La conformité RGPD vidéosurveillance entreprise est devenue un enjeu majeur pour les professionnels qui installent des caméras dans leurs locaux. Entre obligations d’information, durée de conservation des images et droits des salariés, les règles sont strictes et les sanctions lourdes. Ce guide détaille toutes les étapes pour mettre votre système de vidéosurveillance en conformité avec le règlement européen.
RGPD vidéosurveillance entreprise : quelles obligations légales ?
Deux textes encadrent la vidéosurveillance au travail en France. Le règlement général sur la protection des données (RGPD), applicable depuis mai 2018, impose des principes de proportionnalité, de minimisation et de transparence pour tout traitement de données personnelles, y compris les images vidéo. Le code du travail (articles L.1121-1 et L.1222-4) ajoute des contraintes spécifiques à la surveillance des salariés. La réglementation RGPD vidéosurveillance entreprise impose un cadre strict pour protéger la vie privée des salariés.
L’article 6 du RGPD exige une base juridique valide pour tout traitement. Pour la vidéosurveillance en entreprise, la base retenue est généralement l’intérêt légitime de l’employeur (sécurité des biens et des personnes). Cet intérêt doit être documenté et mis en balance avec les droits des personnes filmées, notamment les salariés.
Pour les espaces ouverts au public (accueil, magasin, hall d’entrée), le code de la sécurité intérieure (articles L.251-1 et suivants) impose une autorisation préfectorale préalable. Cette autorisation est indépendante du RGPD et cumulative : un commerce doit respecter les deux réglementations simultanément.
Obligations avant l’installation des caméras
Avant de poser la première caméra, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD). Cette analyse, prévue par l’article 35 du RGPD, évalue les risques que le système de vidéosurveillance fait peser sur la vie privée des personnes filmées et identifie les mesures pour les réduire.
L’information des salariés est obligatoire et doit être individuelle. Chaque salarié doit recevoir une notice écrite précisant la finalité de la vidéosurveillance, les zones filmées, la durée de conservation des images, les destinataires des données et les droits dont il dispose (accès, rectification, effacement, opposition). Le document doit être remis avant la mise en service et conservé dans le dossier du personnel.
La consultation des représentants du personnel (CSE) est obligatoire dans les entreprises de 50 salariés et plus. Le CSE doit être informé et consulté avant toute décision d’installer un système de vidéosurveillance. Son avis est consultatif mais la procédure doit être respectée sous peine de nullité de la mesure de surveillance.
Besoin d’un audit de conformité RGPD pour votre vidéosurveillance ?
Connexit vérifie la conformité de votre installation et vous accompagne dans les démarches obligatoires.
| Demander un devis gratuit | 04 78 38 31 25 |
Règles de positionnement des caméras selon la CNIL
La CNIL a publié des lignes directrices précises sur le positionnement des caméras en entreprise. Le principe fondamental est la proportionnalité : les caméras ne doivent filmer que ce qui est strictement nécessaire à la finalité déclarée (sécurité, prévention du vol, protection des employés).
Les zones autorisées incluent les entrées et sorties du bâtiment, les couloirs de circulation, les zones de stockage de marchandises, les parkings et les espaces de manipulation d’espèces (caisses). Les caméras peuvent aussi filmer les zones à risque spécifique (réserves, serveurs informatiques, locaux techniques sensibles). Tout manquement aux règles RGPD vidéosurveillance entreprise expose le dirigeant à des amendes pouvant atteindre 4 % du chiffre d’affaires.
Les zones formellement interdites sont les sanitaires, les vestiaires, les salles de pause, les locaux syndicaux et les espaces réservés aux représentants du personnel. Les postes de travail ne doivent pas faire l’objet d’une surveillance permanente et individualisée. Une caméra orientée en permanence sur un bureau ou un poste de caisse est considérée comme disproportionnée par la CNIL.
Durée de conservation des images : la règle des 30 jours
La CNIL fixe la durée maximale de conservation des images de vidéosurveillance à 30 jours. Au-delà, les images doivent être automatiquement supprimées, sauf exception justifiée (procédure disciplinaire en cours, enquête pénale, sinistre déclaré à l’assurance).
En pratique, la CNIL recommande de fixer une durée de conservation aussi courte que possible au regard de la finalité. Pour la simple sécurité des locaux, une conservation de 7 à 15 jours est souvent suffisante. Pour la prévention du vol en commerce, 15 à 30 jours permettent de détecter les vols découverts tardivement lors d’un inventaire.
Le paramétrage de la suppression automatique doit être vérifié régulièrement. Les enregistreurs (NVR) professionnels gèrent cette fonction nativement, mais un dysfonctionnement du disque ou un mauvais paramétrage peut entraîner une conservation au-delà de la durée déclarée, ce qui constitue une infraction au RGPD.
Mettez votre système de vidéosurveillance en conformité avec la CNIL
Paramétrage des durées de conservation, gestion des accès, affichage réglementaire : nous prenons tout en charge.
| Demander un devis gratuit | 04 78 38 31 25 |
Gestion des accès et sécurité des données
L’accès aux images de vidéosurveillance doit être strictement encadré. Seules les personnes habilitées peuvent consulter les enregistrements : le responsable sécurité, le dirigeant, et le cas échéant le prestataire de télésurveillance dans le cadre de son contrat. Chaque personne habilitée doit disposer d’un identifiant personnel (pas de compte partagé).
Un registre des consultations est fortement recommandé par la CNIL. Il trace chaque accès aux images avec la date, l’heure, l’identité du consultant et le motif de la consultation. Ce registre constitue une preuve de conformité en cas de contrôle et protège l’entreprise contre les accusations de surveillance abusive.
La sécurité technique des données vidéo est également une obligation RGPD. Les enregistreurs doivent être placés dans un local sécurisé (accès restreint, verrouillage). Le chiffrement des données stockées et des flux de consultation à distance est recommandé. Les mots de passe par défaut des équipements doivent impérativement être changés dès l’installation. Un audit RGPD vidéosurveillance entreprise régulier permet de vérifier la conformité de l’ensemble du dispositif.
Droits des salariés face à la vidéosurveillance
Les salariés disposent de droits spécifiques prévus par le RGPD. Le droit d’accès (article 15) leur permet de demander à visionner les images les concernant. L’employeur dispose d’un mois pour répondre. La consultation doit être organisée de manière à ne pas porter atteinte aux droits des autres personnes visibles sur les images (floutage des tiers).
Le droit d’opposition (article 21) permet au salarié de contester la vidéosurveillance s’il estime qu’elle est disproportionnée. L’employeur doit alors démontrer que ses intérêts légitimes prévalent sur les droits du salarié. En cas de désaccord, le salarié peut saisir la CNIL qui instruira une médiation ou un contrôle.
Les images de vidéosurveillance peuvent être utilisées comme preuve dans une procédure disciplinaire, à condition que le système ait été installé dans le respect de la réglementation. Si les obligations d’information ou de consultation n’ont pas été respectées, les images sont considérées comme une preuve illicite et seront écartées par le conseil de prud’hommes.
Installez un système conforme dès le départ avec Connexit
Étude de conformité, installation aux normes, documentation RGPD et formation de vos équipes incluses.
| Demander un devis gratuit | 04 78 38 31 25 |
Sanctions en cas de non-conformité
Les sanctions pour non-respect du RGPD en matière de vidéosurveillance sont sévères et de plus en plus fréquentes. La CNIL a prononcé plusieurs sanctions publiques ces dernières années contre des entreprises qui filmaient leurs salariés de manière disproportionnée ou sans les avoir informés. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Au-delà de la CNIL, l’inspection du travail peut aussi sanctionner une vidéosurveillance non conforme au code du travail. Le délit d’atteinte à la vie privée (article 226-1 du code pénal) est passible d’un an d’emprisonnement et de 45 000 euros d’amende. Les salariés peuvent également saisir le conseil de prud’hommes pour obtenir des dommages et intérêts.
En pratique, les contrôles de la CNIL sont souvent déclenchés par une plainte de salarié ou d’un ancien salarié. La conformité dès l’installation est donc la stratégie la plus prudente. Un audit de conformité par un professionnel coûte quelques centaines d’euros, ce qui est négligeable face aux sanctions encourues.
Checklist pratique de conformité RGPD pour la vidéosurveillance
Voici les étapes concrètes à suivre pour garantir la conformité de votre installation. Cette checklist reprend les exigences de la CNIL et du code du travail : La mise en place d’un registre de traitement est une étape clé de la conformité RGPD vidéosurveillance entreprise.
- Réaliser une analyse d’impact (AIPD) documentée
- Consulter le CSE (entreprises de 50+ salariés)
- Informer individuellement chaque salarié par écrit
- Obtenir l’autorisation préfectorale pour les zones ouvertes au public
- Vérifier que les caméras ne filment pas les zones interdites
- Paramétrer la durée de conservation (30 jours maximum)
- Mettre en place la gestion des habilitations d’accès
- Installer l’affichage réglementaire à l’entrée des zones filmées
- Sécuriser physiquement et informatiquement l’enregistreur
- Inscrire le traitement dans le registre des activités de traitement
- Désigner un référent interne ou un DPO si nécessaire
- Documenter la procédure de réponse aux demandes d’accès
Cette checklist doit être revue annuellement et à chaque modification du système (ajout de caméra, changement de prestataire, déménagement). La documentation de conformité doit être accessible à tout moment en cas de contrôle de la CNIL ou de l’inspection du travail.
Pour les entreprises qui utilisent la vidéosurveillance intelligente avec analyse IA, des obligations supplémentaires s’appliquent. L’analyse comportementale, la reconnaissance faciale ou le comptage de personnes constituent des traitements distincts qui nécessitent chacun leur propre base juridique et leur propre analyse d’impact.
Questions fréquentes sur la RGPD et la vidéosurveillance en entreprise
Un employeur peut-il installer des caméras sans prévenir ses salariés ?
Non, c’est strictement interdit. L’information individuelle des salariés est obligatoire avant la mise en service du système. Les images captées par un système non déclaré ne sont pas recevables comme preuve et l’employeur s’expose à des sanctions pénales (article 226-1 du code pénal) et administratives (amende CNIL).
Les caméras factices sont-elles soumises au RGPD ?
Non, les caméras factices (qui ne captent aucune image) ne constituent pas un traitement de données personnelles et ne sont donc pas soumises au RGPD. En revanche, si des salariés pensent être filmés, l’employeur doit quand même respecter les obligations d’information du code du travail pour éviter un climat de surveillance injustifié.
Un salarié peut-il demander la suppression des images le concernant ?
Le droit à l’effacement (article 17 du RGPD) s’applique avec des limites. L’employeur peut refuser la suppression si les images sont nécessaires à la constatation, l’exercice ou la défense de droits en justice, ou si elles répondent à une obligation légale. En dehors de ces cas, la suppression doit intervenir à l’expiration de la durée de conservation déclarée.
Quelle est la différence entre vidéosurveillance et vidéoprotection ?
La vidéoprotection désigne les dispositifs installés sur la voie publique ou dans les lieux ouverts au public, encadrés par le code de la sécurité intérieure. La vidéosurveillance désigne les dispositifs installés dans les lieux privés non ouverts au public, encadrés principalement par le RGPD. En entreprise, les deux régimes peuvent coexister selon les zones filmées.
Faut-il désigner un délégué à la protection des données (DPO) pour la vidéosurveillance ?
La désignation d’un DPO est obligatoire pour les organismes publics et pour les entreprises dont l’activité de base implique un suivi régulier et systématique des personnes à grande échelle. Pour une entreprise classique avec quelques caméras, le DPO n’est pas obligatoire mais un référent interne chargé de la conformité RGPD est fortement recommandé par la CNIL.
