Comment rédiger une procédure de gestion des enregistrements CCTV dans une organisation : modèle de document pour le DPO

La procédure de gestion des enregistrements CCTV est un document opérationnel interne qui décrit qui a accès aux enregistrements, dans quelles situations il est permis de les consulter, comment s’effectue la remise d’une copie, quels sont les délais d’exécution des différentes actions et de quelle manière l’anonymisation de l’image est réalisée avant la publication ou la transmission du matériel à des tiers. En pratique, un tel document ne remplace ni le registre des activités de traitement, ni l’analyse des risques, ni la documentation destinée à l’auditeur. Il doit servir au travail quotidien de l’équipe qui gère concrètement les photos et les vidéos.

Pour le DPO, l’essentiel est de bien distinguer trois niveaux. Le premier concerne l’accès au matériel source. Le deuxième porte sur le floutage des visages et des plaques d’immatriculation avant toute utilisation ultérieure de l’enregistrement. Le troisième régit la transmission ou la publication uniquement de la version vérifiée et approuvée. Une telle organisation limite la divulgation accidentelle de l’image de personnes tierces et facilite la démonstration d’une pratique organisationnelle cohérente.

Pourquoi une organisation a-t-elle besoin d’une procédure opérationnelle distincte pour les enregistrements CCTV ?

Dans de nombreuses organisations, il existe une politique de vidéosurveillance, mais il manque des instructions d’exécution. Le résultat est prévisible. L’opérateur sait comment relire un enregistrement, mais ne sait pas clairement s’il peut envoyer un extrait par e-mail, qui doit approuver l’export, s’il faut flouter les visages et les plaques d’autres personnes avant la transmission, ni dans quel délai l’équipe doit répondre à une demande. Une procédure SOP met de l’ordre dans ces questions sans développer un nouveau document général de conformité.

Dans les scénarios liés à l’anonymisation de l’image, les organisations utilisent souvent des outils tels que Gallio PRO, en particulier lorsqu’un logiciel on-premise et un contrôle des fichiers dans un environnement local sont nécessaires. D’un point de vue opérationnel, il est important de noter que le logiciel floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne floute pas les silhouettes entières, ne réalise pas d’anonymisation en temps réel et n’est pas destiné à l’anonymisation de flux vidéo. Il ne détecte pas non plus automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les images visibles sur des écrans. Ces éléments peuvent être floutés manuellement dans l’éditeur intégré. En outre, le système n’enregistre pas de journaux contenant des données de détection, des données à caractère personnel ni des données relevant de catégories particulières.

Comment distinguer une procédure SOP de la documentation destinée à l’auditeur et d’une checklist de mise en œuvre ?

La documentation destinée à l’auditeur répond généralement à la question de savoir si l’organisation dispose de bases juridiques, de rôles et de mesures de sécurité. La checklist de mise en œuvre répond à la question de savoir ce qu’il faut activer et vérifier avant le démarrage. La procédure de gestion des enregistrements CCTV répond à la question de savoir ce que fait précisément un collaborateur à partir de la réception d’une demande ou d’une décision de publication jusqu’à la suppression du fichier de travail.

C’est pourquoi le modèle ci-dessous doit contenir des éléments concrets : le poste responsable, l’action, le délai, l’inscription requise dans le registre interne et la condition de passage à l’étape suivante. Seul un tel niveau de détail fonctionne dans la pratique.

Contenu minimal d’une procédure de gestion des enregistrements CCTV

La procédure la plus courte mais utile comprend sept blocs. Premièrement, l’objectif et le champ d’application du document. Deuxièmement, les rôles et les habilitations. Troisièmement, les règles de réception des demandes d’accès, de copie ou de publication. Quatrièmement, les règles d’export et de travail sur une copie de travail. Cinquièmement, l’anonymisation de l’image, y compris le floutage des visages et des plaques d’immatriculation. Sixièmement, la validation du matériel avant transmission ou publication. Septièmement, la conservation et la suppression des versions de travail.

Il est utile de définir d’emblée que, par anonymisation de l’image, l’organisation entend un traitement d’une photo ou d’un enregistrement tel que les tiers et les identifiants visibles sur l’image ne puissent pas être reconnus dans le cadre d’une utilisation ordinaire du matériel. Dans le cas d’un contenu vidéo, cela signifie généralement travailler sur une copie exportée et non sur le matériel de production.

Modèle de procédure de gestion des enregistrements CCTV – prêt à copier

1. Objet et champ d’application

La présente procédure définit les règles de consultation, d’export, d’anonymisation et de communication des enregistrements CCTV ainsi que des images fixes extraites de ces enregistrements. La procédure concerne exclusivement les contenus visuels, en particulier les photos et les vidéos. Elle ne régit pas les obligations documentaires distinctes liées à l’audit, à l’analyse des risques ni à la mise en œuvre du système de vidéosurveillance.

2. Rôles et responsabilités

L’administrateur du système CCTV est responsable de l’export technique du matériel et de l’attribution des accès aux seules personnes autorisées. Le responsable métier du processus, par exemple le responsable sécurité ou le compliance manager, évalue la finalité d’utilisation du matériel. La personne chargée de l’anonymisation prépare la copie de travail et applique le floutage des visages et des plaques d’immatriculation. Le délégué à la protection des données ou la personne de contrôle désignée donne un avis sur les cas présentant un risque élevé ou sur les demandes non standard. La personne autorisant la publication ou la remise d’une copie confirme que le matériel destiné à être communiqué ne contient pas de visages ni de plaques de tiers non anonymisés.

3. Accès aux enregistrements

L’accès aux enregistrements complets est réservé exclusivement aux personnes nommément désignées dans l’annexe à la procédure. L’accès est accordé par l’administrateur du système après validation du responsable du processus. La consultation des enregistrements n’a lieu qu’en lien avec une finalité professionnelle documentée. Chaque ouverture de dossier nécessite une inscription dans le registre opérationnel contenant la date, le numéro du dossier, la période couverte par l’enregistrement, la personne demandeuse et la personne en charge du traitement.

4. Délais opérationnels

Toute demande interne de conservation d’un enregistrement doit être enregistrée sans délai, au plus tard dans un délai d’un jour ouvré à compter de sa réception. L’évaluation préliminaire de la finalité d’utilisation doit être réalisée dans un délai de deux jours ouvrés. L’export de la copie de travail doit intervenir dans un délai de trois jours ouvrés, à condition que le matériel soit disponible et qu’aucun obstacle technique ne s’y oppose. L’anonymisation est effectuée sans retard injustifié après l’export. Avant toute publication ou remise d’une copie, un contrôle selon le principe des quatre yeux est obligatoire.

5. Export et préparation de la copie de travail

Le travail s’effectue exclusivement sur une copie de travail. Le matériel source reste intact. La copie est enregistrée dans un dépôt distinct à accès restreint. Le nom du fichier contient le numéro du dossier et la date d’export, sans mentionner les données des personnes visibles sur l’enregistrement. Si l’organisation a besoin d’un workflow prévisible pour les fichiers vidéo et photo, il est utile de le tester à l’avance, par exemple en téléchargeant la version de démonstration et en vérifiant comment se déroule le traitement d’une copie de travail dans un environnement local.

6. Règles d’anonymisation de l’image

La personne chargée de l’anonymisation identifie tous les visages et toutes les plaques d’immatriculation de tiers visibles dans le cadre. Elle applique ensuite le floutage des visages et des plaques d’immatriculation sur l’ensemble du matériel destiné à être transmis ou publié. Si le contenu comporte des logos, des tatouages, des badges nominatifs, des documents ou une image affichée sur un écran, leur masquage nécessite une édition manuelle, car la détection automatique ne couvre pas ces éléments.

La procédure doit indiquer clairement que la détection automatique ne concerne que les visages et les plaques d’immatriculation. C’est particulièrement important dans la formation des opérateurs. Supposer que l’outil identifiera tout élément permettant une identification constitue une erreur opérationnelle.

7. Communication des enregistrements et des images fixes

Toute transmission d’un enregistrement en dehors de l’équipe chargée du dossier requiert l’approbation de la personne habilitée à valider. Si le matériel doit être transmis à la personne concernée par l’événement, à une entité externe ou faire l’objet d’une publication, il convient de flouter au préalable les visages et les plaques d’immatriculation des autres personnes et des autres véhicules visibles dans le contenu. La version source n’est pas transmise, sauf si une telle obligation résulte d’une disposition légale ou d’une demande contraignante émanant d’une autorité compétente. Chaque remise de copie est documentée dans le registre opérationnel avec mention du destinataire, de la date et de l’étendue du matériel communiqué.

8. Contrôle qualité avant publication

Le contrôle qualité comprend deux étapes. Dans un premier temps, l’opérateur vérifie que le floutage fonctionne sur toute la durée de la séquence et qu’il n’existe pas de courts fragments sans masquage. Dans un second temps, la personne chargée de la validation confirme que le matériel ne contient pas d’autres éléments nécessitant une anonymisation manuelle. L’absence de contrôle positif bloque la publication.

9. Conservation et suppression des versions de travail

La version de travail n’est conservée que pendant la durée nécessaire à la clôture du dossier. Après la publication, la remise d’une copie ou la clôture de la demande, le fichier de travail est supprimé conformément au calendrier de conservation défini par l’organisation. S’il est nécessaire de mettre en place un environnement local ou des règles distinctes pour certaines unités organisationnelles, il est utile de contacter l’équipe afin d’adapter le processus à la taille de l’organisation et aux exigences techniques.

Tableau opérationnel – qui fait quoi et dans quel délai

Comment décrire les exceptions liées à l’image sans créer un faux sentiment de sécurité ?

Il est utile d’ajouter à la procédure une courte clause d’interprétation. L’obligation d’anonymiser les visages ne découle pas directement d’une seule disposition du RGPD, du Code civil ou du droit d’auteur, mais de l’évaluation de la conformité de la publication ou de la communication avec les règles relatives à la protection des données à caractère personnel et aux principes de diffusion de l’image d’une personne. Le droit d’auteur prévoit notamment des exceptions à la diffusion de l’image lorsque :

• la personne a reçu la rémunération convenue pour poser, sauf réserve expresse contraire,
• il s’agit d’une personne connue du public, et que son image a été captée dans l’exercice de fonctions publiques, en particulier politiques, sociales ou professionnelles,
• l’image de la personne ne constitue qu’un détail d’un ensemble tel qu’un rassemblement, un paysage ou une manifestation publique.

Il ne s’agit pas d’exemptions automatiques de toute analyse. Les organisations les considèrent souvent comme un point de départ pour évaluer une situation concrète, et non comme une règle absolue. En cas de doute, l’anonymisation avant publication reste la pratique opérationnelle la plus sûre.

Plaques d’immatriculation dans la procédure – comment traiter le sujet sans simplifications excessives

Dans différents États européens, l’approche des plaques d’immatriculation peut varier selon le contexte et la pratique nationale. En France également, la situation n’est pas entièrement univoque. En règle générale, une plaque d’immatriculation prise isolément peut constituer ou non une donnée à caractère personnel : tout dépend du point de savoir si, au moyen de moyens raisonnablement susceptibles d’être utilisés, elle permet d’identifier une personne physique. On ne peut donc pas affirmer de manière générale que l’obligation de flouter les plaques découle directement des lignes directrices du CEPD ou d’une jurisprudence uniforme de la CJUE.

Il vaut donc mieux éviter d’écrire dans la procédure que les plaques sont toujours, en toute circonstance, ou au contraire ne sont jamais des données à caractère personnel. D’un point de vue opérationnel, il est plus prudent d’adopter un principe de précaution : si le matériel doit être publié ou communiqué en dehors d’un cercle restreint de personnes autorisées, le floutage des plaques d’immatriculation des tiers est appliqué, sauf si l’organisation a documenté une analyse différente pour un cas précis.

Les erreurs les plus fréquentes dans les procédures de gestion des enregistrements CCTV

La première erreur consiste à décrire uniquement les fondements juridiques sans indiquer les étapes de travail. La deuxième est l’absence de distinction entre le matériel source et la copie de travail. La troisième est de supposer qu’un outil automatique détectera tout. La quatrième est l’absence de délai de réaction et de contrôle qualité obligatoire. La cinquième consiste à omettre le principe selon lequel, lors de la communication d’un enregistrement, il faut évaluer la nécessité de flouter les visages et les plaques des autres personnes avant transmission.

FAQ – procédure de gestion des enregistrements CCTV

La procédure de gestion des enregistrements CCTV doit-elle être un document distinct ?

Pas toujours, mais en pratique, une SOP distincte est la solution la plus claire. Elle facilite la formation des opérateurs et réduit le temps de décision lors d’une publication ou de la remise d’une copie.

Peut-on travailler directement sur le matériel source ?

Une meilleure pratique organisationnelle consiste à travailler sur une copie de travail. Cela limite le risque d’altération de l’intégrité de l’original et facilite le contrôle des modifications.

Est-il suffisant de flouter uniquement les visages ?

Pas dans tous les cas. Si le matériel montre les plaques d’immatriculation d’autres personnes ou d’autres éléments permettant une identification, il faut évaluer la nécessité de les masquer. En pratique, lors d’une publication, le floutage des plaques d’immatriculation est également fréquent.

Gallio PRO détecte-t-il automatiquement toutes les données personnelles présentes dans l’image ?

Non. La détection automatique couvre uniquement les visages et les plaques d’immatriculation. Les logos, les tatouages, les badges nominatifs, les documents et les images affichées sur des écrans nécessitent une édition manuelle.

Gallio PRO enregistre-t-il des journaux contenant des données de détection ?

Non. Le logiciel ne collecte pas de journaux contenant la détection des visages et des plaques d’immatriculation. Il ne collecte pas non plus de journaux contenant des données à caractère personnel ni des données relevant de catégories particulières.

La procédure doit-elle contenir des délais précis ?

Oui. Sans délais, le document reste déclaratif. Le DPO cherchera généralement à définir des délais pour l’enregistrement du dossier, l’export de la copie, l’anonymisation, le contrôle qualité et la suppression de la version de travail.

Peut-on publier un enregistrement d’un événement public sans flouter tous les visages ?

Cela dépend du contexte. L’un des cas admissibles peut être la situation dans laquelle l’image d’une personne ne constitue qu’un détail de l’ensemble, par exemple d’une manifestation publique. Une telle appréciation exige toutefois de la prudence et ne doit pas être appliquée automatiquement à chaque contenu.