Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Lundi 13 avril 2026
Accueil/AI Act/IA et vidéosurveillance : cadre RGPD et AI Act
AI Act

IA et vidéosurveillance : cadre RGPD et AI Act

Caméras augmentées, reconnaissance faciale, IA et vidéosurveillance : obligations RGPD, interdictions AI Act et position CNIL.

Par Thiebaut DevergrannePublie le 12 avril 2026Mis a jour le 12 avril 202610 min de lecture
Sommaire
  1. Qu’est-ce qu’une caméra augmentée ?
  2. Le cadre juridique : trois textes à articuler
  3. Vidéosurveillance IA en entreprise : les obligations spécifiques
  4. Position de la CNIL sur les caméras augmentées
  5. Mise en conformité : checklist pratique
  6. Ce qu’il faut retenir
  7. FAQ

Les caméras dites « augmentées » ou « intelligentes » se multiplient dans les entreprises, les commerces et les espaces publics. Couplées à des algorithmes d’intelligence artificielle, elles ne se limitent plus à enregistrer des images : elles analysent les comportements, comptent les personnes, détectent des anomalies. Cette évolution technologique soulève des questions juridiques majeures à l’intersection du RGPD, de l’AI Act et du droit du travail français.

Qu’est-ce qu’une caméra augmentée ?

Une caméra augmentée est un dispositif de vidéosurveillance classique couplé à un logiciel de traitement algorithmique des images. Contrairement à une caméra traditionnelle qui se contente de filmer, la caméra augmentée analyse automatiquement les flux vidéo pour en extraire des informations.

Concrètement, ces systèmes peuvent compter le nombre de personnes dans un lieu, détecter l’abandon d’un bagage, analyser des caractéristiques (port du masque, couleur de vêtements), repérer des comportements inhabituels (mouvement de foule, intrusion dans une zone interdite) ou encore estimer l’âge d’une personne.

La CNIL distingue clairement ces dispositifs des systèmes de reconnaissance faciale ou d’identification biométrique, qui relèvent d’un régime juridique encore plus strict. Les caméras augmentées n’ont pas pour objet d’identifier une personne, mais d’analyser des situations. Cette distinction est fondamentale pour déterminer le cadre juridique applicable.

Le cadre juridique : trois textes à articuler

Le déploiement de caméras augmentées se situe à la croisée de trois réglementations que tout responsable de traitement doit articuler.

Le RGPD : socle des obligations

Toute caméra qui filme des personnes identifiables traite des données personnelles. L’ajout d’un traitement algorithmique ne change rien à cette qualification — il renforce même les obligations du responsable de traitement.

Les obligations RGPD applicables sont notamment la définition d’une base légale pour le traitement (le plus souvent l’intérêt légitime au sens de l’Art. 6(1)(f) pour les dispositifs de sécurité), la réalisation d’une analyse d’impact (AIPD) — obligatoire dès lors que le traitement implique une surveillance systématique à grande échelle (Art. 35(3)©), l’information des personnes filmées conformément à l’Art. 13, la limitation de la durée de conservation des images (en pratique, rarement au-delà de 30 jours selon la CNIL) et la mise en place de mesures de sécurité adaptées (Art. 32).

L’intérêt légitime constitue généralement la base légale la plus appropriée, mais il suppose de réaliser une mise en balance entre les intérêts du responsable de traitement et les droits des personnes concernées. Dans mon expérience de conseil auprès d’entreprises, cette mise en balance est souvent négligée — or c’est précisément elle que la CNIL examine en cas de contrôle.

L’AI Act : les nouvelles interdictions

Le règlement européen sur l’intelligence artificielle (AI Act), dont les interdictions relatives aux pratiques à risque inacceptable s’appliquent depuis le 2 février 2025, impose des restrictions majeures sur certains usages de l’IA en matière de vidéosurveillance.

Sont désormais interdits :

  • L’identification biométrique à distance en temps réel dans les espaces publics (sauf exceptions strictement encadrées pour les forces de l’ordre : recherche de victimes d’enlèvement, prévention d’une menace terroriste imminente, localisation de suspects de crimes graves)
  • La constitution de bases de données de reconnaissance faciale par collecte non ciblée d’images (scraping)
  • L’inférence des émotions sur le lieu de travail et dans les établissements d’enseignement (sauf raisons médicales ou de sécurité)
  • La catégorisation biométrique déduisant des caractéristiques sensibles (opinions politiques, orientation sexuelle, convictions religieuses)

À compter du 2 août 2026, les obligations relatives aux systèmes d’IA à haut risque s’appliqueront pleinement, incluant la plupart des systèmes de vidéosurveillance algorithmique utilisés pour l’évaluation de personnes ou le contrôle d’accès.

Les sanctions de l’AI Act sont considérables : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites.

La loi JO 2024 : l’expérimentation française

La loi n° 2023-380 du 19 mai 2023 relative aux Jeux Olympiques et Paralympiques de 2024 a autorisé, à titre expérimental, l’utilisation de caméras augmentées dans les espaces publics pour assurer la sécurité de certains événements sportifs, récréatifs et culturels. Cette expérimentation était encadrée par des garanties strictes : pas de reconnaissance faciale, pas de décision individuelle automatisée, contrôle humain obligatoire.

L’expérimentation s’est terminée le 31 mars 2025. Un rapport d’évaluation a été remis au Parlement et à la CNIL. Début 2025, le gouvernement a appelé à approfondir l’expérimentation, mais à ce jour, aucune base légale pérenne n’a été adoptée pour l’utilisation de caméras augmentées dans les espaces publics en France au-delà du cadre général du RGPD et de l’AI Act.

Vidéosurveillance IA en entreprise : les obligations spécifiques

Le déploiement de caméras augmentées dans un contexte professionnel ajoute une couche supplémentaire d’obligations, liées au droit du travail.

Ce que l’employeur peut faire

Un employeur peut installer des caméras pour la sécurité des biens et des personnes, à titre dissuasif contre le vol ou le vandalisme, ou pour identifier les auteurs d’infractions constatées. L’ajout d’un traitement algorithmique (comptage de personnes, détection d’intrusion dans une zone à accès restreint) est possible, sous réserve de respecter le principe de proportionnalité.

Ce que l’employeur ne peut pas faire

La CNIL a rappelé à de nombreuses reprises que la vidéosurveillance ne peut pas servir à surveiller en permanence les salariés à leur poste de travail. Cette interdiction est renforcée lorsqu’un algorithme analyse les comportements des employés. À titre d’illustration, en 2024, la CNIL a infligé 40 000 € d’amende à une entreprise du secteur immobilier pour surveillance excessive de ses salariés.

Sont interdits ou très fortement encadrés :

  • Le filmage permanent d’un poste de travail
  • L’installation de caméras dans les salles de pause, vestiaires, sanitaires
  • L’analyse algorithmique des émotions ou du comportement des salariés (interdiction renforcée par l’AI Act depuis février 2025)
  • Le suivi individualisé de la productivité par vidéo

Procédure obligatoire

Avant tout déploiement, l’employeur doit consulter le CSE (comité social et économique), informer individuellement chaque salarié (identité du responsable, finalités, base légale, durée de conservation, droits), réaliser une AIPD et, si les caméras filment des zones accessibles au public, obtenir l’autorisation préfectorale.

Position de la CNIL sur les caméras augmentées

La CNIL a publié une position détaillée sur les caméras augmentées dans les espaces publics, après une consultation publique. Les principaux enseignements de cette position sont les suivants.

Les caméras augmentées ne relèvent pas du même régime que la reconnaissance faciale. Elles ne traitent pas de données biométriques au sens de l’Art. 9 du RGPD, dès lors qu’elles ne visent pas à identifier une personne. En revanche, elles traitent bien des données personnelles et doivent respecter l’intégralité du RGPD.

La CNIL insiste sur le risque de « surveillance généralisée ». L’activation continue et automatique de ces dispositifs sur l’ensemble des personnes présentes dans un espace constitue une atteinte disproportionnée si elle n’est pas strictement justifiée par une finalité légitime et encadrée par des garanties appropriées.

La CNIL a également précisé sa position sur l’estimation algorithmique de l’âge dans les bureaux de tabac, considérant que l’activation systématique de ces caméras est disproportionnée car elle empêche les personnes d’exercer leur droit d’opposition garanti par le RGPD.

Pour les véhicules de transport de marchandises, la CNIL a publié des lignes directrices spécifiques sur les caméras augmentées installées dans les habitacles, encadrant notamment la captation d’images des conducteurs.

Mise en conformité : checklist pratique

Pour toute entreprise envisageant de déployer des caméras augmentées, voici les étapes à suivre.

Avant l’installation :

  1. Définir précisément la finalité du dispositif (sécurité, comptage, optimisation de flux)
  2. Vérifier que la finalité ne relève pas d’une pratique interdite par l’AI Act
  3. Réaliser une AIPD documentant les risques pour les droits des personnes
  4. Choisir la base légale appropriée et documenter la mise en balance des intérêts
  5. Consulter le CSE si le dispositif concerne des salariés

Lors du déploiement :

  1. Afficher des panneaux d’information conformes à l’Art. 13 du RGPD (incluant la mention du traitement algorithmique)
  2. Paramétrer la durée de conservation (30 jours maximum en principe)
  3. Restreindre l’accès aux images et aux résultats algorithmiques aux seules personnes habilitées
  4. Documenter le traitement dans le registre des activités de traitement

En fonctionnement :

  1. Mettre en place une procédure de réponse aux demandes d’exercice des droits (accès, opposition)
  2. Effectuer des audits réguliers de proportionnalité
  3. En cas de faille de sécurité affectant les images, notifier la CNIL dans les 72 heures

Ce qu’il faut retenir

  • Les caméras augmentées traitent des données personnelles et sont soumises au RGPD, même si elles n’identifient pas les personnes filmées.
  • L’AI Act interdit depuis février 2025 la reconnaissance faciale en temps réel dans les espaces publics, l’inférence des émotions au travail et la catégorisation biométrique par caractéristiques sensibles.
  • Toute installation de caméra augmentée impose une AIPD, une information transparente des personnes et une durée de conservation limitée.
  • En entreprise, la consultation du CSE et l’information individuelle des salariés sont obligatoires avant tout déploiement.
  • Les sanctions sont lourdes : jusqu’à 20 M€ ou 4 % du CA mondial au titre du RGPD, et jusqu’à 35 M€ ou 7 % au titre de l’AI Act.

FAQ

Les caméras augmentées nécessitent-elles une AIPD ?

Oui, dans la quasi-totalité des cas. L’Art. 35(3)© du RGPD rend l’AIPD obligatoire pour les traitements impliquant une surveillance systématique à grande échelle d’une zone accessible au public. La CNIL a confirmé dans ses lignes directrices que les caméras augmentées entrent dans cette catégorie. Même pour un dispositif limité (par exemple, une caméra de comptage à l’entrée d’un magasin), il est fortement recommandé de réaliser une AIPD compte tenu de la nature algorithmique du traitement.

Un commerçant peut-il utiliser une caméra augmentée pour compter ses clients ?

Oui, sous conditions. Le comptage de personnes sans identification constitue un traitement relativement peu intrusif. Il faudra néanmoins définir une base légale (intérêt légitime), réaliser une AIPD, informer les clients par un affichage conforme et s’assurer que le dispositif ne collecte pas de données au-delà de ce qui est nécessaire au comptage. L’algorithme ne doit ni identifier ni catégoriser les personnes.

La reconnaissance faciale est-elle totalement interdite en France ?

Non, mais elle est très strictement encadrée. L’AI Act interdit l’identification biométrique à distance en temps réel dans les espaces publics, sauf dans trois cas exceptionnels réservés aux forces de l’ordre (recherche de victimes, menace terroriste, suspects de crimes graves), sur autorisation judiciaire préalable. En entreprise, l’utilisation de la reconnaissance faciale pour le contrôle d’accès est possible mais soumise à des conditions très strictes : elle doit être justifiée par un impératif de sécurité élevé, accompagnée d’une AIPD et d’alternatives moins intrusives évaluées.

Quelles sanctions risque une entreprise en cas de non-conformité ?

Le cumul des textes applicables expose l’entreprise à des sanctions significatives. Au titre du RGPD, la CNIL peut infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Au titre de l’AI Act, les pratiques interdites sont passibles d’amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. La CNIL a déjà sanctionné plusieurs organismes pour des manquements liés à la vidéosurveillance, dont une amende de 40 000 € en 2024 pour surveillance excessive de salariés.

Articles lies

AI Act

IA en banque et assurance : conformité AI Act

13 avril 2026 · 10 min
AI Act

Deepfakes : cadre juridique en France

11 avril 2026 · 11 min
AI Act

IA et CNIL : recommandations pratiques 2025-2026

11 avril 2026 · 13 min