Le RGPD s'applique-t-il à votre système de vidéosurveillance ?
Oui, dès lors que vos caméras filment des personnes physiques identifiables — ce qui est le cas de la quasi-totalité des systèmes de vidéosurveillance professionnels. Les images constituent des données personnelles au sens du Règlement (UE) 2016/679. Votre organisation est donc responsable de traitement et doit respecter les principes du RGPD.
Deux régimes coexistent en France : le régime général du RGPD pour les systèmes internes aux entreprises privées, et le régime spécifique de la vidéoprotection (Loi du 21 janvier 1995, modifiée) pour les systèmes en accès ouvert au public (halls d'entrée ouverts au public, espaces commerciaux, voie publique). Pour la plupart des entreprises, c'est le RGPD qui s'applique.
Les 7 obligations fondamentales
1. Définir une finalité légitime et proportionnée
Vous devez documenter pourquoi vous installez des caméras. Les finalités reconnues comme légitimes par la CNIL : sécurité des biens et des personnes, prévention des vols, protection des accès, surveillance des zones à risque. En revanche, filmer les employés pour contrôler leur productivité au poste de travail n'est pas une finalité légitime — c'est l'une des erreurs les plus fréquentes que nous constatons.
2. Délimiter les zones filmées
Les caméras ne doivent couvrir que les zones justifiées par la finalité déclarée. Les vestiaires, toilettes et salles de repos sont interdits. Les zones de travail individuel doivent faire l'objet d'une justification particulière. Les entrées, sorties, zones de stockage et accès sensibles sont les emplacements les plus faciles à justifier.
3. Respecter la durée de conservation maximale
La CNIL recommande une durée de conservation maximale de 30 jours. Au-delà, les images doivent être automatiquement écrasées. Cette règle doit être configurée techniquement dans votre VMS (Video Management System) — pas simplement documentée. Si une enquête judiciaire est ouverte, les images concernées peuvent être conservées plus longtemps sur demande des autorités.
4. Informer les personnes filmées
Obligation d'affichage à chaque entrée des zones surveillées : pictogramme caméra, identité du responsable de traitement, finalité du traitement, durée de conservation, droits des personnes et contacts pour les exercer. L'affichage doit être visible, lisible, et permanent.
5. Sécuriser l'accès aux images
L'accès aux enregistrements doit être restreint aux personnes habilitées (responsable sécurité, direction, prestataire de maintenance). Les accès doivent être tracés. Le VMS doit être protégé par des identifiants robustes — un mot de passe "admin/admin" sur un NVR accessible depuis internet, c'est une violation de données potentielle et une faute caractérisée.
6. Tenir un registre des traitements
Depuis le RGPD, la déclaration à la CNIL n'est plus obligatoire, mais vous devez tenir un registre interne documentant : la finalité du système, les catégories de données collectées, les destinataires, la durée de conservation, les mesures de sécurité. Ce document doit être tenu à jour et présentable en cas de contrôle.
7. Gérer les droits des personnes
Toute personne filmée peut exercer son droit d'accès (voir les images la concernant), son droit de rectification (si une erreur d'identification est possible) et son droit à l'effacement (sous conditions). Vous devez avoir un processus pour traiter ces demandes dans les délais légaux (1 mois maximum).
Sanctions réelles : la CNIL a prononcé en 2023 et 2024 plusieurs amendes pour des systèmes de vidéosurveillance non conformes : conservation excessive des images, accès non sécurisés, absence d'information des personnes. Les montants vont de quelques milliers d'euros pour une TPE à plusieurs millions pour les grandes organisations.
Ce que votre VMS doit permettre techniquement
Un système de vidéosurveillance conforme au RGPD doit intégrer ces fonctionnalités dès la conception — ce que le RGPD appelle le principe de privacy by design :
- Suppression automatique des images à l'expiration du délai de conservation configuré
- Gestion des droits d'accès utilisateurs avec authentification forte
- Journal d'audit des accès aux enregistrements (qui a visionné quoi, quand)
- Chiffrement des flux et des enregistrements stockés
- Possibilité d'extraire rapidement les séquences concernant une personne identifiée (pour répondre aux demandes d'exercice des droits)
FAQ RGPD Vidéosurveillance
La durée maximale recommandée par la CNIL est de 30 jours. Au-delà, les images doivent être automatiquement écrasées. Des dérogations existent pour les enquêtes judiciaires en cours, sur demande des autorités compétentes.
Depuis le RGPD (mai 2018), la déclaration préalable à la CNIL n'est plus obligatoire pour les systèmes internes aux entreprises privées. En revanche, vous devez tenir un registre des activités de traitement documentant votre système. Pour les systèmes en accès ouvert au public (relevant de la loi de 1995), une autorisation préfectorale reste requise.
Non, sauf dans des cas très spécifiques dûment justifiés (manipulation de valeurs, accès à des données sensibles). La surveillance généralisée des employés à leur poste de travail n'est pas une finalité légitime au sens du RGPD. Les caméras doivent couvrir les accès, les zones de stockage et les espaces communs — pas les bureaux individuels.