Durée de conservation des enregistrements CCTV : définition
La durée de conservation des enregistrements CCTV correspond à la période de rétention prédéfinie des images issues de la vidéosurveillance, calculée à partir de la capture de l’image jusqu’à sa suppression, son écrasement ou son anonymisation irréversible. En pratique, du point de vue de la conformité, il ne s’agit pas d’un simple paramètre technique fixé arbitrairement, mais du résultat d’une analyse de la finalité du traitement, de la base légale, des risques pour les droits et libertés des personnes ainsi que des obligations prévues par les réglementations sectorielles. Dans le contexte du RGPD, le principe clé est celui de la limitation de la conservation prévu à l’article 5, paragraphe 1, point e), du règlement (UE) 2016/679, selon lequel les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes pendant une durée n’excédant pas celle nécessaire au regard des finalités du traitement.
En matière de vidéosurveillance, un enregistrement CCTV contient généralement des données à caractère personnel, car il peut permettre d’identifier une personne à partir de son visage, de sa silhouette, de son comportement, du lieu et du moment de l’événement, et parfois aussi à partir de la plaque d’immatriculation d’un véhicule. Pour cette raison, la période de conservation des vidéos de surveillance doit être courte, justifiée et documentée. Si les images doivent être utilisées ultérieurement, par exemple pour être transmises à la police, à un tribunal, à un assureur ou publiées, il convient d’évaluer séparément s’il est nécessaire de flouter les visages et les plaques d’immatriculation avant cet usage. Dans les environnements où des outils comme Gallio PRO sont utilisés, la rétention des enregistrements concerne à la fois les fichiers sources, les fichiers anonymisés, les copies de travail et les exports préparés en vue d’un partage.
Base juridique et position des autorités de contrôle
La durée de conservation des images de vidéosurveillance n’est pas fixée par le RGPD sous la forme d’un nombre de jours unique et universel. Le législateur européen a retenu un modèle fondé sur la nécessité et l’accountability. Cela signifie que le responsable du traitement doit être en mesure de démontrer pourquoi il conserve les enregistrements pendant une durée déterminée, ainsi que quand et comment ils sont supprimés ou anonymisés.
Les sources le plus souvent citées dans ce domaine sont les dispositions du RGPD, les lignes directrices du CEPD sur le traitement des données au moyen de dispositifs vidéo ainsi que les réglementations sectorielles nationales. En Pologne, la position de l’UODO ainsi que les règles spécifiques applicables aux écoles, aux employeurs ou aux transports publics sont également importantes.
Source | Champ d’application | Conclusion pour la conservation
|
|---|---|---|
RGPD, art. 5, par. 1, point e), règlement (UE) 2016/679 | Principe de limitation de la conservation | Pas de délai fixe, mais une exigence de nécessité et de suppression une fois la finalité atteinte |
CEPD, Guidelines 3/2019 on processing of personal data through video devices, adoptées le 29 janvier 2020 | Lignes directrices pour la vidéosurveillance | En principe, la durée de conservation doit être courte, souvent limitée à quelques jours ; une durée plus longue nécessite une justification spécifique |
UODO – documents et positions relatifs à la vidéosurveillance | Pratique nationale | Le responsable du traitement doit limiter la conservation au strict minimum nécessaire à la finalité et supprimer les enregistrements sans délai à l’expiration du délai |
Code du travail, art. 222, § 3 | Surveillance des salariés | Les enregistrements sont en principe conservés jusqu’à 3 mois à compter du jour de l’enregistrement, sauf s’ils constituent une preuve dans une procédure |
Droit de l’éducation, art. 108a, al. 4 | Vidéosurveillance dans les écoles et établissements | Les enregistrements sont en principe conservés jusqu’à 3 mois, sauf en cas de besoin probatoire |
Le CEPD indique que plus la durée de conservation est longue, plus la justification doit être solide. Dans la pratique des autorités de contrôle, une conservation de quelques jours à quelques semaines au maximum est généralement considérée comme typique pour une vidéosurveillance de sécurité standard. Le délai de 3 mois prévu en droit du travail et en droit de l’éducation ne constitue pas une norme générale applicable à tout système CCTV, mais une limite issue de réglementations sectorielles.
Durée minimale et maximale de conservation des enregistrements CCTV
Il n’existe pas de durée minimale légale unique de conservation des enregistrements pour tous les responsables du traitement. La durée minimale doit correspondre à un besoin opérationnel réel, par exemple le temps nécessaire pour détecter un dommage, signaler un incident ou préserver un élément de preuve. Si les incidents sont généralement détectés dans un délai de 48 à 72 heures, une durée de conservation des images de vidéosurveillance de 30 ou 90 jours peut être excessive si le responsable du traitement n’est pas en mesure de la justifier.
Du point de vue de l’UODO et du CEPD, le principe de départ est simple : les enregistrements ne doivent pas être conservés plus longtemps que nécessaire. En pratique, le modèle d’évaluation suivant peut être retenu.
- 1 à 3 jours – durée souvent suffisante pour une surveillance simple des entrées, des réceptions ou des parkings avec un faible nombre d’incidents.
- 7 à 14 jours – plage fréquemment justifiée sur le plan organisationnel si les signalements d’incidents interviennent avec retard.
- 30 jours et plus – nécessite une justification concrète fondée sur une analyse des risques, la spécificité du site ou une disposition particulière.
- Jusqu’à 3 mois – admissible lorsqu’une réglementation sectorielle le prévoit, par exemple le Code du travail ou le droit de l’éducation.
Lorsqu’un enregistrement a été mis sous scellé ou conservé comme preuve, le calendrier standard d’écrasement cesse de s’appliquer. Dans une telle situation, il convient de séparer le matériel probatoire du flux courant d’enregistrements, de restreindre l’accès et de fixer une nouvelle durée de conservation dépendant de la procédure en cours. Cela devrait être décrit dans la procédure interne.
Importance de la conservation pour l’anonymisation des photos et des vidéos
Dans les systèmes de traitement d’images, la conservation ne concerne pas uniquement le fichier CCTV brut. Elle couvre également les fichiers après traitement, les exports destinés à des tiers et les versions préparées pour publication. Si le responsable du traitement souhaite utiliser un extrait d’enregistrement en dehors de la finalité initiale de sécurité, par exemple à des fins de formation, de preuve ou d’information, il doit évaluer si les visages et les plaques d’immatriculation doivent être floutés.
Le floutage automatique des visages et des plaques d’immatriculation repose généralement sur des modèles de deep learning qui détectent d’abord l’objet sur les images, puis appliquent un masque d’anonymisation. Un tel modèle d’IA ne modifie toutefois pas, à lui seul, les règles de conservation. Il réduit simplement l’exposition des données identifiantes dans les contenus réutilisés. Dans Gallio PRO, l’anonymisation automatique ne concerne que les visages et les plaques d’immatriculation. D’autres éléments, tels que les logos, les tatouages, les badges d’identification ou les documents visibles à l’écran, nécessitent un travail manuel dans l’éditeur.
Paramètres clés et pratique opérationnelle
Pour le DPO et le responsable du traitement, les jours de conservation ne sont pas les seuls éléments importants : les paramètres pouvant être contrôlés et démontrés lors d’un audit le sont tout autant. La durée de conservation doit être liée à la configuration du système, à la capacité de stockage et à la procédure de suppression.
Paramètre | Signification | Exemple de contrôle
|
|---|---|---|
Conservation nominale | Nombre de jours défini dans le système | 7 jours, 14 jours, 90 jours |
Conservation réelle | Durée effective de disponibilité de l’enregistrement | Vérification que l’écrasement intervient conformément au calendrier |
Durée de conservation d’une preuve | Période de conservation après exclusion du cycle d’écrasement | Jusqu’à la fin de la procédure ou à l’expiration du délai prévu par la réglementation |
Délai d’anonymisation secondaire | Temps nécessaire pour préparer une version destinée au partage | SLA internes, par ex. 24 à 72 heures après la demande |
Piste d’audit | Preuve de la personne ayant sécurisé, copié ou supprimé le contenu, et du moment où cela a été fait | Registre des opérations administratives adapté à la finalité et au périmètre du traitement |
Une formule utile pour une politique de conservation peut être décrite ainsi : durée de conservation = temps minimal nécessaire pour détecter un incident + temps nécessaire pour le signaler et le sécuriser. Si ce résultat dépasse la pratique standard du secteur, le responsable du traitement doit disposer d’une justification documentée.
Défis, divergences et conformité au RGPD
Le problème le plus fréquent consiste à reprendre les délais appliqués par d’autres organisations sans analyser la finalité. Le deuxième problème est la conservation des exports en dehors du calendrier central de conservation. Le troisième est l’absence de distinction entre le matériel source et le matériel anonymisé. Une copie anonymisée peut être conservée plus longtemps que le matériel source uniquement si elle ne permet réellement plus d’identifier une personne ou s’il existe une base distincte pour la poursuite du traitement.
En matière de plaques d’immatriculation, il existe une divergence d’interprétation. En Pologne, la jurisprudence de la Cour administrative suprême a parfois retenu qu’un numéro d’immatriculation ne constitue pas toujours, à lui seul, une donnée à caractère personnel. D’un autre côté, la pratique de l’UODO et les lignes directrices du CEPD soutiennent une approche prudente, selon laquelle une plaque peut permettre une identification indirecte, en particulier lorsqu’elle est recoupée avec d’autres données. Dans une logique de conformité, il est donc plus sûr de traiter les plaques comme des données nécessitant une protection dans les contenus destinés à être communiqués.