CCPA vs. RGPD : Guide de conformité pour la confidentialité vidéo et image
Comparez CCPA/CPRA et RGPD pour la vidéo et l'image — champ d'application, données biométriques et comment l'anonymisation satisfait les deux cadres.
Les visages captés par une caméra de sécurité, lors d'un appel vidéo au service client ou dans un jeu de données d'entraînement constituent des données personnelles en droit américain comme en droit européen — mais les règles diffèrent sur des points essentiels qui déterminent la façon dont vous gérez, partagez et conservez ces enregistrements. Que le RGPD, la CCPA/CPRA ou les deux s'appliquent à votre organisation dépend du lieu où se trouvent vos utilisateurs et de la façon dont vous traitez leurs données.
Ce guide compare les obligations du RGPD et de la CCPA/CPRA spécifiquement pour les données vidéo et image, précise comment chaque régime définit les informations biométriques et explique comment l'anonymisation irréversible peut satisfaire les deux cadres à la fois.
Avertissement juridique : Ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Le droit de la protection des données est complexe et propre à chaque juridiction. Consultez un professionnel du droit qualifié avant de prendre toute décision en matière de conformité.
L'essentiel en bref
- Le RGPD couvre les résidents identifiables de l'UE ; la CCPA couvre les consommateurs de Californie — une entreprise américaine qui dessert des utilisateurs dans l'UE peut être soumise aux deux simultanément ; la portée territoriale suit la personne concernée, pas l'adresse de votre entreprise.
- Les deux régimes traitent les visages et les données biométriques comme des données à haute sensibilité, mais la CPRA les classe explicitement comme « informations personnelles sensibles » avec des droits d'opposition, tandis que le RGPD exige une base légale pour les traiter en tant que données de « catégorie particulière ».
- Les données vidéo et image véritablement anonymes échappent aux deux régimes — le considérant 26 du RGPD les exclut ; la CCPA exclut les données « désidentifiées » — l'anonymisation est donc le contrôle de conformité le plus puissant disponible.
- Vous pouvez anonymiser vos vidéos et images dès maintenant avec Medianonymizer — l'IA localise les visages, les plaques d'immatriculation et les textes identifiants à l'écran ; un pipeline déterministe les écrase de façon irréversible ; un journal d'audit documente ce qui a été supprimé.
Champ d'application de chaque loi
RGPD (UE)
Le Règlement général sur la protection des données (UE) 2016/679 s'applique lorsque vous traitez des données personnelles de personnes qui se trouvent dans l'UE ou l'EEE. En vertu de l'article 3, la portée territoriale est déclenchée par :
- L'établissement : votre organisation dispose d'un bureau, d'une succursale ou d'un établissement stable dans l'UE, ou
- Le ciblage : vous proposez des biens ou des services à des personnes dans l'UE, ou vous observez leur comportement (article 3, paragraphe 2).
Une entreprise dont le siège est aux États-Unis qui diffuse en ligne un webinaire enregistré en Californie incluant des participants de l'UE traite généralement des données personnelles européennes et est soumise au RGPD pour ces personnes.
CCPA / CPRA (Californie)
Le California Consumer Privacy Act (Cal. Civ. Code §1798.100 et suiv.), tel que modifié par le California Privacy Rights Act (CPRA, applicable depuis janvier 2023), s'applique aux entreprises à but lucratif exerçant leur activité en Californie et remplissant au moins l'un des critères suivants :
- Chiffre d'affaires brut annuel supérieur à 25 millions de dollars
- Achat, vente, réception ou partage des informations personnelles de 100 000 ou plus de consommateurs ou de ménages californiens par an
- Réalisation de 50 % ou plus du chiffre d'affaires annuel par la vente ou le partage des informations personnelles des consommateurs
Les deux lois protègent les « informations personnelles » de manière large, et toutes deux reconnaissent que les enregistrements vidéo identifiant une personne entrent dans leur champ d'application.
Définition des données personnelles dans la vidéo et l'image
RGPD : Données personnelles et catégories particulières
En vertu de l'article 4, paragraphe 1, du RGPD, les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou identifiable — y compris les images où un visage, une démarche ou un autre marqueur biométrique permet l'identification. Le traitement de données biométriques aux fins d'identifier de manière unique une personne est expressément interdit par l'article 9, sauf si une exception étroite s'applique (consentement explicite, intérêts vitaux, intérêt public légitime, etc.).
Les données de reconnaissance faciale — gabarits extraits d'images pour identifier des personnes — sont des données biométriques de catégorie particulière au sens de l'article 9, paragraphe 1. Même les enregistrements vidéo bruts sur lesquels des visages sont visibles constituent des données personnelles au sens de l'article 4 si des personnes sont identifiables en contexte.
CCPA/CPRA : Informations personnelles et informations personnelles sensibles
Le Code civil de Californie §1798.140(v) définit les informations personnelles de manière large, notamment les « images » et les identifiants pouvant être liés à un consommateur. En vertu de la CPRA §1798.140(ae), les informations personnelles sensibles constituent une sous-catégorie distincte comprenant :
- Les informations biométriques traitées pour identifier un consommateur (gabarits de reconnaissance faciale, empreintes vocales, analyse de la démarche)
- La géolocalisation précise
- L'origine raciale ou ethnique
- Les identifiants de compte
Pour les informations personnelles sensibles, les consommateurs ont le droit de limiter l'utilisation et la divulgation en vertu de la CPRA §1798.121 — les entreprises ne peuvent les utiliser que pour fournir le service principal demandé, sauf si le consommateur accepte des utilisations plus larges. Il s'agit d'une restriction plus forte que les droits généraux de la CCPA.
Comparatif pour les données vidéo et image
| Dimension | RGPD | CCPA / CPRA |
|---|---|---|
| Portée géographique | Traitement de données de résidents de l'UE/EEE | Entreprise opérant en Californie touchant des consommateurs californiens |
| Visages dans la vidéo | Données personnelles (art. 4) ; ID biométrique = catégorie particulière (art. 9) | Informations personnelles ; gabarits faciaux = informations sensibles |
| Base légale requise ? | Oui — l'une des six bases de l'art. 6 ; base de l'art. 9 pour les données biométriques | Pas de consentement explicite requis, mais les informations sensibles déclenchent un droit d'opposition |
| Droits des personnes concernées | Accès, rectification, effacement, portabilité, opposition (art. 15–21) | Droit de savoir, supprimer, corriger, s'opposer à la vente/au partage (§1798.100–§1798.125) |
| Effet de l'anonymisation | Données exclues du champ du Règlement (considérant 26) | Données exclues en tant que « désidentifiées » (§1798.140(m)) |
| Sanctions | Jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial (art. 83, par. 5) | Jusqu'à 7 500 $ par violation intentionnelle (§1798.155) |
| Autorité de contrôle | Autorité de protection des données nationale + CEPD | California Privacy Protection Agency (CPPA) |
| Opposition biométrique | Pas d'opposition distincte ; la base légale encadre le traitement | Les consommateurs peuvent limiter l'utilisation des informations sensibles (§1798.121) |
Où les différences se manifestent concrètement
Base légale vs. architecture d'opt-out
Le RGPD exige que vous identifiiez une base légale avant de traiter des données personnelles — intérêt légitime, nécessité contractuelle, obligation légale ou consentement, entre autres (article 6). Pour les données biométriques, l'article 9 exige une base spécifique, et dans la plupart des contextes commerciaux, cela signifie le consentement explicite, libre, spécifique et éclairé de chaque personne concernée.
La CCPA adopte une approche différente : le traitement est généralement autorisé, mais les consommateurs ont le droit de s'opposer à la vente ou au partage de leurs informations personnelles, et le droit de limiter l'utilisation des informations personnelles sensibles à la finalité commerciale principale. La charge de conformité repose sur les obligations d'information, les mécanismes d'opt-out et le traitement des demandes des consommateurs — et non sur une autorisation préalable.
Pour les données vidéo, cette distinction est significative. Sous le RGPD, l'enregistrement de visages de clients à des fins analytiques nécessite probablement un nouveau consentement ou une évaluation d'intérêt légitime solide, assortie d'une analyse d'impact relative à la protection des données (AIPD, article 35). Sous la CCPA, vous pouvez enregistrer et utiliser le contenu, mais vous devez fournir un lien « Limiter l'utilisation de mes informations personnelles sensibles » si elles constituent des informations sensibles, et honorer les demandes d'opt-out des consommateurs californiens.
Droits des personnes concernées sur les enregistrements vidéo
Les deux régimes accordent aux personnes le droit de demander la suppression de leurs données. En vertu de l'article 17 du RGPD, le droit à l'effacement s'applique lorsque les données ne sont plus nécessaires à leur finalité d'origine, que le consentement est retiré ou que la personne s'oppose au traitement sans intérêt légitime prépondérant. En vertu de la CCPA §1798.105, les consommateurs peuvent demander la suppression et l'entreprise doit notifier ses prestataires de services et sous-traitants afin qu'ils procèdent également à la suppression.
Pour les archives vidéo, cela crée un défi opérationnel : lorsqu'une personne demande la suppression d'un enregistrement dans lequel elle apparaît, pouvez-vous y donner suite ? Si l'enregistrement contient d'autres personnes, vous ne pouvez pas simplement supprimer le fichier. Anonymiser sélectivement le visage de la personne requérante — et réémettre le fichier — est souvent la voie pratique vers la conformité aux demandes d'effacement dans les deux régimes.
Exigences d'AIPD et d'évaluation des risques
L'article 35 du RGPD exige une analyse d'impact relative à la protection des données avant des traitements susceptibles d'engendrer un risque élevé pour les personnes. Le Comité européen de la protection des données (CEPD) mentionne le traitement à grande échelle de données biométriques et la surveillance systématique d'espaces accessibles au public comme des déclencheurs automatiques d'AIPD. Si vous exploitez de la vidéosurveillance, construisez un système de reconnaissance faciale ou traitez de la vidéo à grande échelle à des fins analytiques, une AIPD est généralement obligatoire.
La CCPA n'a pas d'équivalent direct, mais la CPRA §1798.185 a autorisé la CPPA à exiger des évaluations des risques pour les activités de traitement qui « présentent un risque significatif » pour la vie privée des consommateurs. La CPPA a publié des projets de Réglementations sur l'évaluation des risques en 2024 qui, une fois finalisées, imposeront des obligations d'évaluation pour certains traitements à haut risque — y compris la surveillance biométrique.
L'anonymisation comme voie de conformité commune
La façon la plus efficiente de se conformer aux deux cadres est d'appliquer l'anonymisation au moment où les enregistrements quittent votre contrôle immédiat — avant l'archivage à des fins analytiques, avant le partage avec un prestataire, avant l'utilisation dans des données d'entraînement, avant la publication.
| Scénario | Sans anonymisation | Avec anonymisation |
|---|---|---|
| Partage d'enregistrements CCTV avec un prestataire analytique tiers | Accord sur le traitement des données (RGPD art. 28) ; contrat de prestataire de services (CCPA §1798.140(ag)) ; obligations continues | Données désidentifiées exclues des deux régimes ; charge contractuelle réduite |
| Archivage d'appels vidéo clients au-delà de la durée de conservation opérationnelle | Base légale et justification de conservation requises dans les deux lois | L'archive anonymisée sort du champ de la définition des données personnelles |
| Utilisation de la vidéo pour l'entraînement de modèles d'IA | Consentement biométrique selon RGPD art. 9 ; divulgation d'informations sensibles selon CPRA | Données d'entraînement hors champ si la réidentification n'est pas raisonnablement possible |
| Réponse à une demande d'effacement dans un enregistrement impliquant plusieurs personnes | Impossible de supprimer le fichier sans affecter d'autres personnes concernées | Anonymiser sélectivement la personne requérante ; conserver le reste |
Le pipeline de Medianonymizer est conçu précisément pour ces scénarios : la détection par IA localise image par image les visages, les plaques d'immatriculation et les textes à l'écran ; la réécriture par ffmpeg remplace les zones identifiées de manière irréversible ; et un journal d'audit téléchargeable enregistre les catégories de détection, les horodatages et la somme de contrôle du fichier de sortie. Consultez le cas d'usage d'anonymisation vidéo RGPD pour un workflow détaillé.
Ce que signifie réellement « irréversible »
Un filtre visuel de flou ou de pixellisation appliqué au niveau de l'affichage n'est pas suffisant pour la conformité au RGPD ou à la CCPA si les données de pixels sous-jacentes subsistent dans le fichier encodé. Une anonymisation authentique exige que les données identifiantes soient écrasées dans le fichier de sortie, et non simplement masquées dans l'interface. Cela implique :
- Vidéo : réencodage avec la zone du visage remplie par une couleur unie ou du bruit, et non par une couche superposée
- Images : surpeinture au niveau des pixels avec suppression des métadonnées (EXIF, XMP, IPTC)
- Audio dans la vidéo : écrasement de la forme d'onde (silence ou bip) pour le segment concerné, et non une couche de silencieux
Le principe de minimisation des données du RGPD (article 5, paragraphe 1, point c) appuie directement cette approche : collecter et conserver uniquement ce qui est nécessaire. Pour les enregistrements où le visage n'est pas nécessaire à la finalité en aval, la suppression irréversible satisfait à la minimisation et fait sortir les données du champ d'application.
Liste de contrôle de mise en œuvre
- Identifier tous les actifs vidéo et image contenant des personnes identifiables (vidéosurveillance, enregistrements d'appels, téléchargements d'utilisateurs, données d'entraînement)
- Déterminer quelles personnes concernées sont des résidents de l'UE/EEE (RGPD) et lesquelles sont des consommateurs californiens (CCPA/CPRA)
- Pour le RGPD : documenter la base légale de chaque activité de traitement ; réaliser une AIPD pour les traitements biométriques ou vidéo à grande échelle
- Pour la CCPA/CPRA : ajouter des contrôles « Limiter l'utilisation de mes informations personnelles sensibles » si des données biométriques sont traitées ; mettre à jour l'avis de confidentialité
- Définir les durées de conservation des actifs vidéo et le déclencheur d'anonymisation (expiration, export, partage, usage de recherche)
- Mettre en œuvre une anonymisation irréversible pour tous les enregistrements quittant l'utilisation opérationnelle primaire — visages, plaques et textes identifiants à l'écran
- Conserver un journal d'audit pour chaque opération d'anonymisation : hash d'entrée, catégories de détection, hash de sortie, horodatage
- Établir un processus pour traiter les demandes d'effacement dans les enregistrements impliquant plusieurs personnes via l'anonymisation faciale sélective
- Conclure des accords de traitement des données (RGPD) ou des contrats de prestataire de services (CCPA) avec les fournisseurs recevant des données vidéo — ou éliminer l'obligation en ne partageant que des sorties anonymisées
Commencez à anonymiser sous les deux régimes
La voie la plus rapide pour réduire l'exposition au RGPD et à la CCPA pour les données vidéo et image consiste à supprimer les informations identifiantes avant qu'elles ne se propagent — aux prestataires, archives, systèmes analytiques et jeux de données d'entraînement. Une seule étape d'anonymisation, réalisée de manière irréversible et avec une piste d'audit, satisfait aux normes de désidentification des deux cadres et supprime les obligations en aval qui accompagnent les données personnelles.
Questions fréquentes
- Le RGPD s'applique-t-il aux enregistrements vidéo si mon entreprise est établie hors de l'UE ?
- En principe, oui, si les enregistrements contiennent des personnes résidant dans l'UE identifiables et que votre organisation est soit établie dans l'UE, soit qu'elle propose des biens ou des services à des personnes dans l'UE (RGPD article 3). La portée territoriale est déterminée par le lieu où se trouvent les personnes concernées, non par le siège social de votre organisation.
- La CCPA/CPRA traite-t-elle les visages et les données biométriques différemment des autres informations personnelles ?
- Oui. Le Code civil de Californie §1798.140 énumère les « informations biométriques » — incluant les gabarits de reconnaissance faciale et les empreintes vocales — comme une catégorie distincte d'informations personnelles. La CPRA (applicable depuis 2023) les classe en outre comme « informations personnelles sensibles », ce qui déclenche des droits d'opposition supplémentaires et des obligations de limitation des finalités au-delà des droits généraux de la CCPA.
- Flouter un visage dans une vidéo est-il suffisant pour satisfaire le RGPD ou la CCPA ?
- Un filtre de pixellisation ou de flou appliqué au niveau de l'affichage, laissant intactes les données d'image originales dans le fichier, n'est pas suffisant — il peut être annulé en extrayant le flux vidéo non modifié. Une anonymisation conforme exige la destruction irréversible des pixels identifiants — par exemple, une surimpression opaque ou une réécriture de trames par ffmpeg — de sorte qu'aucune donnée faciale d'origine ne soit récupérable depuis le fichier de sortie.
- Quelle est la différence pratique entre les « données anonymes » du RGPD et les données « désidentifiées » de la CCPA ?
- Le RGPD (considérant 26) ne considère les données comme anonymes que lorsque la réidentification n'est raisonnablement possible pour personne, compte tenu de tous les moyens auxiliaires disponibles. La CCPA exige que les données ne puissent « raisonnablement » être liées à un consommateur et que l'entreprise mette en œuvre des garanties techniques et s'engage contractuellement à ne pas réidentifier. La norme du RGPD est généralement plus élevée car elle prend en compte le risque de réidentification par des tiers à l'échelle mondiale, et pas seulement les capacités propres de l'entreprise.
- La CCPA s'applique-t-elle aux enregistrements de vidéosurveillance des salariés ?
- Depuis le 1er janvier 2023, l'exemption relative aux données des employés prévue par la CPRA a expiré, ce qui signifie que les salariés et les candidats en Californie bénéficient de l'ensemble des droits CCPA/CPRA. Cela inclut les droits sur les enregistrements vidéo captés sur le lieu de travail susceptibles de les identifier. Les entreprises doivent auditer leurs pratiques de surveillance interne au regard des règles de la CPRA sur les informations personnelles sensibles de nature biométrique.
- Un seul workflow d'anonymisation peut-il satisfaire simultanément le RGPD et la CCPA ?
- Dans la plupart des cas, oui. Si l'anonymisation satisfait la norme RGPD la plus stricte — suppression irréversible de sorte que la réidentification ne soit raisonnablement possible pour personne — elle satisfera généralement aussi l'exigence CCPA selon laquelle les données ne peuvent être « raisonnablement liées » à un consommateur. Mettre en œuvre une seule fois selon le standard le plus strict est la voie de conformité efficiente pour les organisations soumises aux deux régimes.