souveraineté vidéosurveillance

Vous avez installé des caméras pour surveiller vos sites. Mais savez-vous où sont stockées vos images, sous quelle loi elles tombent et qui pourrait y accéder sans vous prévenir ? Dans la grande majorité des dispositifs déployés en France, la réponse n’est pas rassurante du tout.

La plupart des logiciels de gestion vidéo (VMS) installés en France sont d’origine chinoise ou américaine. En clair, cela signifie que vos images, vos enregistrements et vos données d’accès peuvent être consultés sans que vous le sachiez. Et en cas de problème, vous n’avez pas vraiment de recours possible. Lorsque vous choisissez un dispositif de vidéosurveillance, au delà du modèle de la caméra, il est essentiel de surtout regarder de plus près le VMS,

Pendant longtemps, seuls les DSI et les responsables sûreté (RSSI) se sentaient concernés. Aujourd’hui, la souveraineté des données vidéo relève de la conformité règlementaire (RGPD, NIS2). C’est aussi un enjeu de cybersécurité et de responsabilité juridique qui engage les dirigeants. Décryptage et recommandations par nos experts Copwell.

Une vidéosurveillance souveraine, c’est quoi ?

Généralement, on confond deux choses, le matériel (les caméras) et le système de traitement (le VMS). Le Video Management System est le logiciel qui enregistre, stocke et donne accès aux flux des images. La souveraineté relève surtout du VMS et de l’hébergement. C’est ce qui détermine qui peut légalement exiger l’accès à vos images et devant quel tribunal vous pourrez vous retourner s’il y a un problème.

À retenir

Une vidéosurveillance est dite souveraine lorsque son logiciel de gestion (VMS) est édité, hébergé et maintenu sous juridiction française. Les images et les enregistrements restent stockés en France, sous droit français, sans dépendance à une législation étrangère (Cloud Act américain, lois chinoises) ni à une infrastructure soumise à ces régimes.

La plupart des VMS ne sont pas souverains

Le marché de la vidéoprotection en France est largement dominé par quelques fabricants chinois et par des plateformes cloud américaines. Le rapport qualité-prix est imbattable, l’adoption est massive … mais la dépendance aussi.

Le Cloud Act, l’angle mort américain

Depuis 2018, le Cloud Act autorise l’autorité fédérale américaine à accéder à des données détenues par un fournisseur de droit américain, même si les serveurs sont physiquement situés en Europe ou en France. Cela concerne tout VMS hébergé sur AWS, Azure US ou Google Cloud, quelle que soit la nationalité de l’éditeur du logiciel. L’hébergement en Europe n’est donc pas suffisant comme garantie, il faut regarder la juridiction du fournisseur de VMS.

Vulnérabilités et restrictions, l’angle mort chinois

Les équipements Hikvision et Dahua sont par exemple interdits à l’achat pour les agences fédérales américaines depuis la loi NDAA (2019) et ils sont sur la « Covered List » de la FCC. Les restrictions se sont encore durcies fin 2025-début 2026 avec un retrait massif des produits chez les distributeurs. Des vulnérabilités critiques ont été documentées, permettant un accès distant non autorisé aux flux vidéo , et d’autres pays comme le Royaume-Uni et l’Inde renforcent à leur tour leurs règles.

En France, ces équipements ne sont pas interdits pour le secteur privé à date mais ils sont sous vigilance de l’ANSSI. Quoi qu’il soit sur le plan international, la tendance est renforcement règlementaire, une plus grande vigilance de la part des assureurs et l’interdiction dans les secteurs d’activité sensibles.

Un système vidéo, c’est un système d’information

On n’y pense pas forcément car on le résume aux caméras visibles mais un dispositif de vidéoprotection est un système d’information à part entière. Et à ce titre, il est concerné par plusieurs règlementations :

  • RGPD : Vos images sont des données personnelles. Une violation issue d’un système vidéo expose à des amendes pouvant atteindre 4 % du chiffre d’affaires mondial (ou 20 M€).
  • NIS2 : La directive européenne, dont la transposition française est en cours de finalisation via la loi « Résilience », élargit massivement le périmètre des entités soumises à des obligations de cybersécurité. L’ANSSI a publié son référentiel ReCyF début 2026 et le VMS fait partie du SI à sécuriser. Sanctions jusqu’à 10 M€ ou 2 % du CA mondial pour les entités essentielles.
  • Cadres sectoriels : HDS pour les données de santé, IGI 1300 / II 901 pour les sites sensibles et la défense, LPM pour les opérateurs d’importance vitale (OIV).

Le conseil Copwell

Plusieurs éditeurs français revendiquent la souveraineté. Notre critère de tri chez Copwell : hébergement en France, audit cybersécurité documenté, chiffrement de bout en bout et responsabilité engageable en droit français. C’est ce qui nous a fait retenir MA2 et sa solution VXCore.

En cas d’incident, quel recours ?

Si vos enregistrements sont compromis, exfiltrés ou rendus indisponibles via un VMS d’origine étrangère, soyons réalistes, il n’existe pas vraiment de recours possibles. Les contrats de ces éditeurs comportent presque systématiquement des clauses limitatives de responsabilité, soumises à des juridictions étrangères. En clair, vous ne pouvez ni faire valoir vos droits, ni engager la responsabilité de qui que ce soit.

Avec un VMS souverain, le contrat est français, le droit applicable est français et la responsabilité est engageable.

Votre installation de vidéosurveillance date ?

Chez beaucoup de nos clients, le VMS a été installé il y a des années et n’a jamais fait l’objet d’un audit de sécurité applicatif. On se retrouve par exemple avec des mots de passe par défaut qui n’ont jamais été changés, des accès distants non sécurisés et des mises à jour jamais faites. S’il n’y pas eu de maintenance sur le VMS, c’est une porte d’entrée idéale pour une cyberattaque réussie sur le réseau de l’entreprise. Et la caméra qui était sensée vous protéger devient source de vulnérabilité.

Comment reconnaître un VMS souverain ?

Voici les différents critères vérifiés concrets, nous vous conseillons de les demander par écrit à votre intégrateur :

  1. Éditeur du VMS français ou européen, et pas seulement un revendeur d’une solution étrangère.
  2. Images et enregistrements hébergés en France, sous juridiction française.
  3. Aucune dépendance à une infrastructure soumise au Cloud Act, cloud de droit américain.
  4. Audit de cybersécurité documenté par un tiers, selon les standards de l’ANSSI.
  5. Chiffrement de bout en bout (AES-256), VPN dédié, double authentification.
  6. Contrat de droit français, responsabilité engageable.
  7. Maintenance et mises à jour assurées depuis la France.

Critère ✕  VMS non souverain ✓  VMS souverain
Hébergement des données Accessibles sous loi étrangère (Cloud Act) Hébergées et stockées en France
Éditeur & conformité Sous restrictions / vigilance ANSSI Audité selon les standards de l’ANSSI
Sécurité Aucun audit documenté Chiffrement AES-256 + double authentification
Cadre juridique Contrat et juridiction étrangers, recours quasi nul Contrat de droit français, responsabilité engageable

MA2, l’alternative 100% française

Copwell est partenaire de MA2 et déploie VXCore, une solution VMS 100 % française développée, hébergée et maintenue en France, et auditée par SEKOIA selon les standards de l’ANSSI. Les images et les enregistrements restent sous juridiction française, le chiffrement est de bout en bout et la couverture multi-sites se pilote depuis une interface unique.

Exemples de de cas d’usages clients :

  • Établissement de santé / Hôpital. Les données de santé sont parmi les plus sensibles au regard du RGPD. Un VMS souverain hébergé en France, avec gestion des droits d’accès par profil et chiffrement de bout en bout, permet de protéger les images des patients tout en restant exploitable au quotidien par les équipes.
  • Site multi-bâtiments à fort enjeu de sûreté. Parkings exposés, zones de stockage, contrôle des accès ; nous avons installé des caméras thermiques en extérieur, une lecture de plaques aux points d’entrée et une alarme certifiée NFA2P, le tout piloté depuis une interface unique et adossé à un VMS dont les enregistrements ne quittent pas le territoire français.
En résumé
Les points essentiels à retenir sur la vidéosurveillance et la souveraineté
Qu’est-ce qu’un VMS souverain ?
Un VMS souverain est un logiciel de gestion vidéo édité, hébergé et maintenu sous juridiction française. Les images et enregistrements restent stockés en France, sous droit français, sans exposition à une législation étrangère comme le Cloud Act américain ou les lois chinoises.
Les caméras Hikvision sont-elles interdites en France ?
Non, il n’existe pas à ce jour d’interdiction générale pour le secteur privé en France. Mais ces équipements sont interdits d’achat pour les agences fédérales américaines (loi NDAA 2019), figurent sur la « Covered List » de la FCC, restent sous vigilance de l’ANSSI et présentent des vulnérabilités documentées. La prudence est de mise, surtout pour les sites sensibles.
Le Cloud Act s’applique-t-il si mes serveurs sont en Europe ?
Oui. Le Cloud Act permet à une autorité américaine d’exiger l’accès aux données détenues par un fournisseur de droit américain, même si les serveurs sont physiquement en Europe. Ce qui compte, c’est la juridiction du fournisseur, pas la localisation des serveurs.
La vidéosurveillance est-elle concernée par le RGPD et NIS2 ?
Oui. Les images sont des données personnelles au sens du RGPD (amendes jusqu’à 4 % du CA mondial). Et un dispositif vidéo est un système d’information : à ce titre, il entre dans le périmètre de NIS2 et des référentiels ANSSI pour les entités concernées.
Comment savoir si mon installation actuelle est souveraine ?
Vérifiez sept points : l’éditeur du VMS, le lieu d’hébergement des images, l’absence de dépendance au Cloud Act, l’existence d’un audit cybersécurité documenté, le chiffrement, la juridiction du contrat et le lieu de la maintenance. En cas de doute, un audit sécurité sur site lève toutes les ambiguïtés.
Audit sécurité sur site — offert
Savez-vous ce que votre installation vidéo couvre vraiment ?

Couverture des zones sensibles, architecture du VMS, hébergement des données, conformité réglementaire et ANSSI : Copwell fait le point avec vous, sans engagement.

Demander mon audit sécurité gratuit →

01 41 83 43 60  ·  www.copwell.fr  ·  202 Quai de Clichy, 92110 Clichy