poursuivi.

‍

2. Documenter le dispositif et assurer sa sécurité

Depuis la suppression des formalités préalables auprès de la CNIL, l’employeur doit documenter le traitement dans son registre RGPD. Ce registre précise :

• la finalité du dispositif,

• les zones concernées,

• les personnes habilitées à visionner les images,

• la durée de conservation,

• les mesures de sécurité techniques et organisationnelles.

L’accès aux images doit être limité aux personnes autorisées (direction, service sécurité) et protégé par des identifiants individuels ou des protocoles d’authentification sécurisés.

‍

3. Respecter la durée de conservation et la proportionnalité

Les images doivent être conservées uniquement le temps nécessaire à la finalité du dispositif. La CNIL recommande une durée maximum d’un mois, sauf circonstances exceptionnelles (procédure disciplinaire, enquête pénale, etc.).
La captation des images doit également être proportionnée : ne pas filmer les zones de pause, sanitaires, bureaux individuels ou lieux de restauration.

‍

4. Bonnes pratiques à adopter pour une conformité durable

Pour aller au-delà des obligations minimales, certaines bonnes pratiques sont vivement recommandées :

• Réaliser une AIPD avant toute installation.

• Limiter les zones filmées aux espaces réellement nécessaires.

• Informer régulièrement les salariés et mettre à jour les affichages.

• Former les personnes habilitées à la consultation des images.

• Procéder à des audits internes périodiques pour vérifier la conformité.

• Évaluer régulièrement la pertinence du dispositif : un système mis en place il y a plusieurs années peut nécessiter une mise à jour technique ou juridique.

Ces mesures permettent de démontrer la responsabilité (accountability) de l’entreprise, principe clé du RGPD.

III. Les sanctions récentes : une vigilance accrue de la CNIL

1. Des contrôles réguliers

La CNIL effectue régulièrement des contrôles sur site ou en ligne pour vérifier la conformité des systèmes de vidéosurveillance. Les plaintes émanant de salariés sont un déclencheur fréquent.

En 2024 et 2025, plusieurs entreprises, commerces, sociétés de services, collectivités, ont été sanctionnées pour des manquements récurrents : absence d’information, vidéosurveillance des postes en continu, conservation excessive des images.

‍

2. Exemples récents

• Le 23 septembre 2025, la société LA SAMARITAINE a été condamnée par la CNIL à 100.000 € pour avoir dissimulé les caméras dans les réserves du magasin¹ ;

• Le 19 décembre 2024, une société de l’immobilier a été condamnée à 40.000 € en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’écran régulières de leurs ordinateurs² ;

• Le 27 décembre 2023, AMAZON a été condamné par la CNIL à 32 M€ pour avoir mis en place un système de surveillance de l’activité et des performances des salariés excessivement intrusif et la vidéosurveillance sans information et insuffisamment sécurisée³.

Ces décisions rappellent que la proportionnalité et la transparence sont les deux piliers essentiels d’un dispositif conforme.

‍

3. Les risques encourus

Un dispositif non conforme peut entraîner :

• une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83 du RGPD) ;

• la nullité d’une preuve vidéo utilisée dans une procédure disciplinaire ;

• des dommages et intérêts pour atteinte à la vie privée (jurisprudence constante de la Cour de cassation).

Conclusion

La vidéosurveillance des salariés n’est pas interdite, mais elle doit être strictement encadrée. L’employeur doit pouvoir démontrer que son dispositif répond à une finalité légitime, qu’il est proportionné et qu’il respecte les droits fondamentaux des salariés.

Les récentes sanctions de la CNIL montrent que la tolérance est faible en cas de non-conformité. En pratique, une approche responsable associant information, documentation, proportionnalité et suivi régulier permet de concilier sécurité des biens et respect de la vie privée.

Le recours à un DPO ou à un cabinet de conseil en protection des données demeure la meilleure garantie pour prévenir les risques juridiques et maintenir un climat de confiance au sein de l’entreprise.

Sources :

Règlement (UE) 2016/679 (RGPD), art. 5, 6 et 13

Code du travail, art. L.1222-4 et L.2312-38

CNIL – Fiche pratique « Vidéosurveillance sur le lieu de travail », mise à jour 2025

‍

‍