Article a jour au 13 juillet 2026 : RGPD, Code du travail, CNIL, AI Act, NIS2.

L’essentiel

  • La vidéosurveillance en entreprise est légale si elle poursuit une finalité légitime, définie et proportionnée. Elle ne peut pas placer les salariés sous surveillance constante.
  • Zones interdites : pas de caméra braquée en continu sur un poste de travail, ni dans les zones de pause, sanitaires et locaux syndicaux.
  • Obligations clés : base légale, information, registre, sécurité, contrôle des accès, conservation limitée (un mois maximum en principe), AIPD si risque élevé, et autorisation préfectorale dès qu’un lieu ouvert au public est filmé.
  • IA : une caméra qui analyse les comportements change de régime. L’AI Act interdit la reconnaissance des émotions au travail et encadre la biométrie.
  • Sanctions : les sanctions CNIL sur les dispositifs vidéo vont de quelques milliers à plusieurs dizaines de milliers d’euros. L’AI Act prévoit jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites.

La vidéo est devenue un outil de pilotage : détecter un événement, retrouver une scène en quelques secondes, analyser des flux, alimenter des tableaux de bord. Mais en 2026, une caméra d’entreprise se situe à l’intersection du RGPD, du Code du travail, du Code de la sécurité intérieure, de la cybersécurité et de l’IA. Ces règles ne bloquent pas l’innovation : elles la cadrent.

Contexte : une pression de conformité qui monte

Dans son bilan 2025, la CNIL affiche une activité répressive en forte hausse. Les dispositifs vidéo font explicitement partie de ses sujets de contrôle, et la cybersécurité devient un axe majeur.

20 150
plaintes reçues en 2025
323
contrôles menés
83
sanctions prononcées
50 %
des contrôles 2026 sur la cybersécurité

Pour un parc de caméras, le centre de gravité se déplace : il ne suffit plus d’installer un système qui fonctionne, il faut démontrer qu’il est gouverné, sécurisé, traçable et juridiquement cadré.

Le cadre juridique applicable

Le socle RGPD

Toute vidéosurveillance traite des données personnelles : elle doit être licite, loyale et transparente, pour une finalité déterminée, avec minimisation, conservation limitée, intégrité et confidentialité. La base légale est le plus souvent l’intérêt légitime, correctement documenté. Le responsable doit informer les personnes, tenir un registre, sécuriser le dispositif et conduire une analyse d’impact (AIPD) en cas de risque élevé.

Le droit du travail : la proportionnalité

L’article L1121-1 du Code du travail interdit toute restriction aux libertés qui ne serait pas justifiée par la tâche et proportionnée au but recherché. En pratique : filmer un environnement de sécurité n’autorise pas à filmer l’activité humaine en continu. On filme la caisse, pas le caissier ; on cadre la zone de valeur, pas l’ensemble des manutentionnaires. Les caméras peuvent viser entrées, sorties, voies de circulation et zones de stockage, mais pas les postes de travail (sauf circonstances particulières), ni les zones de pause, sanitaires ou locaux syndicaux.

Le bon réflexe Avant l’installation, informez et consultez le CSE. Préparez un dossier : finalités, zones filmées, durées de conservation, personnes habilitées, mesures de sécurité, et synthèse d’AIPD le cas échéant.

Vidéoprotection : l’autorisation préfectorale

La frontière déterminante n’est pas analogique contre IP, mais lieu non ouvert au public contre lieu ouvert au public. Pour un lieu non ouvert au public, aucune formalité préalable auprès de la CNIL, mais registre et AIPD si le risque l’exige. Dès qu’une caméra filme un lieu ouvert au public (entrées, zones marchandes, comptoirs, caisses), le dispositif doit être autorisé par le préfet (téléservice dédié).

Prudence Un même établissement peut relever des deux régimes : réserve logistique en régime privé, hall client et caisses en régime ouvert au public. Raisonnez caméra par caméra, zone par zone, et non site par site. C’est là que naissent la plupart des erreurs de conformité.

Information, accès, conservation, sécurité

  • Information : panneau visible et permanent (finalités, durée, responsable ou DPO, droits, recours CNIL), complété par une notice détaillée (article 13 RGPD).
  • Accès : seules les personnes habilitées consultent les images, dans le cadre de leurs fonctions, sur des accès sécurisés.
  • Conservation : un mois maximum en principe, souvent quelques jours suffisent. En cas de procédure, les images utiles sont extraites et conservées le temps de celle-ci.
  • Sécurité : chiffrement, comptes nominatifs, authentification forte (MFA pour les accès distants), journalisation des consultations et des exports, contrôle de la sous-traitance.

Qui est responsable ?

Un déploiement mature documente la répartition des rôles. Cela rend la conformité démontrable en cas de contrôle.

Responsable de traitement : l’employeur, exploitant du dispositif.
DPO / référent conformité : registre, AIPD, information.
RSSI / IT : sécurité, journalisation, habilitations.
Intégrateur / installateur : conception conforme.
Hébergeur / éditeur cloud : contrat article 28, localisation.
Personnes habilitées : consultation strictement encadrée.
CSE : information et consultation préalables.
Préfecture : autorisation si lieu ouvert au public.

IA et vidéo augmentée : ce qui change

Une caméra qui se contente d’enregistrer n’est pas traitée comme une caméra couplée à des algorithmes d’analyse des comportements. L’AI Act interdit notamment la reconnaissance des émotions au travail, certaines catégorisations biométriques déduisant des attributs protégés, et l’aspiration non ciblée d’images pour constituer des bases de reconnaissance faciale. Les usages liés à l’emploi et à la biométrie figurent parmi les usages à haut risque.

Dès qu’un système infère ou classe des comportements humains à des fins de gestion ou de contrôle, il faut requalifier le projet : revoir la base légale, refaire l’analyse de proportionnalité et, souvent, mener une AIPD renforcée.

Mention de transparence Le calendrier de l’AI Act reste progressif jusqu’en 2028 et certaines échéances peuvent évoluer tant que les textes ne sont pas définitivement publiés. Se préparer maintenant reste la bonne stratégie : les pratiques interdites s’appliquent déjà.

NIS2 : la cybersécurité de vos caméras connectées

La directive NIS2 établit un cadre de cybersécurité commun pour 18 secteurs critiques. Pour les entreprises concernées (ou leurs fournisseurs), les caméras IP, VMS, centres de supervision et passerelles cloud entrent de fait dans le périmètre des actifs à sécuriser : durcissement, segmentation réseau, journalisation, gestion des vulnérabilités, plan de continuité, chaîne documentaire avec les prestataires.

Souveraineté, cloud et hébergement

La souveraineté n’impose pas, en droit, un hébergement en France dans tous les cas. En revanche, le RGPD encadre strictement les transferts hors UE (décision d’adéquation ou garanties appropriées). Pour un projet vidéo, privilégier un hébergement FR/UE et documenter la localisation effective des données reste une très bonne pratique de réduction du risque.

Le bon réflexe Sécurité par conception : identifiant unique, MFA pour les accès distants et administrateur, chiffrement en transit et au repos, comptes nominatifs, séparation administration / exploitation, revue annuelle des habilitations, sauvegardes testées.

Sanctions récentes : ce que la CNIL vise

Les dossiers vidéosurveillance sont presque toujours sanctionnés pour une combinaison de manquements : minimisation, information, durée de conservation, registre, sécurité, parfois absence d’AIPD ou encadrement de la sous-traitance. Le risque n’est pas la caméra de trop, c’est la gouvernance incomplète autour d’elle.

DateOrganismeManquements principauxMontant / mesure
13/06/2019Société de traduction de documentsDonnées excessives, information insatisfaisante, défaut de sécurité, vidéosurveillance20 000 € + injonction sous astreinte
10/06/2024BoulangerieInformation, licéité, minimisation en vidéosurveillance5 000 €
16/01/2025Centre de formation à distance d’apprentisMinimisation, conservation, droit d’opposition, information, vidéosurveillance10 000 € + injonction
10/04/2025Société de commerce de détail d’articles de sportMinimisation, conservation, information, registre, défaut de sécurité, vidéosurveillance / vidéoprotection20 000 €
10/04/2025Société de restaurationMinimisation, information, registre, absence d’AIPD, vidéoprotection / vidéosurveillance6 000 €
02/04/2026Société exploitant des boutiques toilettesLicéité, minimisation, encadrement sous-traitant, absence d’AIPD7 500 €
29/01/2026Établissement public de transport urbainLicéité, information, défaut de sécurité, vidéoprotection20 000 €
29/01/2026Association religieuseLicéité et information, vidéoprotection10 000 € + injonction

Se mettre en conformité, sans tout bloquer

Le plus sûr est de traiter la conformité vidéo comme un projet de gouvernance, pas comme un achat de matériel.

DomaineContrôles attendus en 2026
Finalités et proportionnalitéCartographier caméra par caméra : finalité, zone, personnes concernées, alternative moins intrusive.
Base légale et registreDocumenter la base légale ; tenir une fiche de registre (finalités, durées, habilités, transferts, sécurité, sous-traitants).
CSE et affichageConsulter le CSE avant la mise en service ; installer la signalétique et publier la notice article 13.
AIPDRéaliser une AIPD si risque élevé (grande échelle, analyse automatisée, lieu ouvert au public).
Autorisation préfectoraleDéposer le dossier si un lieu ouvert au public est filmé ; tracer les autorisations par site.
Accès et authentificationComptes nominatifs, MFA pour les accès distants et administrateur, revue annuelle des habilitations.
Sécurité et cloudChiffrement, journalisation, sauvegardes, hébergement FR/UE documenté, contrat article 28 avec les prestataires.

Vos modèles prêts à l’emploi

Modèle de panneau d’information (affichage sur site)

Panneau minimal
Établissement placé sous vidéosurveillance pour la sécurité des personnes et des biens.
Responsable du traitement : [raison sociale].
Durée de conservation des images : [X jours, 1 mois maximum en principe].
Destinataires : personnel habilité et, si nécessaire, autorités légalement habilitées.
Pour exercer vos droits ou contacter le DPO : [email / adresse / téléphone].
Réclamation possible auprès de la CNIL.

Trame synthétique d’AIPD

RubriqueContenu attendu
DescriptionSites, zones filmées, catégories de personnes, architecture, cloud ou on-premise, accès mobiles, IA éventuelle.
FinalitésSécurité, prévention, investigation d’incidents, continuité d’activité.
Nécessité et proportionnalitéPourquoi la caméra est nécessaire ; pourquoi un angle plus restreint ne suffit pas.
Risques et mesuresSurveillance excessive, fuite d’images, accès abusif ; cadrage limité, rétention courte, MFA, chiffrement, logs.
Avis et décisionDPO, RSSI, métiers, CSE selon le cas ; mise en service, ajustements ou consultation préalable CNIL.

Repères réglementaires 2018-2028

2018 La CNIL publie sa fiche de référence sur la vidéosurveillance au travail.
2022 Position de la CNIL sur les caméras augmentées ; adoption de la directive NIS2 au niveau européen.
2024 Le guide sécurité de la CNIL intègre l’IA, le cloud et les API.
2025 Entrée en application des pratiques d’IA interdites ; multiplication des sanctions vidéo.
2026 La CNIL consacre 50 % de ses contrôles répressifs à la cybersécurité ; l’AI Act poursuit son entrée en application.
2027-2028 Renforcement des régimes IA à haut risque (biométrie, emploi) et fin de certaines périodes transitoires.

Et ANAVEO, concrètement

Depuis plus de 30 ans, ANAVEO conçoit, développe et déploie des dispositifs efficaces ET conformes, dans un cadre réglementaire, normatif et éthique exigeant. Nous industrialisons des briques de conformité directement intégrées au déploiement.

Cadrage et paramétrage conformes : zones filmées, masquage, durées de conservation paramétrables caméra par caméra.
Gestion des accès : comptes nominatifs, matrices d’habilitation, traçabilité des consultations et des exports.
Sécurité by design : chiffrement, authentification forte, hébergement FR/UE documenté.
Aucune reconnaissance faciale ni détection d’émotions sur les salariés.
Dossier de conformité par site : éléments pour le registre, l’affichage, le dossier CSE et l’AIPD, livrés avec le projet.
Conformité dans l’exploitation : revue périodique des droits, alertes sur les accès anormaux, journalisation consolidée multisite, rapports DPO / RSSI.

Questions fréquentes

Peut-on filmer les salariés ?

Oui, mais pas en surveillance constante. Les caméras peuvent viser entrées, sorties, voies de circulation et zones de valeur. Un poste de travail ne peut être filmé qu’à titre exceptionnel et proportionné.

Peut-on filmer la salle de pause ou les toilettes ?

Non. Les zones de pause, de repos, les sanitaires et les locaux syndicaux, ainsi que leurs accès dédiés, sont exclus.

Combien de temps conserver les images ?

Un mois maximum en principe, souvent quelques jours suffisent. En cas de procédure, les images utiles sont extraites et conservées le temps de celle-ci.

Qui peut consulter les images ?

Seules les personnes habilitées, dans le cadre de leurs fonctions, sur des accès sécurisés, avec sensibilisation des personnes habilitées.

Faut-il consulter le CSE ?

Oui, avant toute décision d’installation. Un dossier de consultation doit être préparé en amont.

Faut-il une autorisation préfectorale ?

Oui dès que des caméras filment un lieu ouvert au public. Non pour les seules zones non ouvertes au public, sous réserve du respect du RGPD.

Faut-il une AIPD ?

Oui dès qu’il y a risque élevé, notamment en cas de surveillance systématique à grande échelle d’une zone accessible au public.

Peut-on enregistrer le son ?

L’enregistrement du son est réservé à des situations particulières et ne devrait pouvoir être déclenché qu’à l’initiative de la personne concernée, en cas d’événement le justifiant.

Conclusion

En 2026, un projet vidéo doit être pensé comme un traitement de données potentiellement sensible, et non comme une simple infrastructure de sûreté. Plus le dispositif se rapproche d’un pilotage individualisé, continu ou automatisé, plus les exigences juridiques et techniques augmentent. Bien cadré, il reste un formidable levier de sécurité et de performance.

Un projet de vidéosurveillance conforme ?

Nos experts vous accompagnent, du cadrage juridique au déploiement technique.

Parlons de votre projet

Sources primaires

Découvrez nos autres ressources