L’essentiel
- La vidéosurveillance en entreprise est légale si elle poursuit une finalité légitime, définie et proportionnée. Elle ne peut pas placer les salariés sous surveillance constante.
- Zones interdites : pas de caméra braquée en continu sur un poste de travail, ni dans les zones de pause, sanitaires et locaux syndicaux.
- Obligations clés : base légale, information, registre, sécurité, contrôle des accès, conservation limitée (un mois maximum en principe), AIPD si risque élevé, et autorisation préfectorale dès qu’un lieu ouvert au public est filmé.
- IA : une caméra qui analyse les comportements change de régime. L’AI Act interdit la reconnaissance des émotions au travail et encadre la biométrie.
- Sanctions : les sanctions CNIL sur les dispositifs vidéo vont de quelques milliers à plusieurs dizaines de milliers d’euros. L’AI Act prévoit jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites.
La vidéo est devenue un outil de pilotage : détecter un événement, retrouver une scène en quelques secondes, analyser des flux, alimenter des tableaux de bord. Mais en 2026, une caméra d’entreprise se situe à l’intersection du RGPD, du Code du travail, du Code de la sécurité intérieure, de la cybersécurité et de l’IA. Ces règles ne bloquent pas l’innovation : elles la cadrent.
Contexte : une pression de conformité qui monte
Dans son bilan 2025, la CNIL affiche une activité répressive en forte hausse. Les dispositifs vidéo font explicitement partie de ses sujets de contrôle, et la cybersécurité devient un axe majeur.
Pour un parc de caméras, le centre de gravité se déplace : il ne suffit plus d’installer un système qui fonctionne, il faut démontrer qu’il est gouverné, sécurisé, traçable et juridiquement cadré.
Le cadre juridique applicable
Le socle RGPD
Toute vidéosurveillance traite des données personnelles : elle doit être licite, loyale et transparente, pour une finalité déterminée, avec minimisation, conservation limitée, intégrité et confidentialité. La base légale est le plus souvent l’intérêt légitime, correctement documenté. Le responsable doit informer les personnes, tenir un registre, sécuriser le dispositif et conduire une analyse d’impact (AIPD) en cas de risque élevé.
Le droit du travail : la proportionnalité
L’article L1121-1 du Code du travail interdit toute restriction aux libertés qui ne serait pas justifiée par la tâche et proportionnée au but recherché. En pratique : filmer un environnement de sécurité n’autorise pas à filmer l’activité humaine en continu. On filme la caisse, pas le caissier ; on cadre la zone de valeur, pas l’ensemble des manutentionnaires. Les caméras peuvent viser entrées, sorties, voies de circulation et zones de stockage, mais pas les postes de travail (sauf circonstances particulières), ni les zones de pause, sanitaires ou locaux syndicaux.
Vidéoprotection : l’autorisation préfectorale
La frontière déterminante n’est pas analogique contre IP, mais lieu non ouvert au public contre lieu ouvert au public. Pour un lieu non ouvert au public, aucune formalité préalable auprès de la CNIL, mais registre et AIPD si le risque l’exige. Dès qu’une caméra filme un lieu ouvert au public (entrées, zones marchandes, comptoirs, caisses), le dispositif doit être autorisé par le préfet (téléservice dédié).
Information, accès, conservation, sécurité
- Information : panneau visible et permanent (finalités, durée, responsable ou DPO, droits, recours CNIL), complété par une notice détaillée (article 13 RGPD).
- Accès : seules les personnes habilitées consultent les images, dans le cadre de leurs fonctions, sur des accès sécurisés.
- Conservation : un mois maximum en principe, souvent quelques jours suffisent. En cas de procédure, les images utiles sont extraites et conservées le temps de celle-ci.
- Sécurité : chiffrement, comptes nominatifs, authentification forte (MFA pour les accès distants), journalisation des consultations et des exports, contrôle de la sous-traitance.
Qui est responsable ?
Un déploiement mature documente la répartition des rôles. Cela rend la conformité démontrable en cas de contrôle.
IA et vidéo augmentée : ce qui change
Une caméra qui se contente d’enregistrer n’est pas traitée comme une caméra couplée à des algorithmes d’analyse des comportements. L’AI Act interdit notamment la reconnaissance des émotions au travail, certaines catégorisations biométriques déduisant des attributs protégés, et l’aspiration non ciblée d’images pour constituer des bases de reconnaissance faciale. Les usages liés à l’emploi et à la biométrie figurent parmi les usages à haut risque.
Dès qu’un système infère ou classe des comportements humains à des fins de gestion ou de contrôle, il faut requalifier le projet : revoir la base légale, refaire l’analyse de proportionnalité et, souvent, mener une AIPD renforcée.
NIS2 : la cybersécurité de vos caméras connectées
La directive NIS2 établit un cadre de cybersécurité commun pour 18 secteurs critiques. Pour les entreprises concernées (ou leurs fournisseurs), les caméras IP, VMS, centres de supervision et passerelles cloud entrent de fait dans le périmètre des actifs à sécuriser : durcissement, segmentation réseau, journalisation, gestion des vulnérabilités, plan de continuité, chaîne documentaire avec les prestataires.
Souveraineté, cloud et hébergement
La souveraineté n’impose pas, en droit, un hébergement en France dans tous les cas. En revanche, le RGPD encadre strictement les transferts hors UE (décision d’adéquation ou garanties appropriées). Pour un projet vidéo, privilégier un hébergement FR/UE et documenter la localisation effective des données reste une très bonne pratique de réduction du risque.
Sanctions récentes : ce que la CNIL vise
Les dossiers vidéosurveillance sont presque toujours sanctionnés pour une combinaison de manquements : minimisation, information, durée de conservation, registre, sécurité, parfois absence d’AIPD ou encadrement de la sous-traitance. Le risque n’est pas la caméra de trop, c’est la gouvernance incomplète autour d’elle.
| Date | Organisme | Manquements principaux | Montant / mesure |
|---|---|---|---|
| 13/06/2019 | Société de traduction de documents | Données excessives, information insatisfaisante, défaut de sécurité, vidéosurveillance | 20 000 € + injonction sous astreinte |
| 10/06/2024 | Boulangerie | Information, licéité, minimisation en vidéosurveillance | 5 000 € |
| 16/01/2025 | Centre de formation à distance d’apprentis | Minimisation, conservation, droit d’opposition, information, vidéosurveillance | 10 000 € + injonction |
| 10/04/2025 | Société de commerce de détail d’articles de sport | Minimisation, conservation, information, registre, défaut de sécurité, vidéosurveillance / vidéoprotection | 20 000 € |
| 10/04/2025 | Société de restauration | Minimisation, information, registre, absence d’AIPD, vidéoprotection / vidéosurveillance | 6 000 € |
| 02/04/2026 | Société exploitant des boutiques toilettes | Licéité, minimisation, encadrement sous-traitant, absence d’AIPD | 7 500 € |
| 29/01/2026 | Établissement public de transport urbain | Licéité, information, défaut de sécurité, vidéoprotection | 20 000 € |
| 29/01/2026 | Association religieuse | Licéité et information, vidéoprotection | 10 000 € + injonction |
Se mettre en conformité, sans tout bloquer
Le plus sûr est de traiter la conformité vidéo comme un projet de gouvernance, pas comme un achat de matériel.
| Domaine | Contrôles attendus en 2026 |
|---|---|
| Finalités et proportionnalité | Cartographier caméra par caméra : finalité, zone, personnes concernées, alternative moins intrusive. |
| Base légale et registre | Documenter la base légale ; tenir une fiche de registre (finalités, durées, habilités, transferts, sécurité, sous-traitants). |
| CSE et affichage | Consulter le CSE avant la mise en service ; installer la signalétique et publier la notice article 13. |
| AIPD | Réaliser une AIPD si risque élevé (grande échelle, analyse automatisée, lieu ouvert au public). |
| Autorisation préfectorale | Déposer le dossier si un lieu ouvert au public est filmé ; tracer les autorisations par site. |
| Accès et authentification | Comptes nominatifs, MFA pour les accès distants et administrateur, revue annuelle des habilitations. |
| Sécurité et cloud | Chiffrement, journalisation, sauvegardes, hébergement FR/UE documenté, contrat article 28 avec les prestataires. |
Vos modèles prêts à l’emploi
Modèle de panneau d’information (affichage sur site)
Responsable du traitement :
[raison sociale].Durée de conservation des images :
[X jours, 1 mois maximum en principe].Destinataires : personnel habilité et, si nécessaire, autorités légalement habilitées.
Pour exercer vos droits ou contacter le DPO :
[email / adresse / téléphone].Réclamation possible auprès de la CNIL.
Trame synthétique d’AIPD
| Rubrique | Contenu attendu |
|---|---|
| Description | Sites, zones filmées, catégories de personnes, architecture, cloud ou on-premise, accès mobiles, IA éventuelle. |
| Finalités | Sécurité, prévention, investigation d’incidents, continuité d’activité. |
| Nécessité et proportionnalité | Pourquoi la caméra est nécessaire ; pourquoi un angle plus restreint ne suffit pas. |
| Risques et mesures | Surveillance excessive, fuite d’images, accès abusif ; cadrage limité, rétention courte, MFA, chiffrement, logs. |
| Avis et décision | DPO, RSSI, métiers, CSE selon le cas ; mise en service, ajustements ou consultation préalable CNIL. |
Repères réglementaires 2018-2028
Et ANAVEO, concrètement
Depuis plus de 30 ans, ANAVEO conçoit, développe et déploie des dispositifs efficaces ET conformes, dans un cadre réglementaire, normatif et éthique exigeant. Nous industrialisons des briques de conformité directement intégrées au déploiement.
Questions fréquentes
Peut-on filmer les salariés ?
Oui, mais pas en surveillance constante. Les caméras peuvent viser entrées, sorties, voies de circulation et zones de valeur. Un poste de travail ne peut être filmé qu’à titre exceptionnel et proportionné.
Peut-on filmer la salle de pause ou les toilettes ?
Non. Les zones de pause, de repos, les sanitaires et les locaux syndicaux, ainsi que leurs accès dédiés, sont exclus.
Combien de temps conserver les images ?
Un mois maximum en principe, souvent quelques jours suffisent. En cas de procédure, les images utiles sont extraites et conservées le temps de celle-ci.
Qui peut consulter les images ?
Seules les personnes habilitées, dans le cadre de leurs fonctions, sur des accès sécurisés, avec sensibilisation des personnes habilitées.
Faut-il consulter le CSE ?
Oui, avant toute décision d’installation. Un dossier de consultation doit être préparé en amont.
Faut-il une autorisation préfectorale ?
Oui dès que des caméras filment un lieu ouvert au public. Non pour les seules zones non ouvertes au public, sous réserve du respect du RGPD.
Faut-il une AIPD ?
Oui dès qu’il y a risque élevé, notamment en cas de surveillance systématique à grande échelle d’une zone accessible au public.
Peut-on enregistrer le son ?
L’enregistrement du son est réservé à des situations particulières et ne devrait pouvoir être déclenché qu’à l’initiative de la personne concernée, en cas d’événement le justifiant.
Conclusion
En 2026, un projet vidéo doit être pensé comme un traitement de données potentiellement sensible, et non comme une simple infrastructure de sûreté. Plus le dispositif se rapproche d’un pilotage individualisé, continu ou automatisé, plus les exigences juridiques et techniques augmentent. Bien cadré, il reste un formidable levier de sécurité et de performance.
Un projet de vidéosurveillance conforme ?
Nos experts vous accompagnent, du cadrage juridique au déploiement technique.
Parlons de votre projetSources primaires
- CNIL, La vidéosurveillance / vidéoprotection au travail (cnil.fr)
- CNIL, Les sanctions prononcées par la CNIL (cnil.fr)
- CNIL, Caméras augmentées dans les espaces publics : position de la CNIL (cnil.fr)
- Code du travail, article L1121-1 (legifrance.gouv.fr)
- RGPD, règlement 2016/679 (eur-lex.europa.eu)
- Commission européenne, AI Act (digital-strategy.ec.europa.eu) ; Directive NIS2, ANSSI (cyber.gouv.fr)
