Registre simplifié des traitements vidéosurveillance

Chaque traitement de vidéosurveillance fait l'objet d'une fiche distincte dans le registre. Une fiche couvre a minima les informations suivantes : nom et description du traitement, nom et coordonnées du responsable de traitement et, le cas échéant, du DPO, finalité(s) précise(s) du traitement, base légale applicable, catégories de personnes concernées, catégories de données traitées, durée de conservation, destinataires des données, sous-traitants impliqués, et description des mesures de sécurité techniques et organisationnelles.

Le registre doit être tenu sous une forme permettant sa mise à jour aisée et sa présentation à la CNIL sur demande. Il peut être tenu sous format papier ou numérique ; ce dernier est préférable pour faciliter les mises à jour et les recherches. Des outils spécialisés (logiciels de gestion de conformité RGPD) ou un simple tableau structuré (tableur, base de données) conviennent.

Site de commerce de détail — Finalité : prévention du vol et protection des biens et des personnes. Base légale : intérêt légitime. Catégories de personnes : clients, visiteurs, personnels. Données traitées : images vidéo. Durée : 7 jours. Destinataires : responsable de sécurité interne, forces de l'ordre sur réquisition. Sous-traitant : Mileo Technology (maintenance). Mesures de sécurité : accès restreint au poste d'enregistrement, journalisation des consultations.

Établissement scolaire — Finalité : sécurisation des accès et protection des élèves sur les espaces extérieurs. Base légale : intérêt légitime ou mission d'intérêt public (selon statut). Catégories de personnes : élèves, personnels, visiteurs autorisés. Données traitées : images vidéo (espaces extérieurs, entrées). Durée : 15 jours. Note : les espaces intérieurs (salles de classe, couloirs) nécessitent une analyse de proportionnalité renforcée et une consultation du CSE.

Site industriel ou logistique — Finalité : sécurisation du périmètre, contrôle des flux de véhicules, prévention des incidents. Base légale : intérêt légitime. Données traitées : images vidéo, données de plaque d'immatriculation (si LAPI). Durée : 30 jours. Note : si les caméras couvrent des postes de travail, une information préalable des représentants du personnel et des salariés est obligatoire en vertu des articles L.2312-38 et L.1222-4 du Code du travail.

Le registre doit être mis à jour à chaque évolution significative des traitements : installation ou suppression de caméras, modification des finalités, changement de sous-traitant, évolution des durées de conservation ou des droits d'accès. Une revue annuelle est recommandée pour vérifier l'exactitude de l'ensemble des fiches, même en l'absence de modification apparente.

La date de dernière mise à jour de chaque fiche doit être consignée. En cas de contrôle de la CNIL, le registre constitue la première pièce demandée pour évaluer la maturité de conformité de l'organisation. Un registre incomplet, obsolète ou inexistant expose l'organisation à une mise en demeure et, le cas échéant, à une sanction financière pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.