Chaque fois que j'installe un système de vidéoprotection dans une entreprise, la question RGPD arrive sur la table — souvent posée vaguement, parfois avec une vraie anxiété. "On a le droit de mettre des caméras ?" "Est-ce qu'on doit prévenir les employés ?" "Combien de temps on peut garder les enregistrements ?" Voici ce que dit vraiment la réglementation en 2026, et ce que je vérifie systématiquement avant chaque installation professionnelle.
Le cadre légal : deux régimes distincts
En France, la vidéosurveillance en entreprise relève de deux corpus réglementaires selon l'orientation des caméras :
- Voie publique ou accessible au public (entrée du magasin, parking clients, hall d'accueil) : régime de la Loi du 21 janvier 1995, autorisation préfectorale requise, affichage obligatoire
- Locaux professionnels non accessibles au public (ateliers, entrepôts, bureaux) : régime RGPD + Code du travail, pas d'autorisation préfectorale mais obligations déclaratives et sociales
En pratique, la plupart des installations professionnelles couvrent les deux zones. On doit donc respecter les deux régimes simultanément — ce qui génère souvent de la confusion.
Ce que vous devez obligatoirement faire
1. Informer les personnes filmées
C'est l'obligation la plus souvent négligée. Tout employé travaillant dans une zone sous vidéosurveillance doit être informé individuellement — par écrit, dans son contrat de travail ou par avenant. Un simple panneau ne suffit pas pour les salariés. Pour les clients et visiteurs, un affichage visible à l'entrée est obligatoire, mentionnant l'existence du traitement, sa finalité, le responsable, et les droits des personnes filmées.
2. Consulter le CSE (anciennement CE)
Avant toute installation dans une entreprise avec représentants du personnel, le Comité Social et Économique doit être consulté et informé. Défaut de consultation = nullité possible du système, et surtout risque de conflit social. Je l'aborde systématiquement avec mes clients pro lors de la phase de projet.
3. Respecter la durée de conservation
La CNIL recommande une durée de conservation maximale de 30 jours. Au-delà, les enregistrements doivent être automatiquement écrasés sauf en cas d'incident déclaré (cambriolage, accident). Configurer la durée de rétention sur le NVR est une étape obligatoire de nos installations — jamais laissée en valeur par défaut.
4. Tenir un registre des traitements
Toute entreprise de plus de 250 salariés (et recommandé pour les autres) doit documenter le traitement vidéosurveillance dans son registre des traitements RGPD : finalité, responsable, durée de conservation, destinataires des images, mesures de sécurité.
5. Sécuriser l'accès aux images
Les enregistrements sont des données personnelles. Leur accès doit être restreint aux personnes habilitées (dirigeant, responsable sécurité, service de télésurveillance). Mots de passe robustes sur le NVR, accès distant chiffré (VPN ou HTTPS), traçabilité des consultations sur les systèmes professionnels.
Ce qui est formellement interdit
- Filmer les vestiaires, toilettes, espaces de repos ou salles de pause des salariés — interdiction absolue
- Surveiller en continu l'activité de travail des salariés à leur poste (contrôle de productivité) — illicite sans finalité sécurité avérée
- Filmer la voie publique au-delà de l'abord immédiat de l'établissement — nécessite une autorisation préfectorale spécifique
- Utiliser les images à des fins autres que celles déclarées (par exemple, utiliser des enregistrements pour documenter un conflit disciplinaire non lié à la sécurité)
- Conserver les images au-delà de 30 jours sans incident justifié
Checklist conformité RGPD — ce qu'on vérifie à chaque installation
- Affichage visible à chaque entrée (mention légale complète : responsable, finalité, droits, durée)
- Information individuelle écrite de tous les salariés concernés
- Consultation du CSE documentée (PV de réunion)
- Durée de conservation paramétrée sur le NVR (30 jours maximum)
- Accès aux images restreint et protégé par mot de passe fort
- Aucune caméra orientée vers un poste de travail de manière continue
- Aucune caméra dans les zones de repos, sanitaires, vestiaires
- Registre des traitements mis à jour avec la fiche vidéosurveillance
- Procédure de réponse aux demandes d'accès aux images (droit d'accès RGPD)
- Autorisation préfectorale obtenue si filmage voie publique ou établissement recevant du public
Cas particuliers fréquents
Commerce avec caméras orientées caisses
Autorisé pour la prévention des vols et la protection des salariés face aux comportements agressifs. Interdit pour surveiller la productivité des caissiers. La distinction est ténue mais importante : la finalité "sécurité des biens et des personnes" doit être réelle et documentée.
Entrepôt avec caméras de surveillance des allées
Autorisé dès lors que les salariés sont informés et que les enregistrements ne sont utilisés qu'en cas d'incident. Si un salarié est licencié sur la base d'enregistrements obtenus sans information préalable, le licenciement peut être contesté.
Restaurant ou hôtel
Les zones clients (salle, hall, parking) relèvent de l'autorisation préfectorale si elles constituent des ERP. Les zones "back of house" (cuisine, réserves) relèvent du régime RGPD/Code du travail. Une installation peut donc nécessiter les deux démarches simultanément.
Un projet de vidéoprotection pour votre entreprise ?
On conçoit votre installation et on vous remet un dossier de conformité RGPD complet. Devis gratuit, intervention en Bretagne.