Conservation et accès aux images de vidéoprotection : obligations légales et bonnes pratiques

La vidéoprotection touche à quelque chose de précieux : la confiance.

Au-delà de la technique, c’est votre manière de prouver que vous protégez sans surveiller excessivement, que vous sécurisez sans déposséder.

La conservation et l’accès aux images sont encadrés par le Code de la sécurité intérieure (CSI) et le RGPD, sous le contrôle de la CNIL.

L’objectif : concilier sécurité des lieux et respect des libertés.

Base légale : intérêt légitime de sécurité ou mission d’intérêt public selon le contexte, à documenter dans votre registre des traitements.
Finalité déterminée : prévention des atteintes aux personnes et aux biens, sécurisation des accès, constatation d’infractions, pas de finalités “attrape-tout”.
Principe de minimisation : caméras orientées et paramétrées pour ne filmer que ce qui est nécessaire; exclusion des zones sensibles (sanitaires, vestiaires, cabinets médicaux).
Information du public : affichage visible à chaque accès filmé (responsable de traitement, finalité, durée de conservation, base légale, modalités d’exercice des droits, contact DPO).
AIPD et autorisation : AIPD requise en cas de surveillance à grande échelle d’espaces ouverts au public ; autorisation préfectorale lorsque la voie publique ou un lieu ouvert au public est filmé.

Le principe est simple: conserver aussi peu que nécessaire, assez pour atteindre la finalité.

Durée maximale de référence : 1 mois pour la vidéoprotection au sens du CSI ; choisissez une durée plus courte si vos besoins le permettent (souvent 7 à 30 jours).
Point de départ : la durée court à partir de l’enregistrement ; l’écrasement en boucle est admis si la fenêtre de conservation respecte la durée fixée.
Prolongation exceptionnelle : gel ciblé des extraits nécessaires en cas d’incident, plainte, sinistre ou réquisition, avec traçabilité et durée limitée au temps de la procédure.
Cas particuliers : contrôle d’accès ou détection d’incidents peut justifier des durées distinctes (ex. 72 h pour parkings à faible incidentologie). Documentez la justification.
Alignement RGPD : la durée doit être annoncée sur l’affichage et dans les mentions d’information, et reflétée dans la politique interne et le registre.

L’accès n’est jamais libre, il est strictement encadré pour éviter les dérives et protéger les tiers.

Personnes habilitées : seules des personnes spécifiquement désignées (par fonction) et formées peuvent visionner, extraire ou transmettre des images.
Motifs légitimes : sécurité, enquête interne, demande d’une autorité, réponse à un droit d’accès. Bannissez la curiosité ou l’usage disciplinaire sans base solide.
Droit d’accès des personnes : réponse sous 1 mois. Demandez des précisions (date, heure, lieu) pour rechercher l’extrait. Floutez les tiers si nécessaire ou proposez visionnage sur place sous encadrement.
Réquisitions et signalements : transmettez sur demande d’une autorité compétente (police, justice) ou de votre initiative en cas d’infraction grave, en journalisant chaque transfert.
Interdits : diffusion en interne ou sur les réseaux, usage pour évaluer la performance des salariés sans base distincte ni information préalable.

La sécurité n’est pas un produit, c’est une discipline. Elle se prouve par des contrôles cohérents et répétés.

Contrôles d’accès : comptes nominatifs, rôles stricts, sessions limitées dans le temps.
Chiffrement et réseau : chiffrement au repos (NVR/serveur) et en transit (TLS), segmentation réseau, VPN pour l’accès hors site.
Journalisation inviolable : logs d’accès et d’export horodatés, conservés au moins aussi longtemps que la durée des images, revues régulières par le DPO/SI.
Paramétrage des caméras/NVR : masquage de zones, résolution et cadence adaptées à la finalité, horloge synchronisée (NTP), désactivation des comptes par défaut.

Sans procédures, la conformité reste théorique. Mettez noir sur blanc ce que vous faites réellement.

Politique de vidéoprotection : finalités, périmètre, plan de caméras, bases légales, durées, rôles, habilitations, mesures de sécurité.
Procédure droits des personnes : formulaire de demande, vérification d’identité, critères de réponse, floutage, refus motivé si nécessaire.
Gestion des incidents : processus de gel, extraction, hash/empreinte des fichiers, conservation probatoire, chaîne de garde.
Plan de conservation/suppression : calendrier, mécanismes d’écrasement, vérifications périodiques, preuves d’exécution (rapports NVR).
Registre et AIPD : fiches de traitement à jour, AIPD le cas échéant, décisions et arbitrages de proportionnalité consignés.

Apprenez des faux pas des autres, c’est le moyen le moins douloureux d’être exemplaire.

Angles trop larges : filme la voie publique ou des zones sensibles sans nécessité. Corrigez par masquage et recadrage.
Durées “par défaut” abusives : 30 jours annoncés sans justification. Adaptez à la réalité des incidents.
Accès non tracés : visionnages “ponctuels” hors journal. Imposez la traçabilité, même pour 30 secondes.
Affichage incomplet : pas de contact DPO ni durée. Mettez à jour les panneaux.
Sous-traitant opaque : cloud hors UE sans garanties. Exigez des engagements contractuels, tests et preuves.

Checklist mise en conformité :

Périmètre : cartographie des caméras et zones masquées validée.
Durées : politique documentée, réglages NVR conformes, test d’écrasement réussi.
Accès : matrice d’habilitation, revue trimestrielle des droits.
Information : panneaux à jour, fiche d’information en ligne, mentions RH si zones de travail.
Process : procédures droits d’accès, gel probatoire, réquisition, plan de continuité.
Preuves : logs, exports horodatés, comptes-rendus d’audit, registre Art. 30, AIPD si applicable.