Poser question

Matrice de risque RGPD pour les enregistrements vidéo : comment évaluer et réduire l’exposition juridique de l’organisation

Łukasz Bonczol
Publié: 13/04/2026

Table des matières

La visual data anonymization désigne un ensemble de mesures visant à limiter l’identification des personnes visibles sur des photos et des enregistrements vidéo avant leur publication ou leur réutilisation. En pratique, cela signifie le plus souvent le face blurring et le license plate blurring, c’est-à-dire le floutage des visages et des plaques d’immatriculation. Pour les équipes marketing, communication, les administrations publiques et les fonctions conformité, il ne s’agit pas seulement d’un sujet technique. C’est aussi un outil de réduction du risque juridique, organisationnel et réputationnel.

Pour les contenus visuels, la simple question « faut-il publier ? » reste trop générale. Dans un audit interne, il est plus utile de se demander : quel est le niveau d’exposition juridique d’un contenu donné, pour une finalité de traitement précise et une catégorie déterminée de personnes filmées ? C’est précisément la fonction de la matrice de risque décrite ci-dessous.

Un ordinateur portable blanc avec une icône de cadenas et de bouclier, symbolisant la cybersécurité, est posé sur un fond noir. Des fournitures de bureau sont en arrière-plan.

Pourquoi la seule base juridique ne suffit-elle pas lors de la publication de photos et de vidéos ?

Le RGPD considère l’image d’une personne comme une donnée à caractère personnel lorsqu’elle peut être identifiée directement ou indirectement [1]. Dans les contenus vidéo, le risque augmente, car l’identification résulte souvent non seulement du visage, mais aussi du contexte : le lieu, le moment, l’événement, la tenue vestimentaire, les plaques d’immatriculation ou encore le texte accompagnant la publication. C’est pourquoi de nombreuses organisations distinguent, en pratique, l’évaluation de la légalité de la publication de l’évaluation du niveau d’exposition au risque.

S’agissant du visage, l’obligation de disposer d’une base juridique appropriée pour le traitement des données et, le cas échéant, du consentement à la diffusion de l’image, découle en pratique non seulement du RGPD, mais aussi du Code civil et des règles relatives au droit d’auteur. Il existe toutefois 3 exceptions : lorsqu’il s’agit d’une personne connue du public et que l’image a été captée dans l’exercice de ses fonctions publiques ; lorsque l’image de la personne ne constitue qu’un élément accessoire d’un ensemble plus large, tel qu’un rassemblement, un paysage ou un événement public ; lorsque la personne a reçu une rémunération convenue pour poser, sauf stipulation expresse contraire. Même lorsqu’une de ces exceptions s’applique, les organisations évaluent généralement encore le risque réputationnel et le risque de publication excessive.

Pour les plaques d’immatriculation, la situation est plus complexe. Il n’existe pas de règle générale au niveau de l’Union européenne imposant systématiquement leur floutage. En Pologne également, tout dépend du contexte. D’un côté, l’UODO et l’approche européenne de l’identifiabilité militent pour la prudence ; de l’autre, certaines décisions des juridictions administratives ont considéré qu’une plaque d’immatriculation, à elle seule, ne constitue pas toujours une donnée personnelle. Pour l’auditeur, cela signifie une chose : en cas de publication ouverte, surtout en ligne, le license plate blurring est généralement une mesure qui réduit le risque de litige, même si la qualification juridique reste contextuelle.

Forme de trou de serrure grise avec des motifs de circuits imprimés intégrés, symbolisant des concepts de cybersécurité ou de sécurité numérique.

Cadre d’audit : deux dimensions pour évaluer le risque

La matrice de risque proposée repose sur deux dimensions. La première est la finalité du traitement, la seconde la catégorie des personnes filmées. Cette structure est pratique, car elle permet au DPO ou à l’auditeur interne d’évaluer un contenu avant sa publication, sans devoir élaborer un tableau de conformité complexe.

La première dimension, c’est-à-dire la finalité du traitement, peut être divisée en quatre niveaux :

  1. finalité interne à faible exposition - formation interne, analyse de la qualité du contenu, documentation technique à accès restreint ;
  2. finalité informative à exposition modérée - compte rendu d’événement, communication institutionnelle, contenu de presse ;
  3. finalité promotionnelle à exposition accrue - marketing, marque employeur, réseaux sociaux, publicité ;
  4. finalité de surveillance ou de preuve avec forte exposition en cas de publication secondaire - vidéosurveillance, enregistrements d’incidents, contenus réutilisés ultérieurement en dehors de leur finalité initiale.

La seconde dimension, c’est-à-dire la catégorie des personnes filmées, peut elle aussi être structurée en quatre niveaux :

  1. personnes publiques ou participants à un grand événement apparaissant comme élément d’une scène plus large ;
  2. salariés, collaborateurs, intervenants et personnes participant consciemment à l’enregistrement ;
  3. clients, usagers, passants, tiers identifiables ;
  4. personnes nécessitant une vigilance renforcée - enfants, patients, personnes en situation sensible, participants à des événements de crise.

Cadenas sur un clavier avec des cartes de paiement, symbolisant la sécurité et la confidentialité numériques. Image en noir et blanc.

Matrice de risque RGPD pour la publication de vidéos et de photos

Finalité du traitement × catégorie de personnes

Niveau de risque

Évaluation d’audit typique

Action recommandée

Finalité interne à faible exposition × personnes publiques ou scène large

Faible

Cercle limité de destinataires et faible probabilité de préjudice

Évaluer la durée de conservation, restreindre l’accès, publication externe généralement déconseillée sans base supplémentaire

Finalité interne à faible exposition × salariés ou participants conscients de l’enregistrement

Faible à modéré

Risque dépendant du caractère volontaire de la participation et de la transparence de l’information

Documenter la finalité, minimiser le périmètre, recourir au face blurring en cas de réutilisation hors finalité initiale

Finalité interne à faible exposition × clients, usagers, tiers

Modéré

L’identification est réaliste et l’attente de confidentialité est plus élevée

Face blurring comme standard, license plate blurring si des véhicules sont visibles, contrôle des accès

Finalité interne à faible exposition × personnes nécessitant une vigilance renforcée

Élevé

Même l’absence de publication externe ne supprime pas le risque de violation

Minimisation forte, limitation des usages, absence fréquente de nécessité d’une image identifiable

Finalité informative × personnes publiques ou scène large

Faible à modéré

L’admissibilité est plus fréquente, mais l’évaluation dépend du cadrage et des légendes

Sélection des plans, éviter les gros plans, vérifier si la personne reste un élément accessoire de l’ensemble

Finalité informative × salariés ou participants conscients de l’enregistrement

Modéré

Le risque augmente en cas de publication sur des plateformes ouvertes

Vérifier la base d’utilisation de l’image, recourir au face blurring lorsque l’identification n’est pas nécessaire

Finalité informative × clients, usagers, tiers

Élevé

Point de friction fréquent dans les reportages d’événements et les contenus institutionnels

Floutage des visages par défaut, floutage des plaques d’immatriculation, recadrage réduisant l’identification

Finalité informative × personnes nécessitant une vigilance renforcée

Très élevé

La publication exige une prudence particulière et peut s’avérer disproportionnée

Le principe devrait être l’absence d’image identifiable

Finalité promotionnelle × personnes publiques ou scène large

Modéré

Le marketing accroît l’intensité de l’ingérence

Sélection prudente des plans, éviter l’identification implicite de personnes isolées

Finalité promotionnelle × salariés ou participants conscients de l’enregistrement

Élevé

Dans une relation de dépendance, le consentement peut être contesté comme n’étant pas libre [3]

Évaluer la proportionnalité, prévoir des plans alternatifs, utiliser le face blurring si la reconnaissance n’est pas nécessaire

Finalité promotionnelle × clients, usagers, tiers

Très élevé

Situation la plus fréquente nécessitant une anonymisation avant publication

Face blurring et license plate blurring par défaut, revue manuelle des autres éléments identifiants

Finalité promotionnelle × personnes nécessitant une vigilance renforcée

Critique

La publication d’un contenu identifiable génère généralement une exposition inacceptable

Le principe devrait être l’abstention de publication ou une anonymisation visuelle complète

Finalité de surveillance ou de preuve en cas de publication secondaire × toutes les catégories hors scène large

Élevé à critique

La réutilisation hors finalité initiale augmente fortement le risque [1]

Évaluer la compatibilité de finalité, nécessité d’anonymisation, besoin fréquent d’une analyse d’impact DPIA approfondie

Porte en métal gris avec un cadenas pour la sécuriser, positionnée légèrement sur la droite. Apparence minimaliste et monochrome.

Comment utiliser la matrice dans un audit interne ?

L’approche la plus pratique se compose de quatre étapes. Premièrement, il faut attribuer au contenu sa finalité de traitement dominante. Deuxièmement, identifier la catégorie la plus sensible de personnes visibles dans le contenu. Troisièmement, lire le niveau de risque correspondant dans la matrice. Quatrièmement, associer les mesures obligatoires de réduction du risque. Ainsi, l’évaluation ne s’arrête pas à l’affirmation abstraite selon laquelle « le contenu contient des données personnelles », mais conduit à une décision concrète de publication.

En pratique, les mesures de réduction du risque se répartissent en trois couches. La première est la sélection des plans. La deuxième est la visual data anonymization. La troisième est le contrôle du processus de publication, y compris la conservation de la version source, l’accès aux fichiers et la documentation de la justification. Si l’organisation utilise un outil comme Gallio PRO, elle peut mettre en place un workflow standardisé pour les contenus photo et vidéo sans déplacer l’analyse vers un système de streaming. C’est un point important, car la solution ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo, mais soutient la préparation du contenu avant publication.

Un cadenas centré dans un code binaire, entouré de maillons de chaîne, symbolisant la cybersécurité et la protection des données.

Quelles mesures techniques réduisent réellement l’exposition juridique ?

Pour les contenus destinés à une publication externe, la mesure la plus couramment utilisée est le face blurring. Si des véhicules apparaissent dans le champ, les organisations ajoutent souvent un license plate blurring, en particulier en cas de publication publique et transfrontalière. Cette approche est cohérente avec une pratique de conformité prudente, même si l’appréciation du caractère personnel des plaques d’immatriculation en Pologne reste dépendante du contexte.

Il faut toutefois décrire précisément les capacités de l’outil. Gallio PRO floute automatiquement uniquement les visages et les plaques d’immatriculation. Il ne détecte pas automatiquement les logos d’entreprise, les tatouages, les badges nominatifs, les documents ni les images affichées sur des écrans. Ces éléments peuvent être floutés manuellement dans l’éditeur intégré au logiciel. Pour l’auditeur, cela a une valeur probatoire. Si le risque d’identification découle d’un contexte autre que le visage ou la plaque, le seul processus automatisé ne suffit pas.

Il convient également de noter que le logiciel ne floute pas les silhouettes entières et n’enregistre pas de journaux contenant des données de détection, des données à caractère personnel ni des données relevant de catégories particulières. Du point de vue de la réduction de l’exposition, c’est un avantage, car cela limite les artefacts de traitement supplémentaires. Si vous souhaitez vérifier concrètement le fonctionnement du processus sur vos propres contenus, vous pouvez télécharger la version de démonstration.

Cadenas et clés reposant sur un clavier noir, symbolisant la cybersécurité. Image en noir et blanc.

Quand la matrice doit-elle conduire à une DPIA ou à une consultation de mise en œuvre ?

Tous les contenus ne nécessitent pas une analyse approfondie. Toutefois, si la matrice indique un niveau très élevé ou critique, les organisations passent souvent à une évaluation plus large de l’impact sur la protection des données, en particulier lorsque la publication est effectuée à grande échelle, concerne des tiers ou réutilise des contenus provenant d’une finalité initialement différente, par exemple la vidéosurveillance. C’est alors le moment naturel de se référer à la documentation interne de conformité ou au formulaire DPIA.

Cela concerne également des scénarios techniques tels que le déploiement d’un on-premise software, le traitement de grands volumes de contenus ou l’intégration des procédures d’anonymisation dans le processus d’approbation de publication. Dans de tels cas, il peut être utile de contacter l’équipe afin de préciser le modèle de déploiement, le périmètre des habilitations et la manière de documenter les mesures organisationnelles.

Photo en noir et blanc de nombreux cadenas attachés à un câble métallique, symbolisant la sécurité ou les cadenas d'amour sur un pont.

Erreurs les plus fréquentes dans l’évaluation du risque pour les photos et les enregistrements

La première erreur consiste à supposer que le consentement résout l’ensemble du problème. Dans une relation employeur-salarié ou administration-usager, le caractère libre du consentement est souvent apprécié de manière stricte [3]. La deuxième erreur consiste à assimiler une scène large à une liberté totale de publication. Un gros plan sur un visage ou une légende associée au contenu peut changer l’évaluation. La troisième erreur est d’ignorer les plaques d’immatriculation lorsque la publication est publique et facilement indexable par les moteurs de recherche. La quatrième erreur consiste à présumer qu’un outil automatique détectera tous les éléments identifiants. En pratique, la détection automatique ne couvre que les visages et les plaques d’immatriculation.

Un point d'interrogation composé de petits perles assorties disposées sur une surface en bois texturée en noir et blanc.

FAQ - matrice de risque RGPD pour les enregistrements vidéo

Toute vidéo montrant un visage visible doit-elle être anonymisée avant publication ?

Pas nécessairement. L’évaluation dépend de la finalité du traitement, du contexte de la prise de vue et de la base d’utilisation de l’image. Il existe trois exceptions mentionnées ci-dessus : la personne connue du public, l’image comme élément accessoire d’un ensemble plus large, et la rémunération convenue pour poser [7]. Malgré cela, les organisations continuent souvent d’évaluer la proportionnalité de la publication.

Les plaques d’immatriculation constituent-elles toujours des données à caractère personnel ?

Cela dépend de la juridiction et du contexte. En Pologne, la question n’est pas univoque, car la pratique de l’autorité de contrôle invite à la prudence, tandis que la jurisprudence a aussi adopté une approche différente. C’est pourquoi le license plate blurring est une pratique fréquente de réduction du risque en cas de publication ouverte.

Comment la matrice aide-t-elle le DPO dans un audit ?

Elle permet d’associer le contenu à une combinaison précise de finalité de traitement et de catégorie de personnes, puis de sélectionner immédiatement les mesures de réduction du risque appropriées. Cela accélère la décision sur la nécessité d’une anonymisation visuelle seule ou d’une analyse plus large.

Un outil automatique détecte-t-il aussi les tatouages, les badges et les écrans de moniteurs ?

Non. La détection automatique couvre uniquement les visages et les plaques d’immatriculation. Les tatouages, logos, badges nominatifs, documents et images sur écrans nécessitent une évaluation et, le cas échéant, un floutage manuel.

L’anonymisation vidéo peut-elle être réalisée en temps réel ?

Le workflow décrit ici concerne la préparation du contenu avant publication. Gallio PRO ne réalise ni anonymisation en temps réel ni anonymisation de flux vidéo.

L’absence de journaux de détection a-t-elle une importance pour la conformité ?

Oui, du point de vue de la minimisation des données, cela a une importance organisationnelle. Gallio PRO ne collecte pas de journaux contenant la détection des visages et des plaques d’immatriculation, ni de journaux contenant des données personnelles ou des données relevant de catégories particulières.

Télécharger la démo gratuite
Łukasz Bonczol

Łukasz Bonczol

Co-fondateur de Gallio PRO, explore la manière dont les nouvelles technologies affectent la société, la politique, le droit et l'éthique. Il est titulaire d'un doctorat. en sciences politiques de l'Université de Wrocław et d'un MBA de l'Université d'économie de Wrocław. Il s'intéresse à la façon dont la technologie a influencé notre histoire et façonne notre avenir.

Liste de références

  1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - Règlement général sur la protection des données.
  2. Comité européen de la protection des données, Lignes directrices 3/2019 sur le traitement des données à caractère personnel au moyen de dispositifs vidéo.
  3. Comité européen de la protection des données, Lignes directrices 05/2020 sur le consentement au sens du règlement 2016/679.
  4. Urząd Ochrony Danych Osobowych, documents et lignes directrices relatifs à l’image et à la vidéosurveillance.
  5. Information Commissioner’s Office, guidance on video surveillance and personal data, ainsi que guidance on lawful basis and consent.
  6. Loi du 23 avril 1964 - Code civil.
  7. Loi du 4 février 1994 sur le droit d’auteur et les droits voisins.