vidéo IA loi france

Choisir votre dispositif de vidéosurveillance ne dépend pas que du matériel, du prix et des dernières innovations embarquées en intelligence artificielle. En France, on ne peut pas tout filmer dès lors que l’on touche aux données intrinsèquement personnelles et il y a des règlementations à respecter comme le RGPD, le droit du travail et désormais règlement européen sur l’intelligence artificielle (AI Act).

“Combien coûte l’installation de vidéo surveillance ?” ne suffit pas. Il est nécessaire de s’interroger dès le cadrage de votre projet de mise en sécurité :« Que filme-t-on ? « Quel  niveau d’analyse automatisée est attendu ? », « où sont stockées les données et pendant combien de temps ? » ou encore « Qui administre le système » ? 

Vidéosurveillance ou vidéoprotection, quelle est la différence ?

Les entreprises utilisent généralement le terme de vidéosurveillance mais sur le plan réglementaire, le terme de vidéoprotection est plus approprié lorsque le dispositif vidéo filme la voie publique ou un lieu ouvert au public. Cette distinction n’est pas qu’une affaire de vocabulaire, cela conditionne les formalités, les autorités compétentes et les obligations applicables. (à lire Quels sont les règles ? Quels sont les droits des personnes filmée CNIL).  

Dès lors qu’une caméra filme la voie publique ou un lieu ouvert au public, le cadre du Code de la sécurité intérieure s’applique. Cela signifie qu’une autorité publique, une entreprise, un établissement public ou un commerçant peuvent, dans certains cas précis, filmer les abords immédiats de leurs sites ou de leurs commerces, à condition d’obtenir l’autorisation préfectorale. En cas de dispositif non autorisé, le préfet peut aller jusqu’à ordonner la fermeture provisoire d’un établissement ouvert au public.

À l’inverse, lorsqu’un système de sureté filme un lieu non ouvert au public comme un stock, la réserve, des ateliers, des bureaux ou des zones réservées au personnel, on entre dans le cadre du RGPD et du Code du travail. Dans ce cas, aucune formalité préalable n’est nécessaire mais le dispositif de vidéosurveillance doit être inscrit au registre des traitements, et le DPO doit être associé s’il existe ou si une AIPD est requise.

Dans tous les cas, un système vidéo ne peut être installé que pour une finalité légale et légitime et de manière nécessaire et proportionnée. La CNIL le rappelle explicitement dans le cadre des lieux de travail. Il est possible d’installer des caméras pour la sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, dégradations ou agressions, mais pas pour placer les salariés sous surveillance. A lire sur ce sujet vidéosurveillance – vidéoprotection au travail CNIL .

Ce que la loi impose aux entreprises en vidéo surveillance / Vidéoprotection

Déjà, vous devez informer les personnes qu’elles sont filmées et cela ne se résume pas à un autocollant « site placé sous vidéosurveillance ».

Premier sujet trop souvent sous-estimé, l’information des personnes filmées. La CNIL précise qu’un premier niveau d’information doit comporter au minimum un pictogramme caméra, l’identité du responsable du système, un résumé des finalités poursuivies, l’existence des droits des personnes concernées et un moyen simple d’accéder aux informations. Sur la voie publique et les lieux ouverts au public, l’affichage doit être permanent, compréhensible et indiquer comment demander l’accès aux images.

Autre sujet important, la durée de conservation des images. Sur la voie publique ou dans les lieux ouverts au public, les images sont conservées généralement un mois dans un endroit sécurisé, sauf si elles sont nécessaires à une enquête ou à une procédure judiciaire. Sur le lieu de travail, la durée ne doit pas excéder un mois en principe, en sachant qu’en règle générale, seuls quelques jours sont nécessaires pour faire les vérifications après un incident. Nos experts en sureté Copwell vous rappelle que conserver les images parce que « vous avez de l’espace de stockage » n’est pas du tout une bonne pratique en terme de politique conformité.

Troisième point important, qui peut accéder aux images ? La réponse est que seules les personnes habilitées dans le cadre de leurs fonctions peuvent visionner les images. L’accès aux images de vidéosurveillance doit être sécurisé. Ce n’est pas un flux ouvert, ni une application que tout le monde peut voir depuis un smartphone.

Autre contrainte règlementaire importante pour les entreprises, le lieu de travail n’est pas une zone de surveillance libre. Les caméras ne doivent pas filmer les salariés sur leur poste de travail, sauf exceptions par exemple lorsque l’employé manipule des sommes d’argent ou travaille dans une zone qui comporte des biens de valeur. Elles ne doivent pas filmer non plus les zones de pause ou de repos, les toilettes, ni les locaux syndicaux ou l’accès à ces locaux.

Cinquième point, la consultation interne. Avant l’installation de caméras, l’employeur doit consulter les représentants du personnel. Il doit aussi informer individuellement chaque salarié du dispositif de sureté mis en place (courrier, contrat de travail, règlement intérieur..), On est loin du simple achat matériel. Une caméra mal intégrée juridiquement peut devenir un problème social, RH et probatoire.

Enfin, lorsque le dispositif conduit à une surveillance systématique à grande échelle d’une zone accessible au public, une analyse d’impact relative à la protection des données (AIPD) est obligatoire. La CNIL rappelle que les dispositifs de vidéoprotection filmant des lieux ouverts au public doivent justifier leur nécessité, la proportionnalité et les mesures de réduction des risques avant déploiement.

L’IA change la nature du dispositif de vidéosurveillance

Une caméra “augmentée” n’est pas seulement une meilleure caméra incluant les dernières innovations en IA. C’est un dispositif qui utilise des traitements algorithmiques d’analyse automatisée d’images : détection d’événements, suivi d’objets, analyse de comportements, estimation de l’âge, détection d’anomalies, alertes temps réel, etc. Juridiquement, cela change tout car on ne se contente plus de capter des images et de les enregistrer, on les analyse.

La CNIL a d’ailleurs signifié qu’elle n’attendrait pas la généralisation de la reconnaissance faciale pour intervenir. En décembre 2024, elle a prononcé plusieurs mises en demeure après avoir contrôlé l’utilisation de logiciels d’analyse vidéo comme BriefCam par l’État et plusieurs communes. la CNIL n’a pas relevé d’usage de reconnaissance faciale, ce qui prouve que l’enjeu réglementaire n’est pas que liée à la biométrie. L’analyse vidéo algorithmique hors reconnaissance faciale est aussi un sujet de conformité à part entière.

Autre signal fort, en juillet 2025, la CNIL a estimé que l’usage de caméras augmentées pour estimer l’âge des clients dans les bureaux de tabac n’était ni nécessaire, ni proportionné. Cela illustre qu’au-delà de la technologie, il faut encore démontrer qu’elle est réellement utile au regard de l’objectif poursuivi et qu’elle n’ajoute pas une surveillance excessive et intrusive.

Ce que change l’AI Act en 2026

Le règlement européen sur l’intelligence artificielle, l’AI Act, est entré en vigueur le 1er août 2024. Les interdictions relatives aux systèmes d’IA à risque inacceptable s’appliquent depuis le 2 février 2025 et le 2 août 2026 marque l’entrée en application de l’essentiel du dispositif, notamment les règles relatives aux systèmes d’IA à haut risque de l’annexe III. Cette annexe vise en particulier des domaines comme la biométrie, les infrastructures critiques, l’emploi, l’accès à des services essentiels, l’application de la loi ou encore la justice.

La Commission européenne rappelle que certaines pratiques sont interdites, notamment l’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf exceptions très étroites prévues par la loi. Le débat sur la vidéo intelligente en Europe est un sujet de fond liée à la qualification des usages, la catégorisation des risques et les preuves de conformité.

Pour les entreprises privées, cela ne veut pas dire que toute vidéo avec IA est interdite. En revanche, plus un dispositif analyse, classe, détecte ou influence des décisions de sûreté, plus la documentation, la gouvernance et l’accountability deviennent importantes. Ainsi, selon le contexte, le lieu, la finalité et les personnes concernées, le projet peut relever d’exigences renforcées au titre du RGPD, de la CNIL et désormais de l’AI Act. C’est particulièrement vrai dès que l’on touche à la biométrie, aux espaces accessibles au public, aux contextes sensibles ou aux systèmes utilisés dans des environnements critiques.

Pourquoi le prix du matériel n’est pas que le seul critère de choix

Le coût d’un dispositif de sûreté ne se limite pas au matériel et à la pose. L’ANSSI a publié des recommandations spécifiques sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection, avec des chapitres consacrés à l’architecture, à l’identification et aux droits d’accès, à l’administration, à la maintenance, à la journalisation et à la supervision. Et cela concerne les systèmes de sécurité monosite comme multisites centralisés. Un système de sûreté connecté est aussi un système d’information à sécuriser.

Choisir un dispositif de sureté, c’est aussi choisir un mode d’accès distant, une chaîne de support, des comptes d’administration, des logs, des mises à jour et un niveau de dépendance.

Le sujet du cloud ajoute une couche supplémentaire. Dans ses recommandations 2024 sur l’hébergement dans le cloud, l’ANSSI rappelle que la sélection d’une offre doit être appréciée en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé. Elle cite aussi explicitement les enjeux liés aux lois extraterritoriales susceptibles d’imposer à certains hébergeurs de transmettre des données à leurs autorités nationales. Et elle rappelle que la qualification SecNumCloud sert précisément à identifier des offres de confiance dont l’usage est préconisé pour protéger des données sensibles.

Autrement dit, pour des environnements sensibles, le débat “français ou pas français ?” est un sujet d’exposition juridique, de chaîne de confiance, de résilience opérationnelle et de maîtrise de la dépendance. Dans certains contextes, notamment lorsque le système vidéo s’intègre à un SI plus large, à un contrôle d’accès centralisé, à des espaces sensibles ou à des opérations multisites, le choix d’un dispositif souverain (ou à minimum une architecture hébergée, supportée et administrée dans un cadre maîtrisé en France ou en Europe) est une décision de gestion du risque bien plus qu’un simple choix fournisseur.

Pourquoi la conformité doit aussi intégrer la cybersécurité

Les projets vidéo ont souvent été appréhendés comme des projets d’achat de matériel physique mais cela n’est plus suffisant. Le CNPP rappelle que la certification NF Service & APSAD pour la détection d’intrusion, la vidéosurveillance et le contrôle d’accès inclut la dimension cybersécurité selon le référentiel APSAD D32. De son côté, le référentiel D32 est explicitement présenté comme un document technique pour l’installation de systèmes de sécurité ou de sûreté sur un réseau informatique.

Cette évolution change aussi le rôle de l’acheteur et du décideur. Acheter “moins cher” un système plus opaque, difficile à maintenir ou administré depuis des environnements peu maîtrisés peut coûter beaucoup plus cher ensuite en termes de mise en conformité, en remédiation cyber, en contentieux social, en incident d’exploitation ou simplement en perte de maîtrise dans la durée. Le calcul économique doit donc intégrer le coût complet : matériel, logiciel, hébergement, cybersécurité, support, maintenance, réversibilité, conformité et gouvernance.

Les critères de choix de votre dispositif de sureté vidéo ?

Un projet vidéosurveillance ou de vidéoprotection ne se résume plus au nombre de caméras à installer. Il doit intégrer toutes ces dimensions devenues indispensables : Quelle est la finalité ? Quel périmètre filmé ? Quel niveau d’analyse automatisée ? Quelle informations collectées sur les personnes ? Quelle durée de conservation ? Quelle sécurisation des accès ? Quelle administration à distance ? Quel hébergement ? Quelle documentation de conformité ? Quells engagements de maintenance et de support ?

Un dispositif de sûreté n’est pas seulement là pour enregistrer des images, il doit être légal, maintenable, sécurisé et défendable lorsque surviendra le problème : incident, intrusion, audit, plainte, contentieux ou crise.

Pour aller plus loin :