MENU ▾

Loi Vidéosurveillance, RGPD & Vie Privée : Guide Légal Complet 2026 — CNIL, Déclaration, Stockage

Guide juridique expert 2026 : loi vidéosurveillance en France, déclaration CNIL, RGPD et caméras, respect de la vie privée, durée de conservation des données. Obligations et sanctions.

Introduction : La Caméra de Surveillance n’Est Jamais Hors-la-Loi par Ignorance

En France, la vidéosurveillance est encadrée par un corpus juridique dense, stratifié sur trois décennies de législation. La loi du 21 janvier 1995 relative à la sécurité, le Règlement Général sur la Protection des Données (RGPD) entré en application en mai 2018, la loi Informatique et Libertés dans sa version modifiée de 2018, et les dispositions du Code pénal relatives à la vie privée forment un cadre contraignant que tout installateur, professionnel ou particulier, se doit de maîtriser.

L’enjeu est loin d’être théorique. En 2025, la CNIL a prononcé plus de 90 millions d’euros de sanctions liées à des traitements vidéo non conformes — dont une part significative concerne des PME et des particuliers qui ignoraient simplement leurs obligations. La méconnaissance de la loi n’étant pas une circonstance atténuante devant les tribunaux français, ce dernier volet de notre série sur la sécurité électronique vous donne les clés pour rester du bon côté du droit — quel que soit votre système, de la caméra espion discrète au système PoE multi-caméras.

⚠ Avertissement Préalable

Ce guide est rédigé à des fins d’information générale et ne constitue pas un conseil juridique. La réglementation évolue régulièrement — notamment sous l’influence des décisions de la CNIL et des tribunaux européens. Pour toute installation sensible (commerce, immeuble collectif, établissement recevant du public), consultez un juriste ou un installateur certifié, et vérifiez les textes en vigueur sur legifrance.gouv.fr et cnil.fr.

Partie 1 · Explication Simple

Partie 1 : Qui Peut Filmer Quoi et Où ? — Les Règles de Base

La grande distinction : espace privé vs espace public

La première question à se poser avant toute installation est simple : qui va apparaître dans le champ de la caméra ? La réponse détermine l’essentiel de vos obligations légales.

Si la caméra ne filme que votre propriété privée — l’intérieur de votre maison, votre jardin clos, visible uniquement par vous et les membres de votre foyer — le cadre légal est minimal. Vous êtes dans la sphère du droit privé, libre de filmer votre propre espace sans autorisation particulière, sous réserve de ne pas enregistrer des espaces où les personnes présentes disposent d’une expectative de vie privée (chambre d’amis, toilettes).

Dès que le champ de la caméra déborde sur un espace accessible à des tiers — voie publique, couloir d’immeuble, parking commun, salle d’attente, local commercial — vous entrez dans le régime réglementé de la vidéoprotection (terme légal en France pour la vidéosurveillance de la voie publique) ou de la vidéosurveillance des lieux ouverts au public, soumis à des obligations déclaratives et parfois à des autorisations préalables.

Les trois régimes légaux en France

Régime 1

Usage Strictement Privé

  • Domicile personnel
  • Jardin privé non visible de l’extérieur
  • Aucune autorisation requise
  • RGPD non applicable*
  • Panneau non obligatoire
Régime 2

Usage Professionnel & Lieux Privés Ouverts au Public

  • Commerce, entrepôt, bureau
  • Parking privé d’entreprise
  • Information des salariés requise
  • RGPD pleinement applicable
  • Panneau obligatoire
  • Registre de traitements requis
Régime 3

Vidéoprotection de la Voie Publique

  • Caméras filmant la rue, trottoir
  • Réservé aux autorités publiques
  • Autorisation préfectorale obligatoire
  • Commission départementale compétente
  • Accès limité aux forces de l’ordre

* L’exception domestique du RGPD (article 2§2c) exclut les traitements purement personnels ou domestiques. Dès que les images sont partagées, transmises ou stockées sur un cloud tiers, cette exception peut ne plus s’appliquer.

Ce qu’il est interdit de filmer en toutes circonstances

Certaines zones sont absolument hors de portée de toute caméra, quelle que soit la qualité du filmeur :

  • Les lieux d’intimité : toilettes, vestiaires, douches, salles de bain — filmer ces espaces constitue une atteinte grave à la vie privée Art. 226-1 CP passible de deux ans d’emprisonnement et 60 000 € d’amende, même dans son propre établissement.
  • Les délégués syndicaux et représentants du personnel : filmer spécifiquement ces personnes dans le cadre de leurs fonctions est prohibé.
  • Les zones de vote et bureaux de scrutin : toute captation vidéo dans ou autour d’un bureau de vote est interdite pendant les opérations électorales.
  • Les enfants dans les espaces scolaires : l’installation de caméras dans les établissements scolaires est strictement encadrée et requiert des autorisations spécifiques du rectorat.
  • Les propriétés voisines : orienter une caméra de façon à filmer délibérément et de manière permanente la propriété d’un voisin constitue une atteinte à la vie privée, même depuis son propre terrain.
« En France, le droit à la vie privée n’est pas une valeur abstraite — c’est un droit fondamental constitutionnellement protégé, dont la violation engage des responsabilités pénales, civiles et administratives simultanées. »
Partie 2 · Expertise Technique & Juridique

Partie 2 : RGPD, CNIL et Obligations Légales — L’Analyse Experte

Le RGPD appliqué à la vidéosurveillance : principes fondamentaux

Le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) s’applique à tout traitement de données personnelles — et une image vidéo permettant d’identifier une personne physique est, par définition, une donnée personnelle au sens de l’article 4§1 du règlement.

Dès lors, toute installation de vidéosurveillance professionnelle ou semi-professionnelle doit respecter les six principes fondateurs du RGPD :

Les 6 Principes RGPD Appliqués à la Vidéosurveillance

Licéité, loyauté, transparence : la base légale du traitement doit être explicite (intérêt légitime, obligation légale, ou consentement). Les personnes filmées doivent être informées via un panneau visible.

Limitation des finalités : les images ne peuvent être utilisées qu’aux fins déclarées (sécurité des biens et des personnes). Les réutiliser à des fins de surveillance du comportement des salariés non déclarée est illégal.

Minimisation des données : ne filmer que les zones strictement nécessaires. Éviter de couvrir des espaces sans rapport avec la finalité de sécurité déclarée.

Exactitude : les horodatages et métadonnées des enregistrements doivent être corrects et maintenus à jour.

Limitation de la conservation : les images ne peuvent être conservées au-delà de la durée nécessaire — 30 jours maximum dans la grande majorité des cas en France.

Intégrité et confidentialité : les enregistrements doivent être sécurisés contre les accès non autorisés — chiffrement, contrôle d’accès, journalisation des consultations.

Déclaration CNIL : qui est concerné et comment procéder ?

Depuis l’entrée en vigueur du RGPD en 2018, le régime de déclaration préalable obligatoire à la CNIL a été largement remplacé par un système d’accountability (responsabilisation) : le responsable du traitement n’est plus tenu de déclarer systématiquement son système à la CNIL, mais doit être en mesure de démontrer sa conformité à tout moment.

Concrètement, cela se traduit par les obligations suivantes :

  • Tenir un registre des traitements Art. 30 RGPD : document interne listant le système de vidéosurveillance, sa finalité, les catégories de données traitées, la durée de conservation et les mesures de sécurité. Obligatoire pour toute organisation de plus de 250 salariés, fortement recommandé en-deçà.
  • Réaliser une Analyse d’Impact (AIPD) Art. 35 RGPD : obligatoire si le système présente des risques élevés pour les droits des personnes — notamment pour la vidéosurveillance couvrant des espaces publics, des zones à fort passage ou des données biométriques (reconnaissance faciale).
  • Désigner un DPO (Délégué à la Protection des Données) : obligatoire pour les organismes publics et les entreprises dont l’activité principale implique un suivi régulier et systématique des personnes à grande échelle.
  • Notifier les violations de données Art. 33-34 RGPD : tout accès non autorisé aux enregistrements, toute fuite de vidéos ou intrusion dans le système doit être notifié à la CNIL dans les 72 heures, et aux personnes concernées si le risque est élevé.
⚠ Exception : Autorisation Préfectorale Toujours Requise

Malgré la disparition de la déclaration CNIL préalable, l’autorisation préfectorale reste obligatoire pour tout système filmant la voie publique ou des lieux ouverts au public, en application de la loi du 21 janvier 1995. Cette autorisation est délivrée par le préfet de département après avis de la commission départementale de vidéoprotection. Elle est distincte et complémentaire aux obligations RGPD.

Sont concernés : commerces filmant le trottoir devant leur vitrine, systèmes d’entrée d’immeuble visible depuis la voie publique, parkings ouverts au public, établissements recevant du public (ERP).

Durée de conservation des enregistrements : les règles précises

La durée de conservation des images est l’une des obligations les plus souvent violées — et l’une des plus facilement sanctionnées. La CNIL a établi des durées maximales précises selon le contexte :

Usage résidentiel privé

Aucune durée légale fixée — mais la CNIL recommande de ne pas dépasser 7 à 30 jours en enregistrement en boucle. Au-delà, le principe de minimisation du RGPD est difficile à justifier.

7–30 jours

Lieux ouverts au public, commerces, ERP

La CNIL fixe la durée maximale de droit commun à 30 jours. Les images doivent être effacées automatiquement au-delà, sauf conservation dans le cadre d’une procédure judiciaire en cours.

30 jours max

Banques, établissements financiers, casinos

Des durées dérogatoires peuvent être accordées jusqu’à 3 mois par le préfet, en raison du risque particulier de ces établissements et des délais de dépôt de plainte.

Jusqu’à 3 mois

Procédure judiciaire en cours

Les enregistrements pertinents pour une enquête ou une procédure judiciaire peuvent être conservés au-delà des délais normaux, sur instruction du procureur ou du juge d’instruction. Hors réquisition judiciaire, leur conservation prolongée reste illégale.

Sur réquisition

Droits des personnes filmées : ce qu’elles peuvent exiger

Toute personne filmée par un système de vidéosurveillance dispose de droits précis, directement issus du RGPD et de la loi Informatique et Libertés :

📋 Droit d’information

Être informée de l’existence du système, de sa finalité, de la durée de conservation et de l’identité du responsable — via un panneau visible à l’entrée de la zone filmée.

👁 Droit d’accès

Obtenir communication des images la concernant, dans un délai de 30 jours suivant la demande, à condition que cela ne révèle pas d’images de tiers.

🗑 Droit à l’effacement

Demander la suppression de ses images, sauf si leur conservation est justifiée par une obligation légale ou une procédure judiciaire en cours.

🚫 Droit d’opposition

S’opposer au traitement de ses données pour des motifs légitimes tenant à sa situation particulière, si la base légale est l’intérêt légitime du responsable.

📤 Droit à la portabilité

Applicable de façon limitée en vidéosurveillance — principalement lorsque le traitement repose sur le consentement ou un contrat.

⚖️ Droit de réclamation

Saisir la CNIL d’une plainte si les droits ne sont pas respectés — via plainte.cnil.fr. La CNIL peut alors ouvrir une enquête et prononcer des sanctions.

Le cas particulier de la vidéosurveillance en milieu professionnel

La vidéosurveillance des salariés est un terrain miné juridiquement. Si un employeur peut légitimement installer des caméras pour protéger ses locaux et ses biens, il ne peut en aucun cas les utiliser pour surveiller de manière permanente l’activité et les performances de ses employés — ce qui constituerait un contrôle disproportionné contraire au droit du travail.

Les obligations spécifiques en milieu professionnel incluent : l’information préalable et individuelle de chaque salarié (remise d’une notice d’information) Art. L1222-4 CT, la consultation obligatoire du Comité Social et Économique (CSE) avant installation Art. L2312-38 CT, et l’interdiction formelle de filmer les zones de pause et de repos des salariés.

Des images extraites d’un système de vidéosurveillance peuvent servir de preuve dans une procédure disciplinaire — mais uniquement si le système a été régulièrement déclaré et si le salarié en avait été préalablement informé. Une preuve obtenue illicitement est irrecevable et peut se retourner contre l’employeur.

Sanctions : le prix de la non-conformité

Infraction Régime Sanction maximale Référence
Captation d’image sans consentement dans un lieu privé Pénal 2 ans + 60 000 € Art. 226-1 CP
Violation grave du RGPD (absence de base légale, conservation excessive…) Administratif CNIL 20 M€ ou 4 % CA mondial Art. 83 RGPD
Violation mineure du RGPD (information insuffisante, registre manquant…) Administratif CNIL 10 M€ ou 2 % CA mondial Art. 83 RGPD
Installation sans autorisation préfectorale (voie publique) Pénal 3 ans + 45 000 € Loi 1995, Art. 10 L
Atteinte à la vie privée (image filmée diffusée sans consentement) Pénal + civil 1 an + 45 000 € + dommages-intérêts Art. 226-1 CP
Non-information des salariés avant installation Civil / Travail Nullité de la preuve + prud’hommes Art. L1222-4 CT
Reconnaissance faciale sans base légale explicite Administratif CNIL 20 M€ ou 4 % CA mondial Art. 9 RGPD
⚠ Reconnaissance Faciale : Ligne Rouge en 2026

La reconnaissance faciale constitue un traitement de données biométriques Art. 9 RGPD — une catégorie spéciale dont le traitement est en principe interdit sauf dérogation explicite. En France, son déploiement à des fins de vidéosurveillance par des acteurs privés est quasiment impossible légalement en 2026, hors cadre expérimental très encadré.

Le débat législatif autour du règlement européen sur l’IA (AI Act, entré progressivement en vigueur depuis 2024) a renforcé ces restrictions. Les systèmes d’identification biométrique à distance en temps réel dans les espaces publics sont classés à haut risque et soumis à des exigences de conformité extrêmement strictes.

Partie 3 · Guide de Mise en Conformité

Partie 3 : Se Mettre en Conformité — Checklist Pratique et Erreurs à Éviter

Checklist de conformité légale pour une installation de vidéosurveillance

  • Identifier la base légale du traitement (intérêt légitime pour la sécurité des biens est la plus courante pour les professionnels — à documenter avec une mise en balance des intérêts).
  • Réduire le champ de vision au strict nécessaire : configurer l’angle, le zoom et le masquage de zones (privacy masking) pour exclure les espaces sans lien avec la finalité sécuritaire déclarée.
  • Installer des panneaux d’information conformes à la recommandation CNIL : format A5 minimum, visible à l’entrée de toute zone filmée, mentionnant la finalité, le responsable du traitement, la durée de conservation et les droits des personnes.
  • Paramétrer la suppression automatique des enregistrements au terme de la durée de conservation choisie (30 jours maximum en règle générale) — via l’interface du NVR, du DVR ou du cloud.
  • Sécuriser l’accès au système : authentification forte (mot de passe robuste + authentification à deux facteurs), contrôle d’accès par rôles, journalisation des connexions et consultations.
  • Mettre à jour le registre des traitements avec les caractéristiques précises du système (nombre de caméras, zones couvertes, durée de conservation, mesures de sécurité).
  • Informer préalablement les salariés (milieu professionnel) par écrit, et consulter le CSE avant toute installation ou modification substantielle.
  • Demander l’autorisation préfectorale si le champ de la caméra inclut la voie publique ou des espaces ouverts au public — via le formulaire Cerfa n°13806 ou le téléservice dédié.
  • Réaliser une AIPD si le système présente un risque élevé (grande échelle, espaces publics, technologies d’analyse automatisée).
  • Définir une procédure de réponse aux demandes d’exercice de droits et aux violations de données (qui répond, dans quel délai, comment).

Les 5 erreurs légales les plus fréquentes

  • Filmer la voie publique sans autorisation préfectorale : c’est l’erreur la plus répandue chez les commerçants qui orientent leur caméra vers le trottoir. L’infraction est facilement caractérisable et régulièrement constatée lors des contrôles préfectoraux.
  • Conserver les images plus de 30 jours sans dérogation : les NVR et DVR configurés par défaut à 60 ou 90 jours de conservation placent automatiquement leur exploitant en violation du RGPD. Vérifiez et réduisez la durée de rétention dès l’installation.
  • Diffuser des extraits vidéo sur les réseaux sociaux sans flouter visages et plaques : même à des fins de dénonciation d’un acte délictueux, la diffusion d’images de personnes identifiables sans leur consentement constitue une atteinte au droit à l’image — et peut faire de vous le seul mis en cause si la procédure pénale ne vous donne pas raison.
  • Installer une caméra espion dans un espace partagé sans information ni consentement des autres occupants : un locataire installant une mini caméra cachée dans un espace commun de colocation s’expose à des poursuites pénales pour atteinte à la vie privée.
  • Exporter les données vers un cloud hors UE sans garanties : stocker les enregistrements sur un serveur cloud américain ou asiatique constitue un transfert de données hors UE soumis aux garanties de l’article 46 RGPD (clauses contractuelles types, décision d’adéquation). Amazon AWS et Microsoft Azure disposent de régions européennes qui résolvent ce point — vérifiez la localisation des données dans les CGU de votre fournisseur cloud.
✓ Ressources Officielles à Consulter

🔗 CNIL — Guide pratique vidéosurveillance : cnil.fr/fr/la-videosurveillance

🔗 Légifrance — Loi n°95-73 du 21 janvier 1995 (vidéoprotection) : legifrance.gouv.fr

🔗 Service-Public.fr — Demande d’autorisation préfectorale : service-public.fr/professionnels

🔗 AI Act EU — Règlement sur l’IA et systèmes biométriques : artificialintelligenceact.eu

🔗 EDPB — Lignes directrices sur la vidéosurveillance (European Data Protection Board) : edpb.europa.eu

📎 Retrouvez l’Ensemble de Notre Série Sécurité Électronique

FAQ — Questions Fréquentes sur la Loi Vidéosurveillance et le RGPD

Faut-il déclarer sa caméra de surveillance à la CNIL en 2026 ?

Depuis le RGPD, la déclaration préalable à la CNIL est supprimée pour la majorité des cas, remplacée par l’obligation de tenir un registre des traitements. En revanche, l’autorisation préfectorale reste obligatoire si le système filme la voie publique ou des espaces ouverts au public. Cette obligation subsiste pleinement en 2026.

Combien de temps peut-on légalement conserver les enregistrements vidéo ?

La durée maximale recommandée est de 30 jours pour les lieux professionnels. Pour un usage résidentiel privé, aucune durée fixe n’est imposée, mais le principe de minimisation s’applique. Des dérogations préfectorales jusqu’à 3 mois existent pour certains sites sensibles. Conserver des images au-delà sans motif expose à des sanctions.

Un employeur peut-il installer des caméras pour surveiller ses salariés ?

Oui pour la sécurité des biens, mais non pour une surveillance permanente et individuelle du travail. L’employeur doit informer les salariés par écrit et consulter le CSE. Les zones de repos sont strictement interdites. Une preuve obtenue via un système non déclaré est irrecevable en justice.

Puis-je utiliser la vidéo de ma caméra comme preuve en justice ?

Oui, si l’installation est légale. En procédure civile, la preuve est libre si elle est authentique. En procédure pénale, elle doit être licite : un enregistrement violant la vie privée peut être rejeté et se retourner contre vous. L’horodatage et les métadonnées renforcent la valeur de la preuve.

Quelles sont les sanctions encourues pour une installation illégale de caméras ?

Les sanctions pénales peuvent atteindre 2 ans de prison et 60 000 € d’amende pour atteinte à la vie privée. Sur le plan administratif, la CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros pour violation grave du RGPD. Des dommages-intérêts civils peuvent s’y ajouter.