La vidéosurveillance en entreprise répond à des objectifs légitimes de sûreté, de prévention des intrusions, de protection des biens et, dans certains cas, de sécurité des personnes. Mais dès lors qu’un dispositif filme des salariés, des visiteurs, des clients ou tout autre individu identifiable, il met en jeu des données à caractère personnel. Le sujet de la vidéosurveillance RGPD entreprise ne se résume donc pas à l’installation de caméras : il suppose un cadre juridique précis, fondé à la fois sur le Règlement général sur la protection des données, le Code du travail, la doctrine de la CNIL et, selon les cas, le Code de la sécurité intérieure pour les lieux ouverts au public.
Pourquoi la vidéosurveillance en entreprise relève du RGPD
Le RGPD s’applique lorsqu’un traitement porte sur des données à caractère personnel. Une image vidéo permettant d’identifier directement ou indirectement une personne entre dans cette catégorie. En entreprise, c’est généralement le cas dès qu’une caméra capte des salariés à leur poste, des visiteurs à l’accueil, des prestataires intervenant sur site ou des clients dans une zone de vente.
La mise en place d’un système de vidéosurveillance constitue donc un traitement de données. L’entreprise, en tant que responsable de traitement, doit être en mesure de démontrer la licéité, la nécessité et la proportionnalité du dispositif. Le simple fait de vouloir “mieux surveiller” ne suffit pas : il faut définir une finalité claire, précise et légitime, comme la sécurisation des accès, la prévention des actes de malveillance ou la constatation d’incidents.
Il convient aussi de distinguer plusieurs cadres. Le RGPD et la loi Informatique et Libertés encadrent les traitements de données personnelles. En parallèle, lorsqu’un système filme la voie publique ou un lieu ouvert au public, une autorisation préfectorale peut être requise au titre du Code de la sécurité intérieure. Ces deux niveaux ne se remplacent pas : ils peuvent se cumuler selon la configuration des lieux.
- Le RGPD s’applique si des personnes sont identifiables sur les images.
- L’entreprise doit définir une finalité déterminée avant l’installation.
- Le dispositif doit être nécessaire et proportionné au risque à prévenir.
- Le cadre du Code de la sécurité intérieure peut s’ajouter pour certains espaces ouverts au public.
Quelles conditions rendent le dispositif licite et proportionné
En matière de vidéosurveillance RGPD entreprise, le principe central est la proportionnalité. Une caméra doit répondre à un besoin réel de sécurité et être orientée de manière à limiter la captation aux seules zones pertinentes. Filmer en permanence un poste de travail, un espace de pause, un local syndical ou des sanitaires serait en principe excessif et contraire aux règles de protection des personnes.
Le responsable de traitement doit également identifier une base juridique. En entreprise, la base la plus fréquente est l’intérêt légitime poursuivi par l’employeur pour assurer la sécurité des locaux, des biens et des personnes. Cet intérêt doit toutefois être mis en balance avec les droits et libertés des personnes filmées. Cette analyse ne peut pas être purement théorique : elle suppose d’examiner l’implantation des caméras, les horaires, les destinataires des images et les durées de conservation.
Dans le cadre des relations de travail, le Code du travail impose en outre une vigilance particulière. Les salariés ne doivent pas être placés sous surveillance constante. Le CSE doit être informé et consulté avant la mise en œuvre d’un dispositif de contrôle de l’activité des salariés lorsque l’organisation de l’entreprise le prévoit. L’information des salariés, des visiteurs et des autres personnes concernées est également obligatoire.
- La caméra doit viser une zone à risque identifiée, pas surveiller sans motif l’ensemble des activités.
- La surveillance permanente d’un salarié à son poste est en principe prohibée.
- Certains lieux sont particulièrement protégés : sanitaires, zones de repos, locaux syndicaux.
- Le CSE doit être informé et consulté lorsque le dispositif concerne les salariés.
- La base juridique doit être documentée, le plus souvent l’intérêt légitime.
| Point de contrôle | Exigence juridique |
|---|---|
| Finalité | Déterminée, explicite et légitime : sécurité des personnes, prévention des intrusions, protection des biens |
| Champ filmé | Limité aux zones nécessaires, sans captation injustifiée des postes de travail ou espaces privés |
| Base juridique | Souvent l’intérêt légitime, sous réserve d’une mise en balance avec les droits des personnes |
| Information | Obligatoire par affichage et mentions complètes sur le traitement |
| Conservation | Limitée à la durée strictement nécessaire, souvent de l’ordre de quelques jours à un mois selon le contexte |
| Accès aux images | Réservé aux personnes habilitées, dans le respect du besoin d’en connaître |
Information des personnes filmées et droits à respecter
Le RGPD impose une information claire, accessible et compréhensible. En pratique, cela passe par un affichage visible avant l’entrée dans la zone filmée, indiquant l’existence du dispositif, la finalité poursuivie et l’identité du responsable de traitement. Cet affichage doit être complété par une information plus détaillée, disponible par exemple à l’accueil, dans une note interne ou via une politique de confidentialité.
Les personnes concernées doivent notamment savoir qui traite les images, pourquoi elles sont enregistrées, combien de temps elles sont conservées, qui peut y accéder et comment exercer leurs droits. En entreprise, cette obligation concerne les salariés, mais aussi les visiteurs, clients, fournisseurs et sous-traitants qui accèdent aux locaux sous vidéosurveillance.
Les personnes filmées disposent de droits, notamment un droit d’accès, sous réserve de ne pas porter atteinte aux droits d’autrui, à la sécurité publique ou à une enquête en cours. L’exercice de ces droits doit être organisé. L’entreprise doit prévoir un canal de contact, souvent via le délégué à la protection des données lorsqu’il existe, et une procédure pour traiter les demandes dans les délais prévus par le RGPD.
- Un panneau d’information doit être visible avant l’entrée dans la zone filmée.
- L’identité du responsable de traitement et la finalité doivent être indiquées.
- Les modalités d’exercice des droits doivent être précisées.
- Une information complémentaire plus détaillée doit pouvoir être consultée facilement.
Informer ne signifie pas seulement signaler la présence d’une caméra. Il faut permettre à la personne concernée de comprendre le traitement et d’exercer effectivement ses droits, dans les conditions prévues par le RGPD.
Durée de conservation, accès aux images et sécurité du système
Les images ne peuvent pas être conservées sans limite. Le principe de minimisation impose une durée adaptée à la finalité poursuivie. En pratique, une conservation courte est attendue, souvent de quelques jours à un mois selon les besoins opérationnels et la nature des risques. Une durée plus longue doit être justifiée, par exemple en cas de contraintes particulières liées à l’activité, à la fréquence de constatation des incidents ou à des obligations spécifiques.
L’accès aux images doit être strictement encadré. Seules les personnes habilitées, en raison de leurs fonctions, doivent pouvoir visionner les flux ou extraire des enregistrements. Cela suppose la mise en place de profils d’accès, de mots de passe robustes, de journaux de consultation et, le cas échéant, de mesures de chiffrement. La sécurité technique et organisationnelle est une exigence directe du RGPD.
Lorsque l’installation est confiée à un prestataire ou lorsqu’une solution d’hébergement externe est utilisée, la relation relève aussi du cadre de la sous-traitance au sens du RGPD. Un contrat doit définir les instructions du responsable de traitement, les mesures de sécurité, les conditions d’assistance et le sort des données en fin de prestation. Sur le plan technique, il est utile de s’appuyer sur des matériels et installations conformes aux règles de l’art ; selon les équipements de sûreté associés, d’autres référentiels peuvent être pertinents, par exemple la certification NF&A2P pour certains dispositifs de sécurité électronique, sans que cela dispense du respect du RGPD.
- La durée de conservation doit être courte et justifiée.
- Les accès aux images doivent être limités aux seules personnes habilitées.
- Les consultations et extractions devraient être tracées.
- Un contrat de sous-traitance conforme au RGPD est nécessaire si un prestataire traite les images.
- La conformité technique d’un équipement ne remplace jamais la conformité juridique du traitement.
Registre, analyse d’impact et contrôles : les obligations de gouvernance
La conformité ne repose pas uniquement sur l’affichage de panneaux. L’entreprise doit inscrire le dispositif de vidéosurveillance dans son registre des activités de traitement, avec les mentions requises : finalités, catégories de personnes concernées, destinataires, durées de conservation, mesures de sécurité et, le cas échéant, transferts de données. Cette documentation fait partie du principe d’accountability prévu par le RGPD.
Dans certaines situations, une analyse d’impact relative à la protection des données peut être nécessaire. C’est notamment le cas lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, par exemple en cas de surveillance systématique à grande échelle ou de combinaison avec d’autres technologies. L’analyse d’impact permet d’identifier les risques, d’évaluer leur gravité et de définir des mesures de réduction adaptées.
En cas de contrôle, l’entreprise doit pouvoir démontrer la cohérence de son dispositif : besoin de sécurité identifié, implantation des caméras justifiée, information délivrée, durées paramétrées, accès restreints, contrats encadrés et procédures internes formalisées. Une installation utile du point de vue opérationnel peut être non conforme si sa gouvernance est insuffisante. La conformité est donc autant documentaire qu’organisationnelle.
- Le traitement doit figurer dans le registre RGPD de l’entreprise.
- Une analyse d’impact peut être requise en cas de risque élevé.
- Les procédures internes doivent encadrer l’accès, l’extraction et la suppression des images.
- La documentation doit être conservée pour démontrer la conformité en cas de contrôle.
À retenir
- La vidéosurveillance RGPD entreprise est licite si elle repose sur une finalité claire, une base juridique valable et un dispositif proportionné.
- Les personnes filmées doivent être informées de manière visible et complète, et pouvoir exercer leurs droits.
- Les images doivent être conservées pendant une durée limitée, avec un accès strictement réservé aux personnes habilitées.
- La conformité suppose aussi une gouvernance documentée : registre, consultation du CSE si nécessaire, contrats de sous-traitance et, dans certains cas, analyse d’impact.