Il y a un malentendu qui revient souvent. Beaucoup de responsables de site — et d’élus — pensent qu’une autorisation préfectorale, un pictogramme sur la porte et une durée de conservation calée sur le maximum légal suffisent à se mettre en règle. Ce n’est pas tout à fait faux. Mais ce n’est pas suffisant non plus.
Vidéoprotection et RGPD : les deux coexistent
C’est le point le plus mal compris. La vidéoprotection dans les espaces publics relève du code de la sécurité intérieure — ça, tout le monde le sait. Mais dès qu’un système est capable d’identifier, de caractériser ou d’analyser des personnes physiques, le RGPD s’applique en parallèle. Pas à la place. En plus. C’est la réalité juridique de la plupart des installations modernes, notamment dès qu’elles intègrent de l’analyse algorithmique ou qu’elles sont accessibles à distance.
La CNIL le rappelle régulièrement dans ses délibérations. La captation d’images dans un espace ouvert au public n’échappe pas à toute réglementation sur la protection des données personnelles.
Ce que les contrôles font remonter
Depuis 2024, la CNIL a renforcé ses contrôles sur les dispositifs de vidéoprotection. Trois points reviennent systématiquement.
La durée de conservation, d’abord. La loi fixe un maximum de trente jours. Ce maximum est souvent traité comme une durée par défaut — ce n’est pas ce qu’il est. La durée doit être proportionnée à la finalité réelle du traitement. Conserver trente jours des images d’un hall de mairie où rien ne s’est passé ? Ça ne se justifie pas automatiquement.
Les droits d’accès aux enregistrements, ensuite. Qui peut visionner les images, sur quelle base, dans quel cadre ? Les systèmes qui permettent à n’importe quel agent habilité de consulter les archives sans aucune traçabilité de cet accès exposent leurs gestionnaires à des mises en demeure.
L’information des personnes filmées, enfin. Un pictogramme, c’est une obligation minimale. Mais le RGPD va plus loin : base légale du traitement, finalité, durée de conservation, droits des personnes concernées, coordonnées du DPO. Un panneau « vidéosurveillance en service » ne tient plus dès lors que le système analyse les comportements.
Ce que ça change pour les collectivités
Pour les communes qui déploient ou rénovent leurs dispositifs en ce début de mandat, la conformité n’est pas une formalité. C’est une condition de légitimité. Des associations ont engagé des recours contentieux sur des dispositifs municipaux insuffisamment encadrés. Les décisions récentes sont claires : l’autorisation préfectorale ne couvre pas l’ensemble des obligations. Et la responsabilité du maire, en tant que responsable de traitement, est engagée personnellement.
La position Komanche
La conformité ne s’ajoute pas après coup. C’est pourquoi elle est intégrée dès la conception des architectures Komanche : durées de rétention paramétrées nativement, traçabilité des accès aux enregistrements, gestion des droits par profil, documentation des finalités de traitement. Pas une couche superposée à un système existant. Une architecture pensée pour que le responsable de traitement puisse démontrer sa maîtrise — à tout moment, y compris lors d’un contrôle.

