Passer au contenu
Medianonymizer
Tous les articles
compliance

RGPD et vidéosurveillance : obligations de conformité expliquées

RGPD et vidéosurveillance : bases légales, affichage, durée de conservation, AIPD, droits des personnes et anonymisation des enregistrements CCTV.

Medianonymizer Team11 min de lecture

Exploiter une caméra dans un espace public ou semi-public est l'une des formes les plus courantes de collecte de données à caractère personnel par les organisations — et l'une des plus souvent mal gérées au regard du RGPD. Les images de personnes identifiables constituent des données personnelles dès leur captation, et tous les principes du Règlement leur sont applicables.

Ce guide cartographie les obligations spécifiques du RGPD en matière de vidéosurveillance : le cadre juridique, les exigences d'affichage et de transparence, les durées de conservation, les cas où une AIPD est obligatoire, la gestion des demandes d'accès et les situations où l'anonymisation est l'outil adapté pour réduire durablement le risque de conformité.

Avertissement juridique : Ce contenu est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La réglementation et les lignes directrices des autorités de contrôle varient selon les juridictions et évoluent dans le temps. Consultez toujours un professionnel du droit ou de la protection des données qualifié pour obtenir un avis adapté à votre situation.

En résumé

  • Les enregistrements de vidéosurveillance sont des données personnelles : la captation de personnes identifiables déclenche l'intégralité du dispositif RGPD — les articles 5, 6, 13/14 et 35 s'appliquent tous.
  • Il vous faut une base légale avant d'allumer la caméra : l'intérêt légitime (article 6(1)(f)) est la voie la plus commune, mais elle exige un test de mise en balance documenté.
  • La durée de conservation doit être définie et automatiquement appliquée : la plupart des autorités de contrôle considèrent 30 jours comme une durée raisonnable par défaut ; les images d'incidents peuvent être conservées plus longtemps avec documentation appropriée.
  • Anonymiser avant de partager est le moyen le plus sûr d'éliminer le risque RGPD en aval — anonymisez automatiquement vos enregistrements CCTV ou testez avec un fichier maintenant.

Pourquoi la vidéosurveillance relève entièrement du RGPD

L'article 4(1) du RGPD définit les données à caractère personnel comme toute information relative à une personne physique identifiée ou identifiable. Les images d'une caméra pouvant capter le visage, la démarche, la plaque d'immatriculation d'un véhicule ou tout autre élément identificateur d'une personne sont des données personnelles. Le considérant 51 mentionne explicitement que les données génétiques, biométriques et de santé nécessitent une protection renforcée ; les données biométriques utilisées pour identifier une personne de manière unique — y compris la géométrie faciale extraite de vidéos — constituent une catégorie particulière au sens de l'article 9, nécessitant une justification supplémentaire.

La conséquence pratique : tout système de vidéosurveillance exploité dans l'UE (ou visant des résidents de l'UE) doit respecter les six principes de l'article 5 :

PrincipeRéférence article 5Ce que cela signifie pour la vidéosurveillance
Licéité, loyauté, transparence5(1)(a)Une base légale est requise ; les personnes doivent être informées qu'elles sont filmées
Limitation des finalités5(1)(b)Des images collectées pour la sécurité ne peuvent pas être réutilisées pour la surveillance RH sans nouvelle base
Minimisation des données5(1)(c)Les angles de caméra ne doivent capter que le strict nécessaire ; éviter les zones hors périmètre
Exactitude5(1)(d)Les horodatages et métadonnées doivent être corrects ; les images corrompues doivent être supprimées
Limitation de la conservation5(1)(e)La durée de conservation doit être définie, documentée et appliquée automatiquement
Intégrité et confidentialité5(1)(f)Les images doivent être protégées contre tout accès non autorisé, vol ou altération

L'article 5(2) — le principe de responsabilité — impose de pouvoir démontrer la conformité à tous ces principes, et non simplement l'affirmer.

Établir une base légale

Une base légale au titre de l'article 6 doit être identifiée avant le début des enregistrements. Les trois plus pertinentes pour la vidéosurveillance sont :

  • Intérêt légitime (article 6(1)(f)) : la base la plus utilisée pour la vidéosurveillance dans le secteur privé. Elle impose de réaliser un test de mise en balance documentant : (i) l'intérêt légitime poursuivi (prévention des infractions, protection des actifs, etc.), (ii) si l'enregistrement est nécessaire et proportionné, et (iii) une balance entre votre intérêt et les attentes raisonnables en matière de vie privée des personnes filmées. Si celles-ci ne s'attendent pas à être filmées à cet endroit, la balance peut pencher défavorablement.

  • Obligation légale (article 6(1)(c)) : s'applique lorsqu'une réglementation sectorielle impose la surveillance — certains locaux de services financiers ou hubs de transport, par exemple. Dans ce cas, l'obligation elle-même fournit la base légale, mais les autres principes du RGPD restent pleinement applicables.

  • Mission d'autorité publique (article 6(1)(e)) : disponible pour les autorités publiques dans l'exercice de leurs missions légales, comme la surveillance du trafic ou les forces de l'ordre.

Le consentement est généralement inadapté à la surveillance de zones générales. Il doit être libre, spécifique et révocable. Les personnes qui doivent traverser une zone surveillée pour accéder à des services ou à leur lieu de travail ne consentent guère librement.

Données de catégories particulières et article 9

Si vos caméras traitent des données biométriques pour identifier des personnes de manière unique — comme des systèmes de reconnaissance faciale comparant des visages avec une base de données — vous traitez des données de catégories particulières au sens de l'article 9. Il vous faut alors à la fois une base de l'article 6 et l'une des conditions de l'article 9 (le plus souvent l'article 9(2)(g) — motif d'intérêt public important — avec une base légale en droit national). Les exigences sont nettement plus élevées et font l'objet d'un examen réglementaire dans plusieurs États membres.

Transparence : affichage et mentions d'information

Les articles 13 et 14 exigent que les personnes concernées soient informées au moment de la collecte. Pour la vidéosurveillance, cela implique un affichage clair et visible à tous les points d'accès aux zones surveillées, avant que les personnes n'y entrent. L'affichage doit mentionner au minimum :

  • L'identité du responsable de traitement et ses coordonnées
  • Les coordonnées du DPO (s'il est désigné conformément à l'article 37)
  • La finalité de la surveillance et la base légale invoquée
  • La durée de conservation (ou les critères utilisés pour la déterminer)
  • Le droit d'accès aux images le concernant (article 15) et les modalités d'exercice
  • Un renvoi à la politique de confidentialité complète (via URL ou QR code) pour une conformité en couches

Les Lignes directrices 3/2019 du Comité européen de la protection des données sur la vidéosurveillance (adoptées en 2020) fournissent des orientations détaillées sur le format et le contenu d'un affichage conforme. La CNIL a publié ses propres recommandations complémentaires.

Durées de conservation et limitation du stockage

Une durée de conservation spécifique doit être définie avant le déploiement, documentée dans le registre des activités de traitement (article 30) et appliquée par suppression automatique. Les processus manuels ne sont pas considérés comme suffisamment fiables par la plupart des autorités de contrôle.

ScénarioDurée de conservation généralement admise
Sécurité générale / dissuasion des infractionsJusqu'à 30 jours (référence habituelle des CNIL)
Incident actif faisant l'objet d'une enquêteDurée de l'enquête + délai raisonnable
Exigence réglementaire (sectorielle)Comme prescrit ; documenter la référence légale
Demande d'accès en coursJusqu'à la clôture de la demande

Des enregistrements conservés au-delà de la durée documentée sans justification constituent une violation directe de l'article 5(1)(e) et sont un constat fréquent lors des contrôles des autorités de protection des données.

Quand une AIPD est obligatoire

L'article 35 du RGPD impose une Analyse d'Impact relative à la Protection des Données avant tout traitement susceptible d'engendrer un risque élevé pour les personnes. La liste des types de traitements nécessitant généralement une AIPD, établie par le Groupe de travail Article 29 (WP248, adoptée par le CEPD), inclut :

  • La surveillance systématique à grande échelle de zones accessibles au public
  • L'utilisation de technologies innovantes (reconnaissance faciale, analyse comportementale, etc.)
  • Le traitement à grande échelle

Même si votre déploiement ne réunit pas tous ces critères, une AIPD est fortement recommandée comme preuve de responsabilité. Une AIPD bien documentée doit :

  • Décrire le traitement et ses finalités
  • Évaluer la nécessité et la proportionnalité
  • Identifier les risques pour les personnes concernées et leur gravité
  • Documenter les mesures d'atténuation (contrôles d'accès, chiffrement, application des durées de conservation, affichage)
  • Consulter le DPO (s'il est désigné)
  • Être conservée et mise à jour en cas de modification du système

Si, après avoir réalisé une AIPD, des risques résiduels élevés demeurent sans pouvoir être atténués, l'article 36 impose une consultation préalable de l'autorité de contrôle.

Répondre aux droits des personnes concernées

Les personnes dont l'image figure dans des enregistrements disposent de droits exécutoires en vertu du RGPD. Les plus courants dans le contexte de la vidéosurveillance sont :

Droit d'accès (article 15) : une personne peut demander une copie des images sur lesquelles elle apparaît. Vous disposez d'un mois pour répondre (prolongeable à trois mois pour les cas complexes). Le défi : un seul clip peut contenir d'autres personnes identifiables, dont les données ne peuvent pas être communiquées au demandeur. Avant de fournir les images, vous devez masquer ou flouter tous les tiers — faute de quoi la communication violerait les droits RGPD de toutes les autres personnes présentes.

Droit à l'effacement (article 17) : peut s'appliquer lorsque les images ne sont plus nécessaires, que le consentement est retiré ou qu'il n'existe pas de motif légitime prépondérant. Plus complexe lorsque l'intérêt légitime ou des obligations légales fondent la collecte.

Droit à la limitation du traitement (article 18) : la personne peut demander le gel du traitement le temps qu'un différend sur l'exactitude ou les motifs légitimes soit résolu.

Gérer ces demandes à grande échelle — notamment le floutage des tiers avant communication — est opérationnellement contraignant sans outils automatisés.

Anonymiser avant de partager : l'outil pratique de réduction des risques

La complication RGPD la plus fréquente en matière de vidéosurveillance n'est pas le stockage ni l'affichage — c'est la communication d'images à des tiers : assureurs, avocats, médias ou publication publique de clips. Chaque nouvelle divulgation est une opération de traitement distincte nécessitant sa propre base légale.

L'anonymisation contourne ce problème. Si vous floutez tous les visages, les plaques d'immatriculation et les autres éléments identificateurs avant de partager, les images résultantes ne constituent plus des données à caractère personnel (considérant 26 du RGPD) — et les obligations RGPD pour le destinataire disparaissent en grande partie. C'est l'approche la plus défendable lorsque :

  • Vous partagez un clip d'incident avec un assureur ou une équipe juridique
  • Vous répondez à une demande d'accès (en masquant les tiers)
  • Vous publiez des images à des fins de sensibilisation à la sécurité ou de formation
  • Vous fournissez des images à des chercheurs ou des journalistes

L'automatisation est essentielle ici, car le floutage manuel est lent, incohérent et difficile à auditer. Anonymisez vos enregistrements CCTV automatiquement grâce à une IA qui localise les visages et les plaques dans chaque image, puis les supprime de manière irréversible — en générant un rapport d'audit documentant ce qui a été supprimé et quand. Le pipeline est auditable par conception, ce qui renforce votre obligation de responsabilité au titre de l'article 5(2).

Pour comprendre pourquoi l'irréversibilité est importante — et en quoi l'anonymisation diffère de la pseudonymisation — consultez anonymisation vs. pseudonymisation.

Liste de contrôle de conformité pour les exploitants de vidéosurveillance

Utilisez-la comme référence avant ou pendant un audit CCTV :

  • Base légale identifiée et documentée dans un test de mise en balance ou équivalent
  • Entrée dans le registre des activités de traitement (article 30) créée pour le système de vidéosurveillance
  • Mentions d'information / affichage déployés à tous les accès aux zones surveillées
  • Durée de conservation définie, documentée et appliquée par suppression automatique
  • AIPD réalisée (obligatoire en cas de surveillance à grande échelle ou de zone accessible au public)
  • Contrôles d'accès au stockage des images limités aux rôles nominativement désignés
  • Procédure de traitement des demandes d'accès et d'effacement
  • Procédure de masquage des tiers avant réponse aux demandes d'accès
  • Sous-traitants (stockage cloud, éditeurs de VMS) couverts par des contrats conformes à l'article 28
  • DPO consulté (s'il est désigné)
  • Cycle de révision périodique planifié (au moins annuel ou en cas de modification du système)

Commencez à anonymiser vos enregistrements CCTV avant de les partager

La vidéosurveillance est un outil de sécurité légitime et largement utilisé. Les obligations de conformité au titre du RGPD sont réelles mais maîtrisables dès lors que vous disposez de politiques claires, de bases légales documentées, de durées de conservation automatiquement appliquées et d'outils prenant en charge la partie la plus délicate : anonymiser les images avant qu'elles ne quittent votre contrôle.

Anonymiser un fichier maintenant →

Questions fréquentes

Le RGPD s'applique-t-il aux enregistrements de vidéosurveillance ?
Oui. Les images de vidéosurveillance qui captent des personnes identifiables constituent des données à caractère personnel au sens de l'article 4(1) du RGPD. Cela signifie que tous les principes fondamentaux du Règlement — base légale, limitation des finalités, minimisation des données, durées de conservation et droits des personnes — s'appliquent à la manière dont vous exploitez, stockez et partagez ces images. Les enregistrements anonymisés à partir desquels aucune personne ne peut être identifiée sont généralement hors du champ d'application du RGPD.
Quelle est la base légale pour la vidéosurveillance au titre du RGPD ?
La plupart des organisations s'appuient sur l'intérêt légitime (article 6(1)(f)), qui impose de réaliser un test de mise en balance documentant votre intérêt à assurer la sécurité et l'impact sur la vie privée des personnes filmées. Les autorités publiques peuvent invoquer l'exercice de l'autorité publique (article 6(1)(e)). Le consentement est rarement une base viable pour la surveillance de zones générales, car il doit être libre — ce qui est difficile à garantir dans des espaces que les personnes doivent traverser.
Combien de temps les enregistrements de vidéosurveillance peuvent-ils être conservés sous le RGPD ?
Le principe de limitation de la durée de conservation (article 5(1)(e)) impose que les enregistrements ne soient pas gardés plus longtemps que nécessaire au regard de la finalité déclarée. La CNIL et la plupart des autorités de contrôle européennes considèrent 30 jours comme une durée raisonnable par défaut pour les enregistrements de sécurité générale ; des incidents particuliers peuvent justifier une conservation plus longue. Certains régulateurs sectoriels (transports, banques) peuvent prescrire des durées spécifiques. La durée de conservation doit être documentée et appliquée par suppression automatique.
Quand une AIPD est-elle obligatoire pour les systèmes de vidéosurveillance ?
Une Analyse d'Impact relative à la Protection des Données est requise en vertu de l'article 35 du RGPD lorsque le traitement est 'susceptible d'engendrer un risque élevé' pour les droits et libertés des personnes. La surveillance systématique à grande échelle de zones accessibles au public figure expressément parmi les types de traitements nécessitant généralement une AIPD. Même pour un déploiement plus modeste, la réaliser est considérée comme une bonne pratique démontrant la responsabilité au sens de l'article 5(2).
Quels droits les personnes ont-elles sur les enregistrements de vidéosurveillance les concernant ?
Les personnes peuvent exercer leur droit d'accès (article 15) pour obtenir une copie des images sur lesquelles elles apparaissent. Elles disposent également du droit à l'effacement (article 17) et du droit à la limitation du traitement (article 18) dans certaines circonstances. Répondre à ces demandes est complexe lorsqu'un clip contient plusieurs personnes : avant toute communication, vous devez flouter ou masquer les tiers afin de protéger leur vie privée.
Puis-je partager ou publier des enregistrements de vidéosurveillance sans enfreindre le RGPD ?
Partager des enregistrements identifiables — avec des assureurs, des avocats, des médias ou sur des plateformes sociales — constitue une opération de traitement distincte qui requiert sa propre base légale. Avant toute communication à un tiers autre qu'une autorité compétente agissant dans le cadre d'une obligation légale, il convient en règle générale d'anonymiser les images en floutant les visages, les plaques d'immatriculation et tout autre élément identificateur. Cela supprime l'essentiel du risque RGPD pour le destinataire.
Plus sur compliance

Articles connexes