Vidéosurveillance au travail: l’amende CNIL du 2 avril 2026
Le 02/04/2026, la CNIL a infligé 7 500 € pour manquements en vidéosurveillance. Au Luxembourg, la CNPD impose aussi proportionnalité, AIPD fréquente et information à deux niveaux.
Le 2 avril 2026, la CNIL a sanctionné une société exploitant des boutiques pour plusieurs manquements en vidéosurveillance (7 500 €). Enseignement clé pour les organisations luxembourgeoises: la CNPD exige les mêmes fondamentaux (proportionnalité, AIPD, information). Pour structurer votre démarche, voyez aussi notre approche dédiée à la conformité RGPD au Luxembourg.
L’affaire
Le 02/04/2026, la CNIL a prononcé, en procédure simplifiée, une amende administrative de 7 500 € contre une « société exploitant des boutiques toilettes ». Les manquements tenaient à l’absence de base légale/licéité en vidéoprotection, à une atteinte au principe de minimisation (cadrage disproportionné), à un défaut d’encadrement des relations avec le sous-traitant (art. 28 RGPD) et à l’absence d’analyse d’impact (AIPD, art. 35). Source officielle: Les sanctions prononcées par la CNIL (entrée « 02/04/2026 — SOCIÉTÉ EXPLOITANT DES BOUTIQUES TOILETTES »).
Pourquoi cela concerne directement un dirigeant luxembourgeois? Parce que les lignes directrices de la CNPD, révisées en 2024 et à jour en 2025, précisent des exigences très proches et, sur certains points (proportionnalité au poste de travail, information et AIPD), la pratique luxembourgeoise est exigeante. Voir Lignes directrices en matière de vidéosurveillance (CNPD).
Le raisonnement juridique
- Base légale et principes. Tout traitement de vidéosurveillance au travail doit reposer sur une base de l’article 6(1) RGPD, typiquement l’intérêt légitime (6(1)(f)), démontré par une mise en balance documentée (LIA). Les principes de l’article 5 s’appliquent: finalité déterminée (5(1)(b)), minimisation et proportionnalité (5(1)(c)), limitation de la conservation (5(1)(e)), transparence (art. 12–13). L’affaire du 02/04/2026 sanctionne précisément un défaut de licéité/minimisation. CNIL — Les sanctions prononcées.
- Spécificités luxembourgeoises. L’article L.261‑1 du Code du travail encadre les traitements « à des fins de surveillance dans le cadre des relations de travail »: information individuelle des salariés (art. 12–13 RGPD) et information collective préalable de la représentation du personnel sont obligatoires. La CNPD rappelle que « sur le lieu de travail, les salariés ont en principe le droit de ne pas être soumis à une surveillance continue et permanente » et que certaines zones (toilettes, vestiaires, zones de repos, kitchenettes, locaux de la délégation du personnel, etc.) ne doivent pas être filmées. CNPD — L.261‑1 et proportionnalité.
- AIPD (article 35 RGPD). Le recours à la vidéosurveillance déclenche fréquemment une AIPD, en particulier en cas de « surveillance systématique à grande échelle d’une zone accessible au public » (art. 35(3)(c)). La CNPD l’indique explicitement; la CNIL a d’ailleurs sanctionné, le 02/04/2026, l’absence d’AIPD. CNPD — Faut‑il effectuer une AIPD ? et CNIL — Sanctions.
- Cadre européen (EDPB). Les Lignes directrices 3/2019 de l’EDPB sur le traitement de données par dispositifs vidéo détaillent: choix de la base légale, test de nécessité/proportionnalité, zones et angles, information à deux niveaux (panneau + notice complète), conservation limitée et AIPD. EDPB, Guidelines 3/2019.
- Sous-traitance (article 28 RGPD). Tout prestataire de vidéosurveillance (installation/MCO, télésurveillance, cloud VMS) doit être encadré par un contrat conforme (finalités, instructions documentées, confidentialité, sécurité, sous‑traitants ultérieurs, assistance AIPD, audit). L’affaire du 02/04/2026 pointe un défaut d’« encadrement des relations entre le responsable de traitement et le sous‑traitant ». CNIL — Sanctions.
Ce que ça change concrètement
- Où placer les caméras. Au Luxembourg, filmer en continu des postes où des salariés travaillent en permanence (open space, bureau, atelier) est, par principe, disproportionné. Des zones à risque (accès, réserves, quais, parkings, salle serveurs) sont en revanche généralement admissibles si le champ est strictement limité. Attendez‑vous à devoir masquer/zoner les angles, installer des caches de confidentialité, et justifier chaque caméra par une finalité précise. CNPD — Proportionnalité.
- Quand faire une AIPD. Dès qu’il y a surveillance d’espaces accessibles au public à moyenne/grande échelle (sièges clients, halls, caisses), cumul de critères (surveillance systématique, personnes vulnérables, échelle), ou interconnexion avec biométrie/contrôle d’accès, vous devrez produire une AIPD préalable, documentée et signée. CNPD — AIPD vidéosurveillance; EDPB 3/2019.
- Information des salariés et du public. L’information à deux niveaux est attendue: un panneau en entrée de zone (pictogramme, responsable, finalités essentielles, base légale, droits, point de contact) renvoyant vers une notice complète (site/panneau secondaire) détaillant durées, destinataires, transferts, DPO, voies de recours. L’absence ou l’insuffisance d’information compte parmi les manquements récurrents sanctionnés. CNPD — Actualisation 2024; EDPB 3/2019.
- Registre et sous-traitants. Inscrivez chaque dispositif au registre (art. 30) et formalisez le contrat avec l’installateur/mainteneur et l’hébergeur des enregistrements (art. 28). En contrôle, l’autorité demande souvent le registre et les DPA signés. Le défaut d’encadrement contractuel a été explicitement sanctionné le 02/04/2026. CNIL — Sanctions; CNPD — Lignes directrices.
- Dialogue social obligatoire. Avant mise en service, informez la délégation du personnel (information collective préalable au sens de l’art. L.261‑1), en plus de l’information individuelle. Conservez les preuves et procès‑verbaux. CNPD — L.261‑1.
Pièges fréquents
- Filmer des zones interdites ou sensibles. Ex: caméras cadrant partiellement des toilettes, vestiaires, zones de pause ou locaux de la délégation du personnel. À proscrire; documentez des caches/masques et des angles limités. CNPD — Proportionnalité.
- Confondre « sécurité des biens » et « contrôle permanent ». La finalité « sécurité » ne justifie pas une surveillance continue des postes. Préférez une couverture dissuasive des accès/zones à risque, avec consultation sociale préalable. CNPD — Lignes directrices.
- Oublier l’AIPD lorsque requise. L’absence d’AIPD a été sanctionnée par la CNIL le 02/04/2026: reproduire cette lacune au Luxembourg vous expose à des mesures correctrices et à une amende. CNIL — Sanctions; CNPD — AIPD.
- Laisser le sous-traitant « gérer » sans cadre. Pas de VMS ou de télésurveillance sans DPA conforme (art. 28), clauses de sécurité, répartition des rôles, audits possibles. Manquement relevé dans la décision du 02/04/2026. CNIL — Sanctions.
- Conserver trop longtemps. Fixez des durées courtes et justifiées (p. ex., 7 à 30 jours selon le risque), avec purge automatique et journalisée. Documentez les exceptions (réquisition, enquête interne). CNPD — Lignes directrices.
Sources officielles
- CNIL — Les sanctions prononcées (entrée du 02/04/2026: « SOCIÉTÉ EXPLOITANT DES BOUTIQUES TOILETTES »)
- CNPD — Lignes directrices en matière de vidéosurveillance (mise à jour 05/06/2025)
- CNPD — Article L.261‑1 du Code du travail
- CNPD — Proportionnalité/minimisation
- CNPD — AIPD vidéosurveillance
- CNPD — Actualisation 2024 (informations)
- EDPB — Guidelines 3/2019
Pour piloter ces exigences (AIPD, information, registres, contrats sous‑traitants), un mandat DPO certifié peut vous accompagner de la conception au contrôle. Parlons‑en via notre formulaire de contact.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →