Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

Vidéosurveillance en entreprise : un traitement de données intrusif

La vidéosurveillance en entreprise est aujourd’hui largement répandue, que ce soit dans les secteurs du tertiaire, de la santé, de l’industrie ou du commerce. Sécuriser les locaux, prévenir les vols, contrôler les accès, protéger les biens de valeur ou dissuader les comportements malveillants : les caméras de vidéosurveillance en entreprise sont devenues un outil courant de gestion des risques.

Mais leur mise en place ne doit jamais être considérée comme anodine. Installer un système de vidéosurveillance sur un lieu de travail constitue, au sens du Règlement Général sur la Protection des Données (RGPD), un traitement de données à caractère personnel. Et ce traitement est l’un des plus intrusifs, car il capte potentiellement, en continu, des images de personnes identifiables : salariés, visiteurs, prestataires…

Pourquoi ? Parce qu’une image, dès lors qu’elle permet d’identifier directement ou indirectement une personne, entre dans la définition d’une donnée personnelle. L’enregistrement, la consultation, la conservation ou la transmission de ces images relèvent donc du RGPD.

Ajoutons que ce dispositif est encadré non seulement par le RGPD, mais aussi par la CNIL, le Code du travail, et les droits fondamentaux des salariés comme le droit au respect de la vie privée. La surveillance ne doit jamais être permanente, injustifiée, ni disproportionnée par rapport aux objectifs poursuivis.

Dans cet article, nous vous guidons pas à pas pour comprendre les règles à respecter en matière de vidéosurveillance au travail, éviter les erreurs fréquentes, et garantir la conformité de votre entreprise. Objectif : assurer la sécurité sans compromettre les droits des employés.

Videosurveillance en entreprise : consultation de caméras de vidéosurveillance sur ordinateur et smartphone

Une mesure de surveillance très intrusive

La vidéoprotection en entreprise est considérée comme l’un des traitements les plus intrusifs en matière de vie privée. Elle peut s’exercer en continu, capter des comportements, des déplacements, des interactions, parfois à l’insu des personnes concernées. Elle touche donc à la liberté d’aller et venir, au droit au respect de la vie privée et au climat social interne.

C’est pourquoi la CNIL rappelle que ce traitement ne peut être mis en place que s’il est nécessaire, proportionné, et qu’aucune solution moins intrusive ne permet d’atteindre la même finalité.

La vidéosurveillance en entreprise doit rester une mesure de dernier recours

Avant toute mise en place de caméras de surveillance, l’employeur doit se poser la question suivante :

Est-ce que le même objectif peut être atteint par un moyen moins intrusif pour les salariés ?

Exemples de solutions alternatives :

  • Badge d’accès sécurisé
  • Présence humaine
  • Système d’alarme sans captation d’image
  • Télésurveillance déclenchée ponctuellement

Ce principe de proportionnalité est essentiel. Il est systématiquement examiné par la CNIL en cas de contrôle ou de réclamation.

 Vidéosurveillance en entreprise : ce que vous pouvez filmer et ce qui est interdit

Dans une entreprise, toutes les zones ne peuvent pas faire l’objet d’une surveillance par caméras. La réglementation encadrant la vidéosurveillance en entreprise impose des limites strictes pour garantir un équilibre entre sécurité, protection des biens et respect des droits des employés.

Zones pouvant faire l’objet de vidéosurveillance en entreprise

La mise en place d’un système de vidéosurveillance est possible dans certains lieux de travail spécifiques, à condition que l’objectif poursuivi soit clairement justifié :

  • sécurité des salariés, prévenir les vols, surveiller des lieux de stockage de biens de valeur, etc.

Les zones concernées peuvent être :

  • Les entrées et sorties des bâtiments (accès principal, portes de service)
  • Les issues de secours (dans un but de sécurité et de contrôle d’accès)
  • Les voies de circulation internes (couloirs, halls, ascenseurs)
  • Les locaux techniques ou informatiques sensibles
  • Les zones de stockage d’objets de valeur ou à risque (stock pharmaceutique, matériel sensible, etc.)

La finalité du dispositif de vidéosurveillance en entreprise doit toujours être explicite, pertinente et proportionnée. On ne filme pas « pour filmer » : il doit y avoir un risque identifié à prévenir.

Zones interdites ou sensibles

Certaines zones, considérées comme relevant de la vie privée ou du repos des employés, ne peuvent en aucun cas faire l’objet d’un dispositif de vidéosurveillance en entreprise, même pour des raisons de sécurité :

  • Postes de travail filmés en continu : il est strictement interdit de filmer un salarié à son poste sans justification exceptionnelle.
    Exemple : dans un commerce où un salarié manipule de l’argent, une caméra peut surveiller la caisse, mais jamais filmer directement et en continu le salarié. L’angle de la caméra doit viser uniquement l’objet de valeur (la caisse), pas la personne.
  • Sanitaires, vestiaires, douches : ces lieux bénéficient d’une protection absolue. Toute surveillance y est illégale.
  • Cafétérias, salles de repos, espaces de pause : même collectifs, ces lieux sont considérés comme relevant du repos des employés et de leur vie privée.
    Seule exception : une caméra peut éventuellement viser un distributeur régulièrement dégradé, sans filmer l’intégralité de la pièce.
  • Locaux syndicaux et bureaux des représentants du personnel : ces lieux bénéficient d’une protection renforcée au titre des libertés syndicales.
    Il est interdit de filmer les accès réservés à ces zones, même indirectement.

Installation de vidéosurveillance en entreprise : 4 règles clés à respecter

Installer un système de vidéosurveillance dans une entreprise ne se résume pas à placer des caméras aux bons endroits. Il s’agit d’un traitement de données encadré, qui impose à l’employeur de mettre en place une série de mesures juridiques, techniques et organisationnelles pour garantir la conformité au RGPD, au droit du travail, et aux recommandations de la CNIL.

Voici les 4 piliers essentiels à respecter lors de la mise en place d’un dispositif de vidéoprotection.

1. Restreindre l’accès aux images : sécurité et traçabilité du système obligatoires

Les images captées par un système de vidéosurveillance en entreprise ne peuvent être librement consultées par n’importe qui.

Qui peut accéder aux enregistrements ?

Seules les personnes expressément habilitées, dans le strict cadre de leurs missions professionnelles, peuvent avoir accès aux images enregistrées. Il s’agit généralement des personnes suivantes :

  • Le responsable sécurité,
  • La direction générale (en cas de besoin justifié),
  • Le responsable informatique.

Le nombre d’utilisateurs autorisés doit rester strictement limité.
L’accès aux vidéos ne doit jamais être généralisé ou accordé à l’ensemble du service RH, de l’encadrement ou du personnel informatique. Plus les personnes habilitées sont nombreuses, plus le risque de détournement, de fuite ou de consultation abusive augmente, ce que la CNIL sanctionne systématiquement.

Quelles garanties techniques doivent être mises en œuvre ?

  • Accès protégé par identifiant personnel et mot de passe robuste,
  • Journalisation des connexions (traçabilité complète de qui a accédé à quoi, et quand),
  • Suppression immédiate des droits d’accès en cas de changement de fonction ou de départ d’un salarié,
  • Accès depuis un réseau sécurisé, avec restriction géographique ou horaire si nécessaire.

En cas de contrôle, la CNIL exige que les personnes habilitées soient identifiées nominativement, que leurs droits d’accès soient justifiés, et que la politique de gestion des accès soit formalisée par écrit.

2. Ne pas enregistrer le son : une pratique strictement encadrée

L’enregistrement audio est interdit par principe dans le cadre professionnel.
Selon la CNIL, le son est une donnée encore plus intrusive que l’image, car il capte des échanges verbaux, des discussions confidentielles, voire des propos relevant de la vie privée.

Seules de très rares exceptions permettent la captation audio, par exemple :

  • Déclenchement manuel lors d’une alerte sécurité (agression verbale dans un lieu d’accueil) ;
  • Appareil couplé à un bouton d’urgence, dans un environnement à risque élevé (bijouterie, guichet bancaire).

Dans 99 % des cas, notamment pour la surveillance au travail, le son doit être désactivé sur tous les dispositifs.
Un système de caméras avec microphone activé sans justification claire constitue une violation manifeste du RGPD.

3. Respecter le temps de conservation des images de vidéoprotection : 30 jours maximum

La durée de conservation des images enregistrées est un point clairement encadré par la CNIL et régulièrement contrôlé.

Combien de temps peut-on conserver les images ?

  • 30 jours maximum, sauf cas exceptionnel dûment justifié (ex. : enquête interne en cours, procédure disciplinaire ou pénale).

Comment appliquer cette règle ?

  • Le système de vidéosurveillance doit prévoir une suppression automatique des enregistrements au-delà du délai autorisé (suppression ou écrasement).
  • La date de suppression doit être paramétrée dans le logiciel.
  • En cas de prolongation pour motif légitime, cela doit être documenté dans une note interne ou un PV RH.

Un temps de conservation illimité ou mal défini constitue un manquement grave. Plusieurs entreprises ont été sanctionnées pour avoir conservé des images pendant plusieurs mois sans justification ni base légale.

4. Consulter le CSE avant toute mise en place de la vidéosurveillance en entreprise

Le Comité Social et Économique (CSE) doit être consulté préalablement à toute installation de caméras de surveillance, même si ces caméras ne visent pas directement les salariés.

Pourquoi cette consultation est-elle obligatoire ?

Parce qu’un tel dispositif peut avoir un impact sur :

  • Les conditions de travail (stress, pression, sentiment de surveillance) ;
  • Le climat social et la relation employeur/employés ;
  • La liberté d’expression et la vie syndicale.

Que doit contenir la consultation ?

L’information du CSE doit être complète et documentée :

  • Finalités précises du dispositif, lieux filmés (avec plan si possible), modalités d’accès aux images, durée de conservation, etc.
Comité social d'entreprise en train de présenter la videosurveillance en entreprise.

Caméras orientées vers la voie publique : attention, autorisation préfectorale obligatoire

Lorsqu’un dispositif de vidéosurveillance en entreprise filme tout ou partie de la voie publique (trottoir, rue, place, entrée d’un bâtiment ouvert au public), la réglementation change.

En effet, filmer la voie publique relève d’un régime spécifique, encadré par le Code de la sécurité intérieure. Dans ce cas, l’installation du système ne dépend plus uniquement du RGPD, mais nécessite une autorisation de la préfecture.

Vous êtes concerné si, par exemple :

  • Une caméra filmant un parking capte aussi un trottoir ;
  • L’entrée de votre entreprise est sur une rue passante et la caméra dépasse l’emprise du bâtiment ;
  • Des images captent des allées et venues de personnes sur un lieu ouvert au public.

Informer les personnes filmées : une obligation centrale

Toute personne filmée sur son lieu de travail doit être clairement informée de la présence d’un système de surveillance.

Affichage à proximité des caméras de surveillance sur le lieu de travail

Un panneau visible et lisible doit être installé à l’entrée de chaque zone filmée. Il doit contenir :

  • L’existence du dispositif de vidéosurveillance,
  • La finalité du traitement (ex. : sécurité des biens et des personnes),
  • L’identité du responsable de traitement (en général, l’employeur),
  • Une mention des droits des personnes concernées (accès, opposition, limitation…),
  • Les modalités pour exercer ces droits (adresse email ou postale, téléphone).

Il doit être lisible, compréhensible et situé à hauteur d’œil, à l’entrée de la zone filmée.

La CNIL considère qu’un simple pictogramme de caméra sans texte explicatif n’est pas suffisant.

Information interne via la politique RH

Au-delà de l’affichage, les salariés doivent être informés par écrit via un document interne.

Cette information est généralement intégrée dans :

  • La politique de confidentialité RH,
  • Le livret d’accueil du salarié,
  • Ou une note d’information spécifique.

Cette documentation doit notamment préciser :

  • Les finalités détaillées du dispositif,
  • La base légale (souvent l’intérêt légitime),
  • Le temps de conservation des images (30 jours maximum, sauf exception),
  • Le nom et les coordonnées du DPO, s’il y en a un,
  • etc.

En cas de contrôle ou de réclamation, vous devez être en capacité de prouver que cette information a bien été transmise.

L’information est un droit fondamental des personnes filmées. Elle est aussi la première ligne de défense de l’entreprise en cas de litige ou de contrôle de la CNIL.

Sanctions de la CNIL en cas de manquements

Depuis plusieurs années, la CNIL renforce ses contrôles sur les dispositifs de vidéosurveillance en entreprise. Et les chiffres sont sans appel : la vidéosurveillance fait partie des traitements les plus régulièrement sanctionnés, notamment dans les secteurs du commerce, de la santé, des services et de l’hôtellerie.

En 2025, plusieurs décisions de sanctions simplifiées ont concerné des systèmes de caméras de surveillance non conformes au RGPD, pour un total de plus de 100 000 euros d’amendes cumulées.

Principaux manquements relevés par la CNIL

  1. Postes de travail filmés sans justification
  2. Temps de conservation dépassé (plus de 30 jours)
  3. Absence d’information des salariés (affiches manquantes, note RH absente)
  4. Accès aux images non sécurisé (absence de mot de passe, aucune traçabilité)

Conséquences pour l’entreprise

  • Mise en demeure
  • Sanction financière (jusqu’à plusieurs dizaines de milliers d’euros)
  • Atteinte à la confiance des salariés et des partenaires sociaux

Chaque manquement, même mineur, peut entraîner une vérification complète de l’ensemble des traitements mis en place dans l’entreprise.

Risques de plaintes des salariés : un danger souvent sous-estimé

Si les sanctions de la CNIL sont redoutées, beaucoup d’employeurs sous-estiment les conséquences RH internes d’un dispositif de vidéosurveillance mal cadré.

Dans les faits, les premiers signalements ne viennent pas de la CNIL… mais des salariés eux-mêmes, via les représentants du personnel, les syndicats, ou directement auprès du DPO ou du service RH.

Le salarié peut se plaindre dans plusieurs situations :

  • Il découvre qu’il est filmé sans en avoir été clairement informé ;
  • Il se sent surveillé à son poste de travail (caméra mal positionnée) ;
  • Il apprend que les images sont consultables par un grand nombre de personnes ;
  • Il constate que les caméras sont actives en continu, sans justification ;
  • Il n’a aucune visibilité sur la durée de conservation ou ses droits d’accès.

Que peut faire un salarié ?

Un salarié qui estime que ses droits sont bafoués a la possibilité de :

  • Adresser une demande d’accès ou d’opposition au traitement ;
  • Saisir le CSE pour poser des questions ou alerter sur un usage abusif ;
  • Porter réclamation directement auprès de la CNIL ;
  • Contester une sanction disciplinaire fondée sur des images non conformes ;
  • Aller jusqu’à engager une action prud’homale pour atteinte à ses droits.

Ce que la jurisprudence dit :

Les tribunaux ont déjà annulé :

  • Des licenciements appuyés sur des images captées sans information préalable ;
  • Des avertissements liés à des faits enregistrés dans des zones où la surveillance était jugée excessive ;
  • Des décisions RH fondées sur des enregistrements obtenus sans consultation du CSE.

Dans ces cas, l’image devient illégale, donc inutilisable, et l’entreprise se retrouve fragilisée juridiquement.

Un dispositif mal perçu ou mal compris peut rapidement devenir un sujet de tension sociale, voire de blocage, alors même que la finalité (sécurité, dissuasion, gestion des flux) est parfaitement légitime.

En traitant ce sujet en respectant les règles applicables en matière de protection des données et Code du travail, l’entreprise peut éviter des réclamations inutiles… et faire de la conformité un levier de confiance interne.

Un traitement à documenter dans votre registre des traitements

Tout système de télésurveillance en entreprise doit figurer dans le registre des traitements de données personnelles. Cette documentation doit inclure :

  • La finalité du dispositif
  • Les catégories de données collectées
  • La durée de conservation
  • Les mesures de sécurité mises en place

Ce registre constitue la première preuve de conformité en cas de contrôle de la CNIL.

Besoin d’un accompagnement ?

Chez Dipeeo, nous accompagnons plus de 450 entreprises, collectivités et structures de santé dans leurs projets de conformité RGPD, dont la mise en place de solutions de vidéoprotection.

Nos DPO externalisés vous aident à :

  • Cadrer votre projet de surveillance
  • Evaluer les risques
  • Rédiger les documents obligatoires

Notre mission : faire de la conformité un levier de confiance et de dialogue social, pas un facteur de blocage ou de conflit.

Vous avez un doute sur la conformité de votre dispositif de vidéosurveillance en entreprise ? Prenez contact avec l’un de nos experts RGPD RH.

Samia Rahammia
Samia Rahammia

Juriste IT et Data et Chargée de projets marketing

Liens utiles

Ressources

Autres

© 2025 Dipeeo, tous droits réservés
Conçu par l'agence Moiré