Installer quelques caméras dans ses locaux paraît anodin. La réalité est tout autre : un dispositif mal encadré peut coûter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial à l’entreprise, selon les sanctions prévues par le RGPD. La CNIL multiplie les contrôles depuis plusieurs années, et la vidéosurveillance figure parmi les motifs les plus fréquents de mise en demeure. Tour d’horizon des obligations à connaître avant de poser la première caméra dans ses locaux professionnels.
Pourquoi la vidéosurveillance déclenche-t-elle le RGPD ?
Dès qu’une caméra filme des personnes identifiables, le dispositif relève du traitement de données personnelles. Le Règlement général sur la protection des données s’applique alors automatiquement, conjointement avec le Code du travail (articles L.1121-1 et L.1222-4) et le Code de la sécurité intérieure (articles L.251-1 à L.255-1). L’entreprise devient responsable de traitement, avec toutes les obligations que ce statut entraîne.
La déclaration formelle à la CNIL n’est plus exigée depuis 2018 pour les caméras filmant des lieux privés. En revanche, le principe d’accountability impose à l’entreprise de prouver sa conformité à tout moment. Concrètement, cela signifie tenir à jour un registre des activités de traitement mentionnant la finalité du dispositif, les durées de conservation, les destinataires et les mesures de sécurité mises en place.
L’enjeu n’est pas théorique : la CNIL prononce chaque année des sanctions financières pour défauts de conformité. Les amendes ne se limitent pas aux grands groupes, et les TPE-PME sont régulièrement concernées par des contrôles inopinés.
Levée de doute : comment sécuriser son entreprise sans risquer 450 € d’amende ?
Quelles règles concrètes appliquer dans ses locaux ?
Trois principes structurent toute installation : la proportionnalité, l’information et la limitation. Une caméra ne peut pas filmer en continu un poste de travail ; elle ne doit jamais surveiller les zones de pause, vestiaires ou toilettes ; et la voie publique ne peut être captée sans autorisation préfectorale préalable.
L’information des salariés est obligatoire avant toute mise en service, généralement via une note remise individuellement et, pour les entreprises concernées, la consultation du CSE. Un affichage visible doit également signaler la présence des caméras aux visiteurs, en mentionnant la finalité du dispositif, l’identité du responsable de traitement et les modalités d’exercice des droits.
Les obligations principales se résument ainsi :
- information préalable des salariés et consultation du CSE ;
- affichage visible à l’entrée des locaux filmés ;
- inscription du dispositif au registre des activités de traitement ;
- durée de conservation des images limitée à 30 jours maximum ;
- accès aux enregistrements restreint à des personnes nommément désignées.
Combien de temps peut-on garder les enregistrements ?
La CNIL recommande une durée maximale de 30 jours, considérée comme suffisante pour vérifier un incident, déposer plainte ou exploiter les images dans une procédure interne. Au-delà, les enregistrements doivent être supprimés automatiquement, sauf si une enquête judiciaire ou une procédure disciplinaire est en cours et nécessite leur préservation.
Le dimensionnement du système de stockage doit donc être pensé en amont. Un disque trop petit qui écrase les images au bout de quelques jours empêche d’exploiter une plainte déposée tardivement par un salarié ; à l’inverse, un stockage trop large qui conserve plusieurs mois expose directement à des sanctions de la CNIL.
Au-delà du paramétrage technique, la formalisation d’une procédure interne d’accès aux images est souvent négligée. Pourtant, c’est l’un des premiers points vérifiés par la CNIL lors d’un contrôle : qui a accès, dans quel cadre, avec quelle traçabilité. Désigner nommément les personnes habilitées, journaliser les consultations et chiffrer le flux entre caméras et serveur sont devenus des standards minimaux pour une entreprise sérieuse. Vidéosurveillance bien encadrée et procédure de levée de doute solide forment, ensemble, le socle d’une politique de sécurité défendable face à un contrôle administratif comme face à une compagnie d’assurance en cas de sinistre.