La surveillance au travail occupe aujourd’hui une place centrale dans le contrôle des données personnelles en entreprise. Face à la multiplication des dispositifs , vidéosurveillance, géolocalisation, enregistrement audio, webcams imposées en télétravail , la CNIL a intensifié ses actions et ses sanctions pour faire respecter le RGPD et les principes de proportionnalité.
Les récentes décisions et statistiques publiées par l’autorité montrent une volonté claire de cibler les pratiques intrusives en milieu professionnel. Les employeurs doivent désormais mesurer le risque juridique et opérationnel lié à la mise en place de systèmes de surveillance et adapter leurs pratiques en conséquence.
Une montée en puissance des sanctions
Depuis janvier 2025, la CNIL a rendu plusieurs décisions dans le cadre de la procédure simplifiée : le communiqué du 22/05/2025 fait état de « Dix nouvelles sanctions » pour un montant cumulé de 104 000 €, en précisant que « La surveillance des salariés est au cœur des sanctions prises ». Cette communication témoigne d’une attention particulière portée aux dispositifs intrusifs en entreprise.
Sur une période plus longue, la tendance se confirme : la CNIL indique avoir prononcé 28 sanctions simplifiées sur neuf mois depuis janvier 2024 pour un total de 290 500 €, et constate une hausse continue des mises en demeure (168 en 2023). Ces chiffres traduisent une intensification de la répression administrative contre les manquements au RGPD.
La multiplication des procédures simplifiées, avec un traitement accéléré des plaintes, permet à la CNIL de répondre plus rapidement aux signalements et d’adresser des sanctions dissuasives même pour des dossiers de moyenne ampleur. Le message est clair : la tolérance diminue face aux dispositifs de surveillance inaptes à protéger la vie privée des salariés.
Typologie des manquements ciblés
Dans ses décisions, la CNIL recense des manquements récurrents : défaut de minimisation des données, information insuffisante des personnes concernées, durées de conservation excessives, insuffisance des mesures de sécurité et absence de coopération avec l’autorité. Ces constats reviennent systématiquement dans les délibérations publiées.
La CNIL rappelle notamment le principe de proportionnalité : les dispositifs doivent être adaptés à la finalité poursuivie, éviter la captation continue et prévenir les atteintes excessives à la vie privée. Certains usages , caméras filmant en continu des postes de travail, géolocalisation 24h/24, enregistrements sonores , sont particulièrement exposés au risque de sanction.
Par ailleurs, l’obligation d’information et la consultation du CSE avant la mise en place d’outils de contrôle sont fréquemment rappelées : l’employeur doit documenter la finalité, limiter les zones filmées, fixer des durées de conservation et, lorsque le risque l’exige, mener une analyse d’impact (AIPD).
Cas emblématiques : La Samaritaine et Orange
Parmi les décisions marquantes, la délibération SAN-2025-008 du 18/09/2025 sanctionne l’exploitant du grand magasin La Samaritaine d’une amende de 100 000 € pour l’installation de caméras dissimulées dans des réserves, faisant parfois office de détecteurs de fumée et incluant un enregistrement sonore. La délibération détaille les violations du RGPD constatées et souligne l’illégalité de ces pratiques.
Autre dossier majeur, l’affaire Orange, engagée par une délibération du 14/11/2024, a donné lieu à une injonction et une amende très médiatisée (50 M€) concernant l’insertion de publicités non consenties et la mauvaise gestion du retrait du consentement pour les cookies. La CNIL a ensuite clôturé l’injonction le 11/09/2025 après vérification des mesures correctrices, l’astreinte prévue atteignant 100 000 €/jour en cas de non-respect.
Ces exemples montrent deux facettes du pouvoir de l’autorité : des amendes pécuniaires importantes pour des manquements systémiques et des sanctions ciblées contre des dispositifs intrusifs en entreprise. Ils servent aussi d’avertissement aux entreprises sur la nécessité d’une mise en conformité rapide et documentée.
Vidéosurveillance algorithmique : alertes juridiques et associatives
La jurisprudence récente sur la vidéosurveillance algorithmique renforce le cadre protecteur : le Tribunal administratif de Grenoble, le 30/01/2025, a enjoint la commune de Moirans de cesser l’utilisation du logiciel Briefcam, jugeant le traitement illégal au regard des finalités et des garanties insuffisantes. Cette décision met en lumière les limites de l’usage d’algorithmes sur des images de surveillance.
Les associations de défense des libertés, comme La Quadrature du Net, ont salué cette décision et alerté sur l’opacité, les risques discriminatoires et la faiblesse des garanties techniques et organisationnelles. Ces voix ont influencé le débat public et contribuent à une vigilance renforcée autour des usages d’IA en milieu professionnel.
Au-delà des aspects juridiques, la question technique est cruciale : pour être licites, les traitements algorithmiques doivent s’appuyer sur des finalités clairement encadrées, des analyses d’impact robustes et des mesures permettant d’atténuer les risques de biais et d’atteinte aux droits fondamentaux.
Outils procéduraux et capacité coercitive de la CNIL
La CNIL combine plusieurs leviers pour faire respecter la réglementation : la procédure simplifiée (amendes plafonnées à 20 000 € dans ce cadre) permet un traitement accéléré et une multiplication des réponses administratives, tandis que les injonctions assorties d’astreintes renforcent fortement la pression coercitive.
L’exemple de l’astreinte prévue dans l’affaire Orange (100 000 €/jour) illustre comment la CNIL peut obtenir des corrections rapides au-delà de la sanction pécuniaire initiale. Cette combinaison d’outils accroît l’effet dissuasif et la capacité de l’autorité à faire appliquer ses décisions.
Au niveau européen, le cadre du RGPD (article 83) prévoit des plafonds très élevés pour les violations les plus graves (jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial annuel), rappelant que les autorités de contrôle disposent d’une marge de manœuvre destinée à prévenir les pratiques systémiques de surveillance abusives.
Conséquences pratiques et recommandations pour les entreprises
Pour limiter le risque de sanction, les entreprises doivent documenter la finalité et la proportionnalité de tout dispositif de surveillance, consulter le CSE lorsqu’il existe, et informer clairement les salariés. Ces mesures de base sont souvent absentes dans les dossiers sanctionnés par la CNIL.
Il est recommandé de restreindre les zones filmées, d’abréger les durées de conservation, de sécuriser les accès aux données et d’éviter les enregistrements audio sauf justification impérieuse. Pour les traitements à risque (IA, vidéo-analytics), la réalisation d’une AIPD est indispensable et doit être formalisée.
Enfin, en cas de contrôle, une coopération transparente avec la CNIL, la mise en oeuvre rapide de mesures correctrices et la tenue de registres de traitement exhaustifs réduisent les risques de sanction et peuvent atténuer les conséquences financières et réputationnelles.
Impacts politiques et sociaux
Les décisions de la CNIL et la jurisprudence qui encadrent la surveillance au travail nourrissent les débats parlementaires et sociétaux. Depuis 2024 et 2025, plusieurs rapports et amendements ont été évoqués pour mieux encadrer la vidéosurveillance algorithmique et l’usage de l’IA en ressources humaines.
Ces évolutions législatives potentielles traduisent une préoccupation partagée : il s’agit de concilier sécurité, gestion opérationnelle et respect des droits fondamentaux des salariés. Les sanctions et décisions récentes ont pour effet de sensibiliser les pouvoirs publics et les entreprises à ces enjeux.
Au final, la pression réglementaire s’accompagne d’une attente sociale : plus de transparence, de garanties et de recours pour les personnes mises sous surveillance. Les employeurs sont invités à anticiper ces attentes en adoptant des pratiques plus respectueuses et conformes au cadre juridique.
La CNIL a clairement fait savoir qu’elle place la surveillance des salariés au centre de ses priorités de contrôle et de sanction. Pour les entreprises, cela signifie qu’il n’y a plus de place pour l’improvisation : conformité, documentation et dialogue social sont désormais des exigences opérationnelles.
Adopter les bonnes pratiques recommandées , information, proportionnalité, AIPD, sécurisation , ne protège pas seulement contre les sanctions financières, mais contribue aussi à préserver la confiance des salariés et à limiter les risques réputationnels. La vigilance et la mise en conformité restent les meilleurs remparts face à un contrôle de plus en plus strict.
