Article à jour au 19 juin 2026 — AI Act, RGPD, CNIL, NIS2.

L’essentiel

  • La vidéosurveillance intelligente est légale si elle respecte le RGPD, la CNIL et l’AI Act — mais plusieurs usages (catégorisation biométrique, reconnaissance des émotions au travail, identification faciale en temps réel) sont interdits.
  • Sanctions AI Act : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites (art. 99 §3).
  • Calendrier : le Digital Omnibus reporte certaines échéances haut risque à décembre 2027, mais reste un accord provisoire tant qu’il n’est pas publié au JOUE.
  • NIS2 : la cybersécurité de vos caméras connectées entre dans le périmètre ; en France, la transposition n’est pas encore votée.

Les entreprises exploitent aujourd’hui l’intelligence artificielle pour aller bien au-delà de la simple surveillance : détecter automatiquement un événement, rechercher une scène dans des heures de flux en quelques secondes, analyser des comportements et des flux de circulation, piloter la sécurité et la performance via des tableaux de bord. La vidéosurveillance devient un capteur d’aide à la décision. Mais cette puissance s’accompagne d’un cadre légal qui se densifie vite — entre l’AI Act européen, le RGPD, la doctrine de la CNIL et la directive NIS2.

Bonne nouvelle : ces règles ne bloquent pas l’innovation, elles la cadrent. La vraie question n’est pas « ai-je le droit ? », mais « sous quelles conditions, avec quelles preuves, et avec quel niveau de cybersécurité ? ». Ce guide répond point par point, avec les chiffres exacts et les échéances à jour.

1. L’IA réinvente la vidéosurveillance

On parle de vidéosurveillance intelligente (ou « vidéo augmentée ») lorsqu’un logiciel d’IA analyse automatiquement les images d’un système de vidéoprotection pour en extraire de l’information, sans visionnage humain permanent. Les cas d’usage les plus matures sont :

  • Détection automatique des événements et anomalies (intrusion, attroupement, objet abandonné, chute).
  • Recherche intelligente dans les flux vidéo : retrouver une scène par description plutôt qu’en faisant défiler les enregistrements.
  • Analyse des comportements et des mouvements : flux de circulation, zones chaudes, temps d’attente.
  • Pilotage opérationnel via tableaux de bord et KPI sécurité, productivité et expérience client.

Ces fonctions améliorent à la fois la sécurité, la productivité et l’expérience utilisateur. Elles manipulent aussi des images de personnes — donc des données personnelles, parfois sensibles. C’est précisément ce qui déclenche les obligations qui suivent.

2. Comment l’AI Act encadre la vidéosurveillance intelligente

Le règlement européen sur l’IA — Règlement (UE) 2024/1689 — classe les systèmes par niveau de risque. Pour la vidéosurveillance, trois plans se superposent.

Les usages interdits (risque inacceptable)

Certaines pratiques sont prohibées, quel que soit le « bon motif » invoqué. Parmi celles qui touchent directement la vidéo :

  • La catégorisation biométrique qui infère des données sensibles (origine, opinions, orientation…).
  • La reconnaissance des émotions sur le lieu de travail et dans l’enseignement (hors usages médicaux ou de sécurité).
  • L’identification biométrique à distance « en temps réel » dans les espaces accessibles au public, sauf exceptions strictes réservées aux autorités répressives.
  • La constitution de bases de reconnaissance faciale par moissonnage non ciblé d’images issues d’Internet ou de la vidéosurveillance.

À noter : l’accord politique de mai 2026 ajoute une nouvelle interdiction immédiate visant les applications générant des contenus à caractère sexuel non consentis (« nudifier »), signe que la liste des pratiques interdites continue d’évoluer.

Les systèmes à haut risque

Les systèmes d’identification biométrique à distance figurent parmi les usages à haut risque. Lorsqu’un déploiement entre dans cette catégorie, il faut notamment : un système de gestion des risques, une gouvernance de la donnée, une documentation technique, une supervision humaine effective, la journalisation, une analyse d’impact sur les droits fondamentaux et l’enregistrement dans la base de données européenne.

La transparence

Au-delà de l’affichage « lieu sous vidéoprotection » du RGPD, l’IA introduit son propre devoir d’information : les personnes doivent pouvoir savoir qu’un traitement algorithmique est à l’œuvre. C’est aussi une question de confiance — et un argument commercial.

3. Sanctions : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial

L’AI Act adosse ses obligations à un barème dissuasif, calculé sur le chiffre d’affaires annuel mondial total. Le montant le plus élevé entre la somme fixe et le pourcentage s’applique.

CasBase juridiqueMontant maximal
Pratiques interditesArt. 99 §335 M€ ou 7 %
Autres manquements des opérateurs / organismes notifiésArt. 99 §415 M€ ou 3 %
Informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou autorités nationalesArt. 99 §57,5 M€ ou 1 %
Fournisseurs de modèles d’IA à usage général (GPAI)Art. 101 §115 M€ ou 3 %

Précision : le seuil de l’article 99 §5 est bien de 7,5 M€ ou 1 % du CA mondial — et non 1,5 %, chiffre parfois cité par erreur. Le seuil GPAI de 15 M€ / 3 % relève quant à lui de l’article 101 §1, un régime spécifique géré par la Commission.

4. Calendrier 2026-2028 : ce qui s’applique, ce qui est reporté

Le « Digital Omnibus » de la Commission vise à simplifier l’AI Act et à reporter certaines échéances pour les systèmes à haut risque. Son parcours avance, mais n’est pas terminé :

  • 19 novembre 2025 — proposition de la Commission européenne (paquet Digital Omnibus).
  • 26 mars 2026 — position adoptée par le Parlement européen.
  • 7 mai 2026 — accord provisoire Parlement et Conseil.
  • 16 juin 2026 — vote du Parlement en plénière sur la base de l’accord provisoire.
  • À venir — adoption formelle du Conseil, signature, puis publication au JOUE (l’étape qui rend les nouvelles dates applicables).
  • 2 décembre 2027 — nouvelle échéance envisagée pour les systèmes à haut risque de l’annexe III (au lieu du 2 août 2026).

Mention de transparence : au 19 juin 2026, ces reports reposent sur un accord politique provisoire. Tant que le texte n’est pas adopté formellement par le Conseil et publié au Journal officiel de l’UE, c’est la version 2024 de l’AI Act qui fait foi, avec ses échéances initiales (2 août 2026 / 2 août 2027). À l’inverse, l’obligation de marquage des contenus générés par IA (« watermarking ») serait, elle, avancée au 2 décembre 2026.

La conséquence pratique est simple : ne gelez pas vos chantiers de conformité en attendant l’omnibus. Les interdictions et les obligations de base sont déjà actives, et le calendrier reste mouvant.

5. RGPD et CNIL : le socle qui s’applique déjà

Avant même l’AI Act, toute caméra qui filme des personnes relève du RGPD et de la loi Informatique et Libertés. La CNIL surveille de près la « vidéo augmentée ». Les principes à tenir :

  • Finalité et proportionnalité : un objectif précis, et le dispositif le moins intrusif possible pour l’atteindre.
  • Information des personnes : signalétique claire, mention du recours à l’analyse automatisée.
  • Analyse d’impact (AIPD) : souvent obligatoire dès qu’il y a traitement à grande échelle ou données sensibles.
  • Durée de conservation limitée et sécurisation des enregistrements.
  • Droits des personnes : accès, opposition, information — qui doivent rester exerçables.

RGPD et AI Act ne se substituent pas l’un à l’autre : ils se cumulent. Un projet d’IA vidéo conforme doit cocher les deux cases.

6. NIS2 : la cybersécurité de vos dispositifs vidéo

Une caméra intelligente est un objet connecté : flux réseau, enregistreurs, plateforme cloud, intégrations tierces. Autant de surfaces d’attaque. La directive NIS2 impose un haut niveau de cybersécurité aux entités essentielles et importantes — gestion des risques, notification d’incidents, maîtrise des fournisseurs — et vos systèmes de vidéosurveillance en font partie.

  • 27 décembre 2022 — publication de la directive (UE) 2022/2555 au JOUE.
  • Janvier 2023 — entrée en vigueur au niveau de l’UE.
  • 17 octobre 2024 — date limite de transposition par les États membres.
  • 7 mai 2025 — avis motivé adressé à la France pour transposition non communiquée.
  • 2026 — en France, la « Loi Résilience » poursuit son parcours ; vote en séance attendu mi-2026.

Prudence : NIS2 n’est pas entrée en vigueur en octobre 2024. Elle est en vigueur depuis janvier 2023 ; le 17 octobre 2024 est la date limite de transposition. En France, celle-ci n’est pas encore finalisée — les sources officielles les plus récentes invitent donc à présenter le sujet avec prudence.

Le bon réflexe : ne pas attendre la loi française pour sécuriser ses systèmes. Privilégier des dispositifs et des prestataires qui intègrent la cybersécurité « par conception » réduit dès aujourd’hui le risque.

7. Comment se mettre en conformité (sans tout bloquer)

La démarche reprend la logique éprouvée du RGPD. Cinq chantiers concrets :

  1. Inventorier tous les systèmes d’IA vidéo en place ou en projet — y compris la « shadow AI ».
  2. Qualifier le risque de chaque cas d’usage (interdit, haut risque, limité) au regard de l’AI Act.
  3. Clarifier les rôles : êtes-vous fournisseur, déployeur, ou utilisateur d’un GPAI ? Les obligations diffèrent.
  4. Documenter : analyses d’impact, finalités, durées, mesures de sécurité, supervision humaine.
  5. Renforcer la gouvernance cyber : processus de notification d’incident, gestion des risques fournisseurs, veille NIS2.

Le maître-mot : anticiper plutôt qu’attendre. La conformité protège ceux qui s’y prennent tôt et pénalise ceux qui attendent la sanction.

Et ANAVEO, concrètement ?

ANAVEO conçoit, développe et déploie ses solutions intelligentes dans un cadre réglementaire, normatif et éthique exigeant — et cela depuis 30 ans.

  • Membre actif du PERIFEM.
  • 1er prix aux Perifem Awards, catégorie Sécurité 2026.
  • Certifications APSAD, CER et ISO 27001.
  • Conformité RGPD et exigences CNIL.
  • Souveraineté des données et cybersécurité made in France.
  • Membre fondateur du Collectif Vidéosurveillance Responsable.

Questions fréquentes

L’IA en vidéosurveillance est-elle légale en France ?

Oui, lorsqu’elle respecte le RGPD, la doctrine de la CNIL et l’AI Act. Certains usages restent toutefois interdits par l’AI Act : catégorisation biométrique de données sensibles, reconnaissance des émotions au travail, identification biométrique à distance en temps réel dans l’espace public (hors exceptions réservées aux autorités).

Quelles sont les sanctions prévues par l’AI Act ?

Jusqu’à 35 M€ ou 7 % du CA mondial pour les pratiques interdites (art. 99 §3) ; 15 M€ ou 3 % pour d’autres manquements (art. 99 §4) ; 7,5 M€ ou 1 % pour des informations inexactes, incomplètes ou trompeuses (art. 99 §5) ; 15 M€ ou 3 % pour les fournisseurs de GPAI (art. 101 §1).

La reconnaissance faciale en temps réel est-elle autorisée ?

Non, par principe. L’AI Act interdit l’identification biométrique à distance « en temps réel » dans les espaces accessibles au public, sauf exceptions limitées et strictement encadrées réservées aux autorités répressives. Pour une entreprise privée, ce n’est en règle générale pas permis.

La directive NIS2 concerne-t-elle la vidéosurveillance ?

Oui, indirectement mais nettement. Les caméras IP, enregistreurs et plateformes cloud font partie du système d’information à sécuriser. Pour les entités concernées, gestion des risques, notification d’incidents et maîtrise des fournisseurs s’appliquent.

Faut-il attendre le Digital Omnibus pour se mettre en conformité ?

Non. Tant qu’il n’est pas adopté formellement par le Conseil et publié au JOUE, c’est le texte de 2024 qui s’applique, avec ses échéances initiales. Les interdictions et obligations de base sont déjà actives : geler ses chantiers serait un pari risqué.

Conclusion

Rendre vos lieux plus sûrs, plus intelligents et plus productifs : c’est tout l’enjeu de la vidéosurveillance augmentée par l’IA, dès lors qu’elle est déployée dans un cadre maîtrisé. Vous déployez ou modernisez votre dispositif ? Faisons le point sur vos usages d’IA et leur conformité — contactez-nous sur anaveo.fr.

Sources primaires

  1. AI Act — Règlement (UE) 2024/1689, texte officiel FR : https://eur-lex.europa.eu/eli/reg/2024/1689/oj/fra
  2. Directive NIS2 — (UE) 2022/2555, texte officiel FR : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022L2555
  3. Commission européenne — NIS2 en français : https://digital-strategy.ec.europa.eu/fr/policies/nis2-directive
  4. Commission européenne — fiche France NIS2 : https://digital-strategy.ec.europa.eu/fr/policies/nis2-directive-france
  5. Parlement européen — mesures de simplification de l’AI Act : https://www.europarl.europa.eu/news/en/press-room/20260427IPR42011/
  6. ANSSI — directives NIS / NIS2 : https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/

Article informatif à jour au 19 juin 2026 ; il ne constitue pas un avis juridique. Certaines simplifications de l’AI Act résultent d’un accord politique provisoire et ne figurent pas encore dans le texte officiel consolidé ; la transposition française de NIS2 doit être présentée avec prudence au regard des dernières sources officielles consultées.