Allotey Lab
Décryptage ~8 min de lecture

Vidéosurveillance et RGPD : ce que la CNIL attend

Panneaux, durée de conservation, registre des traitements, droits d'accès. Le minimum légal et les pièges fréquents.

Attention

Ce contenu est à titre informatif et ne constitue pas un conseil juridique. En cas de doute sur votre conformité, consultez un DPO (Délégué à la Protection des Données) ou un conseil spécialisé. Les textes de référence sont le RGPD (UE 2016/679) et la Loi Informatique et Libertés modifiée.

Le cadre légal en résumé

La vidéosurveillance en entreprise est soumise à un double régime légal. La loi du 21 janvier 1995 (modifiée) encadre la vidéosurveillance des espaces ouverts au public (accueil, zones de parking accessibles au public). Le RGPD s'applique à toutes les caméras filmant des personnes identifiables, y compris dans les espaces strictement professionnels.

Depuis l'entrée en vigueur du RGPD en 2018, la déclaration préalable à la CNIL n'est plus obligatoire pour la vidéosurveillance en entreprise. En revanche, vous devez être en mesure de démontrer votre conformité à tout moment — c'est le principe d'accountability.

La signalétique obligatoire

Toute zone filmée doit être signalée avant d'y entrer. C'est l'obligation d'information des personnes filmées, prévue par l'article 13 du RGPD. Elle s'applique aux employés, aux visiteurs, aux clients — sans exception.

Contenu minimal d'un panneau conforme

  • L'existence d'un système de vidéosurveillance (pictogramme caméra visible)
  • L'identité et les coordonnées du responsable de traitement
  • La finalité du traitement (sécurité des biens et des personnes)
  • La durée de conservation des images
  • Le droit d'accès et les modalités pour l'exercer
  • Le droit de déposer une réclamation auprès de la CNIL

Piège fréquent

Un simple autocollant « Vidéosurveillance » sans les informations requises n'est pas conforme. La CNIL peut constater l'infraction lors d'un contrôle et exiger une mise en conformité sous astreinte.

Durée de conservation des images

Le RGPD impose une durée de conservation limitée au strict nécessaire au regard de la finalité. La CNIL recommande une durée maximale de 30 jours pour la vidéosurveillance de sécurité standard. Des durées plus longues peuvent être justifiées dans des cas spécifiques (investigation en cours, procédure judiciaire) mais doivent être documentées.

Contexte Durée recommandée
Surveillance générale des locaux 7 à 30 jours
Zone à risque (caisse, coffre, serveur) Jusqu'à 30 jours
Investigation après incident Durée de la procédure
Obligation légale spécifique (banques, etc.) Selon réglementation sectorielle

Les enregistrements doivent être automatiquement effacés à l'issue de la durée définie. Vérifiez que votre NVR ou DVR est configuré pour écraser les images les plus anciennes.

Le registre des traitements

Toute organisation de plus de 250 employés — ou traitant des données à grande échelle — doit tenir un registre des activités de traitement (article 30 RGPD). Mais la CNIL recommande à toutes les entreprises de le tenir, quelle que soit leur taille.

Ce que doit contenir la fiche vidéosurveillance de votre registre

Nom du traitement

Vidéosurveillance des locaux

Responsable de traitement

Raison sociale + DPO si nommé

Finalité

Sécurité des biens et des personnes

Catégories de personnes

Employés, visiteurs, clients

Catégories de données

Images vidéo

Destinataires

Direction, police sur réquisition

Durée de conservation

Ex : 15 jours

Mesures de sécurité

Accès restreint, chiffrement NVR

Droits des personnes filmées

Droit d'accès

Toute personne filmée peut demander à visionner les images la concernant. Vous devez être en mesure de répondre dans un délai d'un mois. Ce droit est limité aux images de la personne concernée uniquement — vous devez flouter les tiers si nécessaire.

Droit à l'effacement

Une personne peut demander la suppression de ses images si le traitement n'est pas nécessaire ou si son consentement est retiré. Des exceptions existent pour les procédures judiciaires en cours.

Droit d'opposition

Dans certains cas, une personne peut s'opposer au traitement. En pratique, pour la vidéosurveillance de sécurité, ce droit est limité car la finalité légitime prime — mais vous devez documenter votre raisonnement.

Les zones où la caméra est interdite

Certains espaces ne peuvent jamais être filmés, quelles que soient les justifications avancées :

Vestiaires et sanitaires
Bureaux syndicaux
Salles de repos et espaces de restauration
Médecine du travail
Espaces de vote lors d'élections professionnelles
Zones de délibération confidentielles

La surveillance des postes de travail individuels (écran d'ordinateur compris dans le champ de la caméra) peut constituer une surveillance illicite si elle n'est pas justifiée par une raison objective et proportionnée.

Liste de contrôle conformité

  • Panneaux d'information conformes aux exigences RGPD en place
  • Durée de conservation définie et paramétrée sur le NVR/DVR
  • Fiche vidéosurveillance dans le registre des traitements
  • Procédure de réponse aux demandes d'accès documentée
  • Accès aux images restreint (identifiants nominatifs, traces d'accès)
  • Aucune caméra dans les zones interdites
  • Contrat de sous-traitance avec l'installateur si données accessibles

Prochaine étape

Parlons de vos télécoms.

Audit gratuit, sans engagement. Réponse sous 24h ouvrées.

Obtenir un audit gratuit