04 78 02 79 40
mon espace client
Nous contacter
Categories
Non classé

RGPD et vidéosurveillance en entreprise : ce que dit la CNIL 

4 août 2025 by GDA webmarketing

Fin décembre 2024, la CNIL a prononcé une sanction de 40 000 € contre une entreprise ayant mis en place un dispositif de surveillance excessif de ses salariés. La société utilisait un logiciel capable de comptabiliser les périodes d’« inactivité » supposée, de réaliser des captures d’écran régulières des postes de travail, et combinait ce système à des caméras et micros actifs dans les locaux. 

Cette décision rappelle la rigueur du cadre juridique encadrant la vidéosurveillance dans les environnements de travail. Finalité claire, proportionnalité des moyens, information préalable, durée de conservation maîtrisée : chaque critère compte pour rester en conformité avec le RGPD. 

 

Pourquoi la vidéosurveillance en entreprise est encadrée par le RGPD ? 

Ce sont les principes du RGPD qui fondent les exigences applicables à la vidéosurveillance sur le lieu de travail. Ces exigences visent à concilier les objectifs de sécurité poursuivis par l’entreprise avec le respect des droits fondamentaux des personnes filmées. 

La vidéosurveillance, un traitement de données personnelles 

Installer une caméra dans une entreprise revient à mettre en œuvre un traitement de données à caractère personnel, dès lors que les personnes filmées sont identifiables, même indirectement. 

Ce traitement entre dans le champ d’application du règlement général sur la protection des données (RGPD), qui encadre strictement la collecte, l’utilisation et la conservation de ce type de données. 

Cela concerne non seulement les salariés, mais aussi les visiteurs, les prestataires ou les clients selon les lieux surveillés. L’entreprise devient alors responsable de traitement et doit se conformer à l’ensemble des principes prévus par le RGPD. 

Des finalités précises et légitimes 

Le RGPD impose que tout traitement repose sur une finalité explicite, légitime et proportionnée. En matière de vidéosurveillance en entreprise, les finalités reconnues sont principalement la sécurité des biens et des personnes, la prévention des actes malveillants (intrusion, vol, dégradation), ou la gestion des accès à certains locaux sensibles. 

En revanche, surveiller un salarié de façon continue ou utiliser la vidéosurveillance à des fins de contrôle de la productivité, sans justification particulière, est considéré comme disproportionné et donc non conforme. La caméra en entreprise, selon les textes législatifs et réglementaires en vigueur doit répondre à un objectif clair, en lien direct avec l’activité et sans aller au-delà de ce qui est strictement nécessaire à cet objectif. 

Une obligation de proportion, d’information et de rigueur 

Mettre en place un système de vidéosurveillance conforme suppose ainsi le suivi de plusieurs principes fondamentaux du RGPD. 

D’abord, la captation doit se limiter aux zones strictement nécessaires : entrées, zones d’accès sensibles, lieux de stockage ou d’équipement critique. Filmer les postes de travail, les zones de pause ou les espaces syndicaux reste exceptionnel et doit faire l’objet d’une justification spécifique. 

Ensuite, toute personne concernée (salarié, visiteur, prestataire) doit être informée de manière claire, visible et complète. L’entreprise doit indiquer la finalité du dispositif, les coordonnées du responsable, la durée de conservation des images et les droits dont dispose chaque personne. 

La conservation des enregistrements doit être limitée dans le temps. La CNIL recommande un délai d’un mois maximum, sauf circonstances exceptionnelles. Au-delà, l’entreprise doit démontrer la nécessité de conserver les données plus longtemps, et documenter cette décision. 

Enfin, l’accès aux données doit être strictement encadré, réservé à un nombre limité de personnes habilitées, et sécurisé par des dispositifs techniques adéquats (authentification, restriction d’accès). En cas de contrôle, l’entreprise doit pouvoir prouver la conformité de son système via une documentation précise et à jour. 

 

Ce que dit la CNIL sur la vidéosurveillance au travail 

En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui veille à l’application du RGPD et de la loi Informatique et Libertés. Elle joue un rôle central dans l’interprétation des règles applicables à la vidéosurveillance en entreprise, en publiant des recommandations, en menant des contrôles et, si nécessaire, en prononçant des sanctions. La réglementation sur les caméras de surveillance en entreprise impose ainsi un équilibre entre sécurité et respect des libertés individuelles, que la CNIL veille à faire respecter dans tous les secteurs professionnels.  

Zones sensibles et interdictions explicites 

La CNIL interdit formellement de filmer certains espaces, sauf circonstances exceptionnelles dûment justifiées. C’est notamment le cas des toilettes, des vestiaires, des espaces de repos, des locaux syndicaux ou encore des postes de travail en continu. L’installation d’une caméra en entreprise ne peut jamais être motivée par une volonté de surveiller les salariés de manière constante ou intrusive. 

Les caméras doivent être orientées de manière à éviter toute captation excessive, même accidentelle. La CNIL invite les entreprises à cartographier les zones filmées et à analyser, pour chacune, la pertinence du dispositif au regard des risques réellement encourus. 

Sanctions récentes : une vigilance accrue 

La CNIL n’hésite pas à sanctionner les entreprises qui ne respectent pas ce cadre. En décembre 2024, une société du secteur immobilier a ainsi été sanctionnée à hauteur de 40 000 euros pour l’usage de dispositifs de surveillance disproportionnés : logiciel de suivi d’« inactivité », captures d’écran, caméras et micros dans les bureaux, sans information suffisante des salariés. 

Autre exemple : en janvier 2024, Amazon France Logistique a reçu une amende de 32 millions d’euros pour avoir mis en œuvre un système de surveillance RH jugé excessif, fondé notamment sur des taux de productivité individuels et des données de géolocalisation trop précises. Cette décision, l’une des plus lourdes jamais prononcées par la CNIL, rappelle que les grands groupes ne sont pas à l’abri de manquements. 

En 2024, sur plus de 330 décisions, 87 sanctions ont été prononcées pour un total cumulatif de plus de 55 millions d’euros. 

Bonnes pratiques recommandées par la CNIL 

Pour éviter les dérives, la CNIL recommande un ensemble de bonnes pratiques. Cela comprend : 

  • une information claire et visible des personnes concernées, via des affichages aux entrées des zones filmées ; 
  • une limitation stricte des zones captées ; 
  • une durée de conservation courte, en principe inférieure à un mois ; 
  • un encadrement des droits d’accès aux images, réservé à un nombre restreint de personnes autorisées ; 
  • une documentation à jour décrivant le fonctionnement du système et les justifications associées. 

La CNIL met également à disposition un exemple concret de fiche d’information à remettre aux salariés, afin de s’assurer qu’ils comprennent la finalité du dispositif, les données collectées et leurs droits. 

 

Faut-il déclarer son dispositif de vidéosurveillance à la CNIL ? 

L’une des idées reçues les plus fréquentes en matière de vidéosurveillance est l’obligation de déclaration préalable auprès de la CNIL. Or, depuis l’entrée en application du RGPD, les formalités préalables (comme les déclarations ou autorisations) ont été supprimées pour la majorité des traitements, y compris la vidéosurveillance. 

Cela ne signifie pas pour autant que les entreprises peuvent installer librement des caméras sans encadrement. Si la déclaration à la CNIL de la vidéosurveillance en entreprise n’est pas requise, d’autres obligations s’appliquent, et elles doivent être rigoureusement respectées. 

Une obligation de documentation, pas de déclaration 

Dans le cadre du RGPD, la responsabilité des traitements repose sur un principe dit d’« accountability ». Cela signifie que l’entreprise doit être capable de démontrer à tout moment la conformité de son dispositif. Cette exigence implique plusieurs actions concrètes. 

D’abord, le traitement doit être inscrit dans le registre des activités de traitement, tenu par l’entreprise ou, le cas échéant, par son Délégué à la protection des données (DPO). Ce registre précise la finalité de la vidéosurveillance, les bases légales invoquées, les durées de conservation, les mesures de sécurité et les destinataires des données. 

Ensuite, si la vidéosurveillance est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (par exemple si elle filme en continu les postes de travail ou enregistre des flux audio) une analyse d’impact relative à la protection des données (AIPD) est obligatoire. Ce document, à la fois préventif et stratégique, permet d’anticiper les risques et de justifier les choix techniques et organisationnels. 

Enfin, l’entreprise doit conserver une documentation complète et à jour sur le fonctionnement du dispositif : plan des zones filmées, justificatifs techniques, modalités d’information des salariés, procédures d’accès aux images, etc. 

Cas particuliers : autorisation préfectorale et obligations complémentaires 

Lorsque la vidéosurveillance est mise en place dans des lieux ouverts au public, une formalité spécifique s’applique, distincte du RGPD. 

Cette situation concerne par exemple les commerces, halls d’accueil sans contrôle d’accès, façades d’immeubles ou parkings extérieurs. Dans ces cas, l’installation de caméras est soumise à une autorisation préfectorale préalable, conformément aux textes de loi et réglementaire en vigueur (articles L.252‑1 et suivants du Code de la sécurité intérieure). 

Cette demande doit être accompagnée d’un dossier décrivant les finalités poursuivies, le plan de couverture des caméras, les modalités de conservation des images, les mesures de sécurité mises en œuvre et les dispositifs d’information du public. 

Par ailleurs, certains secteurs d’activité sont encadrés par des textes ou régulations spécifiques en complément du RGPD : établissements de santé (cadre HDS, encadrement par les ARS), structures pénitentiaires, établissements scolaires… Ces structures doivent croiser les obligations du RGPD avec celles issues de leurs référentiels sectoriels. 

 

Loin d’interdire la vidéosurveillance, la CNIL en balise les usages et autorise son recours lorsqu’il est justifié, proportionné et transparent.  Les employeurs doivent intégrer la conformité RGPD dès la conception du dispositif, documenter leurs choix, associer les représentants du personnel et veiller à une gouvernance partagée entre les services RH, la direction juridique, la DSI et, le cas échéant, le DPO. Cette approche, rigoureuse et anticipée, permet non seulement d’éviter les risques de sanction, mais aussi de renforcer la confiance des salariés, la lisibilité des pratiques internes et la qualité du climat social.