Audit interne d’un système de vidéosurveillance CCTV : comment vérifier la conformité au RGPD en 8 étapes
L’audit interne d’un système de vidéosurveillance CCTV est un examen structuré du processus existant de collecte, de conservation, de mise à disposition et d’anonymisation des images, dont l’objectif est de vérifier si l’organisation limite les risques pour les personnes visibles sur les enregistrements et agit conformément aux exigences du RGPD ainsi qu’au principe de minimisation des données. En pratique, un tel audit ne sert pas à concevoir un nouveau système de surveillance. Il sert à évaluer ce qui fonctionne déjà : les caméras, la durée de conservation, les mentions d’information, les habilitations, le traitement des demandes et la qualité de l’anonymisation des contenus visuels.
Cette distinction est essentielle. Une checklist de déploiement répond à la question de savoir comment mettre en service le système. Un audit, lui, répond à la question de savoir si le système actuel peut résister à un contrôle, à un incident ou à une demande d’une personne dont l’image a été enregistrée.
En quoi consiste la conformité CCTV au RGPD pour les images ?
Dans le contexte des photos et des vidéos, les données à caractère personnel ne se limitent pas à un portrait net du visage. Il s’agit aussi de toute image permettant d’identifier une personne, directement ou indirectement. C’est pourquoi l’examen de conformité doit se concentrer sur le contenu visuel, et pas seulement sur les réglages de l’enregistreur. En pratique, les organisations analysent le plus souvent quatre domaines : l’étendue du champ de vision des caméras, la transparence à l’égard des personnes filmées, la durée de conservation et la méthode d’anonymisation avant publication ou communication.
Il est utile ici de clarifier certains termes. La visual data anonymization désigne un traitement d’une photo ou d’un enregistrement tel qu’il ne soit plus possible d’identifier une personne et, dans certains cas, également un véhicule ou son propriétaire à partir de l’image. Les techniques les plus courantes sont le face blurring et le license plate blurring. Dans les environnements locaux, on envisage aussi souvent un on-premise software, c’est-à-dire un logiciel fonctionnant dans l’infrastructure de l’organisation, sans nécessité d’envoyer les fichiers hors de son environnement.
Si l’audit inclut également l’évaluation d’outils d’anonymisation pour les archives photo et vidéo, Gallio PRO peut constituer un bon point de référence comme solution de travail sur les images et les enregistrements vidéo. Du point de vue de la conformité, il est important de noter que le logiciel floute automatiquement uniquement les visages et les plaques d’immatriculation, ne masque pas les silhouettes entières, n’effectue pas d’anonymisation en temps réel ni sur flux vidéo, et, selon la déclaration du fabricant, n’enregistre pas de logs contenant des données de détection ni des données à caractère personnel.
Que faut-il vérifier lors de l’audit d’un système CCTV existant ? 8 étapes
1. Inventaire des caméras et des champs de vision
La première action est simple à vérifier : il faut établir une cartographie à jour des caméras, leur attribuer un emplacement, des finalités de traitement, le responsable du système, puis déterminer quelles zones sont réellement couvertes par l’image. L’auditeur ne doit pas se fonder sur une documentation datant de plusieurs années. Il faut contrôler physiquement l’aperçu en direct ou des extraits d’enregistrements.
Le résultat de l’audit doit répondre à des questions concrètes : la caméra couvre-t-elle uniquement la zone nécessaire ? Filme-t-elle aussi le trottoir, la voie publique, les fenêtres d’immeubles voisins ou l’espace de pause des salariés ? Si le champ de vision dépasse ce qui est nécessaire, les organisations y voient souvent un premier signal de non-conformité au principe de minimisation prévu à l’article 5 du RGPD [1].
2. Vérification de la base juridique et de la finalité de chaque caméra
La deuxième étape consiste à rapprocher chaque caméra de sa finalité de traitement. Dans les systèmes existants, un problème fréquent réside dans le fait que la vidéosurveillance a été installée pour des raisons de sécurité, mais qu’avec le temps les enregistrements sont aussi utilisés à des fins d’image, de promotion ou de formation sans analyse distincte. Cela ne doit pas être présumé automatiquement.
Si l’organisation publie des extraits d’images issues de la vidéosurveillance, l’audit doit distinguer deux étapes : l’enregistrement lui-même et la publication ultérieure. Ce sont deux moments de risque différents. L’obligation d’anonymiser les visages ne découle pas directement d’une seule disposition du RGPD, mais de la nécessité de disposer d’une base juridique valable, de respecter la minimisation des données et les droits des personnes, ainsi que, lors de la diffusion de l’image, des règles applicables en matière de droit civil et de droit d’auteur. Il existe toutefois 3 exceptions :
- il s’agit d’une personne connue du public, et l’image a été captée dans le cadre de l’exercice de fonctions publiques, notamment politiques, sociales ou professionnelles,
- l’image de la personne ne constitue qu’un élément accessoire d’un ensemble, tel qu’un rassemblement, un paysage ou un événement public,
- la personne a reçu la rémunération convenue pour poser, sauf stipulation expresse contraire.
3. Vérification des mentions d’information et du marquage des zones surveillées
La troisième étape est entièrement auditable, car elle peut être confirmée par une photo de la signalétique et comparée à l’obligation de transparence issue des articles 12 et 13 du RGPD [1]. Il faut vérifier que la personne entrant dans une zone sous vidéosurveillance reçoit une information en plusieurs niveaux : d’abord un message bref à l’entrée, puis une mention complète dans un endroit facilement accessible.
Dans l’audit, il est utile de relever non seulement la présence des panneaux, mais aussi leur contenu. Les lacunes typiques sont l’absence d’identification du responsable du traitement, l’absence de finalité, l’absence d’information sur la conservation et l’absence d’information sur les droits des personnes. Dans les systèmes utilisés depuis longtemps, on trouve souvent des messages antérieurs à la mise à jour des procédures, qui ne correspondent plus aux pratiques actuelles de conservation et de communication des enregistrements.
4. Contrôle de la durée de conservation des enregistrements et de la suppression automatique
La quatrième étape doit s’appuyer sur des données techniques, et non sur de simples déclarations. Il faut vérifier les paramètres de conservation dans l’enregistreur, la politique d’écrasement, les exceptions à la suppression, ainsi que l’existence d’un circuit de conservation distinct pour les contenus gelés dans le cadre d’un dossier précis. Dans ses lignes directrices sur les dispositifs vidéo, l’EDPB souligne l’importance de limiter la durée de conservation au strict minimum nécessaire [2].
Le problème le plus fréquent dans les systèmes existants n’est pas une conservation trop courte, mais son allongement non maîtrisé. Si les enregistrements sont conservés plus longtemps que ne le justifie la finalité, l’audit doit signaler cet écart et les preuves de son existence, par exemple des captures de configuration ou la logique des exportations d’archives.
Domaine de contrôle | Élément à vérifier | Preuve d’audit | Risque typique |
|---|---|---|---|
Périmètre de l’image | La caméra ne couvre-t-elle pas des zones excessives ? | Capture d’aperçu, plan des caméras | Atteinte excessive à la vie privée |
Transparence | La signalétique et la mention complète sont-elles présentes ? | Photo du panneau, texte de la mention | Manquement à l’obligation d’information |
Conservation | La durée de conservation est-elle limitée ? | Paramètres de l’enregistreur, procédure de suppression | Conservation sans justification |
Anonymisation | Avant publication, les visages et autres identifiants devant être masqués le sont-ils, y compris les plaques d’immatriculation si nécessaire ? | Échantillon du contenu avant et après traitement | Divulgation de données à caractère personnel dans un contenu visuel |
5. Test DSAR relatif aux images et aux enregistrements
La cinquième étape consiste à exécuter un scénario de contrôle portant sur une demande d’exercice de droits d’une personne concernée. Il ne s’agit pas de théorie, mais d’un test pratique : l’organisation est-elle capable de retrouver le contenu à partir de la date, du lieu et d’une heure approximative, d’isoler le bon extrait et de le préparer pour communication sans porter atteinte aux droits d’autres personnes ? C’est précisément ici que de nombreux systèmes révèlent leurs points faibles.
Si l’organisation n’est pas en mesure d’extraire efficacement l’enregistrement concerné et d’anonymiser les tiers, une procédure formelle ne suffit pas. Une bonne approche de conformité consiste à réaliser périodiquement un test DSAR et à documenter le temps de traitement, le nombre de personnes impliquées ainsi que la méthode d’anonymisation [1][2].
6. Audit des accès au direct, à l’export et aux archives
La sixième étape concerne les rôles et les autorisations. Il faut déterminer qui a accès au visionnage en direct, qui peut exporter un enregistrement, qui valide la remise d’une copie et s’il est possible de retracer l’historique des opérations. Dans de nombreuses organisations, le nombre de personnes disposant de droits excessifs augmente progressivement et n’est ensuite jamais régularisé.
À ce stade, il convient de distinguer le système CCTV de l’outil d’anonymisation. Si les contenus sont traités localement, les organisations privilégient souvent un on-premise software, car cela limite le cercle des destinataires des fichiers et facilite le contrôle de l’environnement. En cas d’exigences d’infrastructure plus complexes, il peut être utile de contacter l’équipe afin de vérifier comment un déploiement local s’intégrera dans le modèle de sécurité retenu.
7. Vérification du processus d’anonymisation avant publication ou communication
La septième étape doit être décrite comme un test de qualité du processus, et non comme un simple contrôle des fonctions de l’outil. Il faut prendre un échantillon d’enregistrements et de photos existants, vérifier si le face blurring et le license plate blurring sont réalisés de manière cohérente, puis évaluer si d’autres identifiants visuels subsistent dans le contenu.
Ce point exige de la précision. Gallio PRO ne floute automatiquement que les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni l’image affichée sur des écrans. Ces éléments peuvent nécessiter des traitements manuels à l’aide de l’éditeur intégré. C’est pourquoi un audit correct ne peut pas se limiter à demander si le système dispose d’une détection automatique. Il doit vérifier si l’organisation a mis en place une procédure de vérification manuelle des contenus après le traitement automatisé.
Si vous souhaitez tester ce flux de travail sur des fichiers réels, vous pouvez le faire en téléchargeant la version de démonstration et en comparant le résultat du floutage automatique avec la liste des éléments nécessitant une correction manuelle.
8. Audit de l’anonymisation des enregistrements d’archives
La huitième étape est souvent négligée, alors qu’en pratique c’est précisément l’archive qui génère le plus de risques. Il faut vérifier si les anciens contenus réutilisés, par exemple à des fins de communication, de reporting ou de formation, font l’objet d’une nouvelle évaluation et d’une nouvelle anonymisation. Le fait qu’un enregistrement ait été conservé légalement ne signifie pas encore qu’il puisse être publié sans traitement complémentaire.
À ce stade, les plaques d’immatriculation peuvent revêtir une importance particulière. Au niveau européen, il n’existe pas de disposition imposant dans tous les cas leur floutage, mais dans de nombreuses situations elles peuvent constituer des données à caractère personnel ou conduire à une identification indirecte, selon le contexte et les moyens disponibles. En France comme dans d’autres États membres, l’analyse dépend souvent du contexte d’usage et du niveau de risque. Il est donc utile, dans l’audit, de décrire explicitement cette zone d’incertitude et d’adopter une pratique fondée sur le risque, en particulier lors de la publication de contenus sur internet.
Comment évaluer le résultat de l’audit ?
Un bon audit ne s’achève pas par une affirmation générale selon laquelle le système est conforme ou non conforme. Il doit identifier les non-conformités, les preuves, le responsable de l’action corrective, l’échéance et le niveau de risque. En matière d’images et de vidéo, trois catégories de constats reviennent le plus souvent : un périmètre de surveillance excessif, une politique de conservation incohérente et l’absence de processus efficace d’anonymisation avant publication.
Si l’organisation utilise des outils de traitement de contenus visuels, l’audit doit également confirmer leurs limites techniques. Dans le cas de Gallio PRO, il faut noter clairement que le système n’est pas destiné à l’anonymisation des silhouettes entières, qu’il ne fonctionne pas en temps réel et que, selon la déclaration du fabricant, il ne conserve pas de logs contenant la détection de visages ou de plaques d’immatriculation, ni d’autres données à caractère personnel.
FAQ - audit interne d’un système de vidéosurveillance CCTV et conformité au RGPD
Chaque système CCTV nécessite-t-il un audit portant sur l’anonymisation des images ?
Pas toujours dans la même mesure, mais si l’organisation publie des photos ou des vidéos, les communique sur demande ou réutilise des archives, un tel examen constitue une pratique de conformité courante. Le risque concerne avant tout les visages et les autres identifiants visibles dans le contenu.
Le floutage des visages suffit-il toujours ?
Non. Le face blurring est une mesure de base, mais le contenu peut aussi comporter des plaques d’immatriculation, des tatouages, des badges, des logos, des documents ou l’image affichée sur des écrans. Certains de ces éléments nécessitent une correction manuelle, selon le contexte d’utilisation.
Une plaque d’immatriculation est-elle toujours une donnée à caractère personnel ?
Pas nécessairement. L’évaluation dépend du contexte, de la finalité d’utilisation et de la possibilité de relier le numéro à une personne physique déterminée. C’est pourquoi de nombreuses organisations adoptent une approche prudente et appliquent un license plate blurring lors de la publication des contenus.
Peut-on publier un enregistrement sans anonymiser les visages ?
En principe, c’est une solution risquée. Il existe trois exceptions, qui doivent être appréciées avec prudence : il s’agit d’une personne connue du public dans le cadre de l’exercice de fonctions publiques, l’image constitue seulement un détail accessoire d’un ensemble tel qu’un rassemblement, un paysage ou un événement public, ou bien la personne a reçu la rémunération convenue pour poser, sauf stipulation contraire.
Le logiciel d’anonymisation doit-il fonctionner dans le cloud ?
Pas nécessairement. Dans les environnements soumis à des exigences renforcées, les organisations envisagent souvent un on-premise software afin de limiter les transferts de contenus et de mieux maîtriser l’environnement de traitement. Le choix dépend du modèle de sécurité et de l’architecture de l’organisation.
Gallio PRO détecte-t-il automatiquement tous les éléments identifiants ?
Non. La détection automatique couvre uniquement les visages et les plaques d’immatriculation. Les autres éléments, tels que les logos d’entreprise, les tatouages, les badges nominatifs, les documents ou l’image visible sur l’écran d’un moniteur, nécessitent une intervention manuelle dans l’éditeur intégré.
Liste de références
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - RGPD.
- Comité européen de la protection des données, Guidelines 3/2019 on processing of personal data through video devices.
- Autorités de protection des données, recommandations et lignes directrices relatives à la vidéosurveillance.
- Cour de justice de l’Union européenne, jurisprudence relative aux données à caractère personnel et à l’identifiabilité dans le contexte de l’image.
- Code civil - dispositions relatives à la protection des droits de la personnalité.
- Règles relatives au droit d’auteur et aux droits voisins en matière de diffusion de l’image.