ConformeRGPD
Retour au blog

Vidéosurveillance et RGPD : ce que doit faire un commerce en 2026

Caméras dans un commerce, bureau, cabinet : panneau d'information, durée de conservation, registre, droits des personnes, déclaration CNIL ou pas. Le guide RGPD complet pour TPE/PME avec caméras.

Vidéosurveillance et RGPD : ce que doit faire un commerce en 2026

Installer des caméras dans un commerce, un cabinet, un bureau, un atelier ou un entrepôt = traiter des données personnelles (images des clients, salariés, visiteurs). Donc RGPD. Et selon le lieu (espace public ou non), c'est deux régimes différents : vidéosurveillance (espace public) ou vidéoprotection (intérieur privé). Voici ce que vous devez faire concrètement en 2026.

1. Vidéosurveillance ou vidéoprotection : quelle différence ?

| Critère | Vidéoprotection (= vidéosurveillance espace public) | Vidéosurveillance privée (RGPD pur) | |---|---|---| | Lieu | Voie publique, abords (caméra visant la rue) | Intérieur commerce, bureau, entrepôt fermé au public ou réservé | | Régime | Code de la sécurité intérieure | RGPD + Code du travail | | Démarche | Autorisation préfectorale obligatoire | Pas d'autorisation, mais inscription au registre + info salariés | | Durée max images | 1 mois | 1 mois (alignée par usage) | | Contrôle | Préfecture + CNIL | CNIL + Inspection du travail |

Une caméra qui filme un comptoir (intérieur magasin, accessible au public) = relève des deux : intérieur du magasin = RGPD pur, MAIS si filme l'entrée donnant sur la rue = vidéoprotection en plus = autorisation préfectorale.

En pratique pour 90% des TPE/PME : vidéoprotection (caméras dans un commerce ouvert au public) → autorisation préfectorale obligatoire via le formulaire CERFA 13806*04.

2. Quelle base légale RGPD ?

Trois cas :

  • Sécurité des biens et personnes (vol, agression) : intérêt légitime (article 6.1.f).
  • Surveillance des salariés : intérêt légitime, à équilibrer avec leurs droits → consulter le CSE (si > 11 salariés), information préalable obligatoire (article L1222-4 Code du travail).
  • Pas de finalité "à tout faire". Une caméra installée pour la sécurité ne peut pas être utilisée pour surveiller la productivité.

3. Quelle durée de conservation des images ?

Maximum 1 mois. La CNIL est claire : au-delà, l'image doit être supprimée. La plupart des NVR/disques cycliques font une rotation automatique 7-30 jours, ce qui est conforme.

Exceptions : si une image documente un incident (vol, agression), elle peut être isolée et conservée le temps de la procédure judiciaire / assurance.

Voir notre guide durée de conservation RGPD pour les autres traitements.

4. Panneau d'information : obligatoire

Tout espace filmé doit être signalé par un panneau visible à l'entrée :

  • Picto caméra
  • Mention "Espace placé sous vidéosurveillance" / "vidéoprotection"
  • Finalité : "à des fins de sécurité"
  • Responsable du traitement : nom de l'entreprise + contact
  • Durée de conservation : "Images conservées 30 jours maximum"
  • Mention du droit d'accès : "Vous pouvez exercer vos droits auprès de [contact] ou de la CNIL"
  • Pour vidéoprotection (espace public) : numéro d'autorisation préfectorale

Pas de panneau = non-conformité automatique. Les panneaux modèles sont vendus dans le commerce mais vous pouvez aussi en imprimer un.

5. Information des salariés

Distincte du panneau client. Avant la mise en service de caméras filmant un poste de travail :

  1. Information individuelle des salariés concernés (mail / note de service / annexe contrat).
  2. Consultation du CSE si l'entreprise compte > 11 salariés.
  3. Avenant au contrat pas obligatoire mais recommandé.
  4. Inscription dans le règlement intérieur ou la BDESE.

Sans ces étapes, les images recueillies ne sont pas opposables au salarié en cas de litige. La Cour de cassation l'a rappelé plusieurs fois (Cass. soc. 10 nov. 2021 entre autres).

6. Caméra dans les espaces strictement interdits

Vous ne pouvez pas filmer :

  • Toilettes, vestiaires, salles de pause / repos.
  • Bureau d'un salarié pris isolément (sauf cas très limité avec consultation CSE).
  • Espace de vie privée (logement de fonction, par exemple).

Une caméra filmant en continu un poste de travail = présomption d'illégalité (CNIL délibération SAN-2024-002 sur un commerce sanctionné pour ça).

7. Inscription au registre des traitements

Toute vidéosurveillance/vidéoprotection doit figurer dans votre registre des traitements :

  • Finalité : sécurité des biens et personnes.
  • Catégories de données : images vidéo des personnes présentes, horaire, lieu.
  • Personnes concernées : clients, salariés, visiteurs.
  • Destinataires : gérant, sociétés de gardiennage, services de police judiciaire sur réquisition.
  • Durée de conservation : 30 jours.
  • Mesures de sécurité : enregistreur sécurisé, accès par mot de passe, journalisation des consultations.

8. Droit d'accès des personnes filmées

Toute personne filmée peut demander à voir les images qui la concernent. Vous devez :

  1. Vérifier son identité.
  2. Si les images existent encore (< 30 jours), lui en donner accès (visionnage sur place, ou copie partielle).
  3. Masquer / flouter les autres personnes apparaissant dans les images (droit des tiers).
  4. Répondre sous 1 mois (article 12.3 RGPD).

Procédure détaillée : demande d'accès et d'effacement.

9. Sanctions encourues

Une vidéosurveillance non conforme expose à :

  • Sanction CNIL : amende administrative pouvant aller jusqu'à 20 M€ ou 4% du CA (en pratique pour TPE/PME : 1 500 à 20 000 € selon gravité — voir récap sanctions CNIL).
  • Sanction pénale : 1 an d'emprisonnement et 45 000 € d'amende (article 226-1 Code pénal pour atteinte à la vie privée).
  • Inopposabilité prud'homale des images en cas de litige avec un salarié.

Checklist conformité vidéosurveillance

  • [ ] Autorisation préfectorale demandée (si caméras visant espace public)
  • [ ] Panneaux d'information à chaque entrée filmée (avec mentions complètes)
  • [ ] Salariés informés individuellement, CSE consulté si applicable
  • [ ] Aucune caméra dans toilettes / vestiaires / espaces vie privée
  • [ ] Conservation 30 jours maximum (rotation automatique configurée)
  • [ ] Accès aux images sécurisé (mot de passe fort, journalisation)
  • [ ] Fiche-traitement dans le registre des traitements
  • [ ] Procédure d'accès / effacement pour les personnes filmées
  • [ ] Vidéosurveillance mentionnée dans le règlement intérieur

Si vous avez aussi un site web pour votre commerce, scannez-le gratuitement pour vérifier sa conformité RGPD : politique de confidentialité, bannière cookie, mentions légales.

Vérifiez la conformité de votre site en 5 minutes

Recevez vos conseils de conformité RGPD

Un email occasionnel avec l'essentiel de la conformité RGPD pour votre site. Désinscription en un clic.

À lire aussi

Google Analytics et RGPD : est-ce encore légal en 2026 ?

GA4, Consent Mode, transferts hors UE : ce que dit vraiment la CNIL en 2026 et comment utiliser Google Analytics sans risquer une mise en demeure.

Airtable et RGPD en 2026 : base de données no-code conforme

Airtable héberge souvent des données personnelles (contacts, clients, candidats) aux États-Unis. Sous-traitance, transferts hors UE, partages de bases, durées de conservation : le guide RGPD d'Airtable.

RGPD et application mobile en 2026 : géolocalisation, SDK et consentement

Une app mobile collecte identifiants publicitaires, géolocalisation et données via des SDK tiers. Consentement, transparence du suivi, permissions, SDK analytics et pub : le guide RGPD des apps iOS et Android.