RGPD et vidéosurveillance : guide pratique pour les entreprises d’Île-de-France

Votre système de caméras est-il conforme au RGPD et à la loi française ? En 2023, la CNIL a traité plus de 16 000 plaintes, signe d’une vigilance accrue sur la protection des données en entreprise. Pour vous repérer, appuyez-vous sur des sources fiables comme la CNIL et Service-Public. Consultez par exemple les règles sur les caméras en entreprise (https://www.cnil.fr/fr/camera-sur-les-lieux-de-travail) et la fiche officielle vidéoprotection (https://www.service-public.fr/professionnels-entreprises/vosdroits/F22547). Avec ces repères, vous pouvez sécuriser vos sites sans prendre de risques juridiques inutiles.

Le cadre légal en France, simplement

Quelles règles s’appliquent et à qui ? Deux blocs juridiques se cumulent : le RGPD et la loi Informatique et Libertés d’une part, et le Code de la sécurité intérieure d’autre part. Le premier encadre les données personnelles issues des images. Le second régit la vidéoprotection des espaces ouverts au public.

En pratique, définissez des finalités légitimes et précises. Tenez un registre des traitements. Limitez la durée de conservation et sécurisez les accès. Pour un lieu ouvert au public, une autorisation préfectorale peut être requise avant mise en service. Pour un espace de travail non ouvert au public, informez les salariés et consultez le CSE si nécessaire.

• Base légale usuelle : intérêt légitime à protéger personnes et biens.
• Zones interdites : vestiaires, sanitaires, espaces de pause et locaux syndicaux.
• Interdits fréquents : caméras cachées et enregistrements audio hors cas très encadrés.

Fixer des objectifs clairs et proportionnés

Pourquoi filmer et où ? La proportionnalité est la boussole. Filmez ce qui est nécessaire pour prévenir intrusions, vols, dégradations, levées de doute et constats d’incident. Évitez toute surveillance généralisée des postes de travail ou de la performance individuelle.

• Ciblez les zones à risque : accès, périmètres, réserves, quais, parkings.
• Réglez les angles et activez le masquage des zones non pertinentes.
• Adaptez les horaires : par exemple, enregistrement hors ouverture pour des bureaux.
• Privilégiez la détection de mouvement bien calibrée pour limiter les faux positifs.

Plus votre besoin est précis, plus votre dispositif est efficace et défendable. Cette approche réduit les coûts, améliore la lisibilité des images et rassure vos équipes. La conformité suit naturellement le bon sens opérationnel.

Informer clairement salariés et visiteurs

Qui doit être informé et comment ? Toute personne entrant dans une zone filmée. L’information doit être visible, immédiate et compréhensible. Elle renforce la confiance et prouve votre transparence en cas de contrôle.

• Affichage à l’entrée et près des caméras : existence du système et finalités.
• Identité du responsable, coordonnées et contact DPO le cas échéant.
• Durée de conservation et modalités d’exercice des droits.
• Lien vers une notice détaillée (intranet RH ou documentation d’accueil).

Informez en amont les salariés via note de service et onboarding. Prévoyez un paragraphe dans vos procédures d’accueil des intervenants. Une signalétique homogène, claire et multilingue si besoin fait toute la différence.

Conservation, accès et traçabilité des images

Combien de temps garder et qui peut voir ? Conservez le strict nécessaire, en général 15 à 30 jours. Prolongez uniquement en cas d’incident, de réquisition ou de procédure. Limitez les accès aux personnes habilitées et journalisez chaque consultation.

• Rôles et habilitations : direction sécurité, responsable de site, DPO, télésurveillance mandatée.
• Journalisation : qui, quand, pourquoi, quelles séquences extraites.
• Gel des images en cas d’enquête, avec suivi et durée documentés.

Et côté sécurité technique ? Cloisonnez le réseau, chiffrez flux et stockages et mettez à jour firmwares et NVR. Interdisez les comptes par défaut et l’accès distant non maîtrisé. Privilégiez VPN et authentification multifacteur pour les consoles d’administration.

Droits des personnes : réponses concrètes

Comment gérer une demande d’accès aux images ? Vous avez un mois pour répondre. Le processus doit être clair, rapide et sécurisé, avec vérification d’identité et protection des tiers filmés. L’objectif est de fournir l’essentiel, sans exposer d’autres personnes.

• Identifier la séquence : date, heure, lieu et contexte communiqués par le demandeur.
• Extraire les images utiles et flouter les tiers non concernés.
• Proposer une consultation sur place ou une copie ciblée et sécurisée.
• Motiver les refus partiels le cas échéant et informer de la possibilité de saisir la CNIL.

Le droit d’opposition peut être écarté si votre intérêt légitime prévaut et que la mesure est proportionnée. Le droit d’effacement ne s’applique pas en cas de procédure en cours. Documentez chaque étape pour démontrer votre diligence.

Déployer sereinement avec un partenaire fiable

Par où commencer et avec qui ? Réalisez un audit des risques, cartographiez les zones, définissez vos finalités et vos durées. Paramétrez les caméras au millimètre et formalisez les procédures d’accès et d’extraction. Un prestataire expérimenté vous fait gagner du temps et évite les angles morts.

• Audit in situ et plan de couverture ciblé.
• Paramétrage “privacy by design” : masquages, horaires, règles d’alerte.
• Gouvernance : registre, modèles de réponses, traçabilité et tests périodiques.
• Exploitation 24/7 : levée de doute, astreinte, maintenance et preuves exploitables.

Besoin d’un accompagnement opérationnel en Île-de-France ? Découvrez nos services et échangez avec un expert. Visitez notre page d’accueil : Accueil. Ensemble, mettons en place une protection efficace et conforme.

Ce qu’il faut retenir : définissez des objectifs clairs, restez proportionné et transparent, et sécurisez l’accès aux images. Appuyez-vous sur des procédures simples : affichage, registres, durées et journalisation. Côté technique, cloisonnez, chiffrez et mettez à jour sans faillir. En cas de doute, outillez-vous avec des modèles et faites-vous accompagner pour les points sensibles. Vous réduirez les risques juridiques, gagnerez en efficacité et renforcerez la confiance de vos équipes et de vos clients.

Prêt à auditer votre système et à corriger le tir rapidement ? Parlez-nous de votre site, de vos contraintes et de vos objectifs :

Ces articles pourraient vous intéresser

• Mettre en place une signalétique claire et conforme
• Combiner rondes humaines et caméras pour plus d’efficacité
• Check-list de maintenance pour vos NVR et caméras IP

FAQ RGPD et vidéosurveillance

Quelles sont les bases légales possibles pour un dispositif en entreprise ?

La base la plus courante est l’intérêt légitime à protéger personnes et biens. Dans certains cas particuliers, d’autres bases peuvent s’appliquer, mais l’intérêt légitime reste la référence.

Dois-je demander l’autorisation de la préfecture ?

Oui si vous filmez un lieu ouvert au public. Pour les espaces non ouverts au public, l’autorisation préfectorale n’est pas requise, mais le RGPD s’applique pleinement.

Quelle durée de conservation est admise ?

Visez court : 15 à 30 jours sont généralement suffisants. Prolongez uniquement en cas d’incident, de réquisition ou de procédure.

Puis-je filmer les salariés à leur poste ?

La surveillance continue des postes pour contrôler la performance est prohibée. Ciblez les zones à risque et excluez vestiaires, sanitaires, salles de repos et locaux syndicaux.

Faut-il informer les visiteurs et clients ?

Oui, via un affichage visible et compréhensible à l’entrée et près des caméras. Indiquez finalités, responsable, durées et droits, avec un contact pour exercer ces droits.

Comment répondre à une demande d’accès aux images ?

Vérifiez l’identité, retrouvez la séquence, floutez les tiers et fournissez une copie ciblée ou une consultation. Tenez un registre de la demande et de votre réponse.

Le son est-il autorisé avec la vidéo ?

L’enregistrement audio est en principe interdit, sauf cas très encadrés. Évitez-le pour rester proportionné et limiter les risques.

Quelles mesures techniques sont prioritaires ?

Chiffrement, cloisonnement réseau, mises à jour et MFA pour l’administration. Désactivez comptes par défaut et accès P2P non maîtrisé.

Dois-je réaliser une AIPD (DPIA) ?

Oui si la surveillance est à grande échelle d’espaces accessibles au public ou si les risques pour les personnes sont élevés. Dans le doute, réalisez une évaluation préliminaire.

Où trouver des règles officielles sur RGPD et vidéosurveillance ?

Consultez la CNIL et Service-Public pour des guides à jour. Gardez des preuves de vos lectures et décisions pour démontrer votre conformité.