Conformité GDPR pour les caméras CCTV dans les boutiques européennes : Guide pratique pour les propriétaires en 2026

Si vous gérez un magasin de détail, un café, un restaurant ou toute entreprise avec des locaux physiques dans l'UE, vous avez presque certainement une vidéosurveillance. Et si vous avez une vidéosurveillance, le RGPD s'applique à vous — que vous y ayez pensé ou non.

Les conséquences d'une erreur dans ce domaine ne sont pas théoriques. Les autorités de protection des données à travers l'UE ont infligé des amendes à des entreprises de vente au détail pour diverses violations : conservation des images plus longtemps que nécessaire, omission d'informer les clients sur les caméras, capture d'un espace public plus étendu que justifié, et utilisation des images à des fins dépassant ce qui a été communiqué aux clients.

Ce guide est conçu pour les propriétaires d'entreprises de détail qui veulent bien faire en matière de conformité — non seulement pour éviter les amendes, mais aussi pour construire un système qui protège véritablement leur entreprise, leurs clients et leurs employés.

Le RGPD S'applique-t-il Vraiment à Mon Magasin ?

Oui. Le RGPD s'applique à toute entreprise qui traite des données personnelles — ce qui signifie toute entreprise qui enregistre des images d'individus identifiables. Une caméra de vidéosurveillance qui capture des clients entrant dans votre magasin, du personnel travaillant en salle de vente, ou toute personne sur vos locaux, traite des données personnelles au sens du RGPD.

Cela s'applique indépendamment de :

– La taille de votre entreprise (le RGPD s'applique aux entreprises de toutes tailles)

– Que vous consultiez activement les images ou qu'elles soient simplement enregistrées automatiquement

– Que vous ayez déjà eu un incident nécessitant l'utilisation des images

– Que vous soyez un magasin d'une seule personne ou une chaîne

Dès que vous installez une caméra, vous devenez un responsable du traitement au sens du RGPD — responsable de la manière dont ces images sont collectées, stockées, utilisées et finalement supprimées.

Il y a une idée fausse courante qui doit être corrigée : l'idée que les caméras tournées uniquement vers l'intérieur, dans un espace que vous possédez, signifient que le RGPD ne s'applique pas. C'est incorrect. Le RGPD s'applique au traitement des données personnelles dans le cadre d'une activité commerciale. Un magasin est une activité commerciale. Les clients et les employés filmés sur ces lieux sont des individus identifiables. Le RGPD s'applique.

Sur Quelle Base Légale Dois-je M'appuyer ?

Chaque système de vidéosurveillance a besoin d'une base légale documentée pour le traitement. Pour la plupart des entreprises de détail, ce sera intérêts légitimes (article 6(1)(f) du RGPD) — l'intérêt à protéger vos biens, à prévenir le vol, à assurer la sécurité du personnel et à enquêter sur les incidents.

La question n'est pas de savoir si vous avoir un intérêt légitime — la plupart des entreprises de détail en ont clairement un. La question est de savoir si votre utilisation spécifique de la vidéosurveillance est proportionnée à cet intérêt. C'est là que de nombreuses entreprises échouent.

Considérez deux scénarios :

Scénario 1 : Un magasin installe des caméras à l'entrée, aux caisses et dans la réserve — toutes clairement destinées à prévenir le vol et à protéger les biens. La caméra d'entrée capture une vue étroite de la porte. La caméra de caisse couvre la zone du comptoir. La caméra de la réserve couvre la zone de stockage. Cela est proportionné à l'objectif déclaré.

Scénario 2 : Le même magasin installe des caméras grand angle qui capturent l'ensemble de la surface de vente, le trottoir public devant l'entrée et les vitrines de l'entreprise voisine. Il dispose également d'une caméra dans la salle de pause. Cela est presque certainement disproportionné. Les caméras capturent des zones et des personnes sans lien avec la prévention du vol. La caméra de la salle de pause soulève des préoccupations supplémentaires concernant la vie privée des employés.

Le test est simple : un client raisonnable accepterait-il d'être filmé à cet endroit pour cet objectif ? Si la réponse est oui, la caméra est probablement proportionnée. Si la réponse est non, elle ne l'est probablement pas.

Où Puis-je Légalement Placer des Caméras ?

Les lignes directrices de l'EDPB sur la vidéosurveillance établissent le cadre à l'échelle de l'UE. Dans ce cadre, les décisions de placement des caméras doivent suivre cette logique :

Généralement autorisé dans le commerce de détail

– Points d'entrée et de sortie — qui est entré, quand, et dans quelle direction

– Zones de caisse et de paiement — l'emplacement à plus haut risque pour le vol et les litiges

– Réserves et zones arrière — protection des stocks

– Couloirs intérieurs et cages d'escalier — sécurité et contrôle d'accès

– Périmètre et zones de stationnement — protection des biens

– Espace de vente client — lorsque justifié par un risque de vol ou pour la sécurité

Généralement interdit

– Toilettes et vestiaires — strictement interdit

– Salles de pause du personnel — les employés ont une attente raisonnable de confidentialité pendant les pauses

– Toute zone où les clients ont une attente spécifique de confidentialité — cabines d'essayage, zones de consultation, comptoirs de pharmacie

Capturer les Trottoirs Publics

C'est l'une des manquements à la conformité les plus courants dans le commerce de détail. Une caméra positionnée à l'entrée d'un magasin capturera inévitablement une partie du trottoir public à l'extérieur. Dans la plupart des cas, cela est acceptable si c'est accessoire — la caméra est dirigée vers l'entrée, pas vers la rue, et les images du trottoir sont un effet secondaire plutôt que l'objectif.

Cependant, les caméras positionnées pour capturer des vues larges des rues publiques, des zones piétonnes ou des espaces publics au-delà de l'entrée immédiate du magasin nécessitent une justification supplémentaire. Plus vous capturez d'espace public, plus il est difficile de soutenir que la surveillance est proportionnée.

Règle pratique : Si votre caméra capture plus d'environ 2–3 mètres de trottoir public au-delà de votre entrée, évaluez si l'angle peut être ajusté pour réduire cela. Le masquage de la vie privée — un logiciel qui masque des zones spécifiques de la vue de la caméra — est un outil pratique pour réduire la capture non intentionnelle.

L'exigence de signalisation : plus qu'un simple panneau

Le RGPD britannique exige que les personnes soient informées de la mise en service de la vidéosurveillance avant d'être enregistrées. Pour une entreprise de vente au détail, cela signifie une signalétique.

Les directives du CEPD et de l'ICO sont claires : les panneaux doivent être :

– Clairement visible — pas caché derrière une étagère ou à hauteur de genoux

– Facile à comprendre — pas de langage juridique ou de jargon

– Présent à chaque entrée vers la zone surveillée

Un panneau de vidéosurveillance conforme au RGPD doit informer les clients :

1. Que la vidéosurveillance est en fonctionnement

2. Qui en est responsable (le nom de l'entreprise)

3. L'objet de la surveillance (sécurité, prévention du vol, sûreté)

4. Où ils peuvent trouver plus d'informations (une notice de confidentialité, un site web, un numéro de contact)

Exemple de panneau conforme

“`

Vidéosurveillance en fonctionnement

Ces locaux sont protégés par vidéosurveillance pour des raisons de sécurité publique, de prévention de la criminalité et de protection des biens.

Responsable du traitement : [Nom de l'entreprise]

Pour plus d'informations sur la façon dont nous utilisons la vidéosurveillance, veuillez consulter notre notice de confidentialité à l'adresse [URL] ou demander à un membre du personnel.

“`

Ce panneau répond aux exigences légales. Il est clair, il identifie le responsable et il dirige les personnes vers l'endroit où elles peuvent trouver plus d'informations.

Conservation : le domaine où la plupart des détaillants échouent

C'est la violation du RGPD la plus courante dans la vidéosurveillance du commerce de détail, et la plus facile à corriger.

La règle est absolue : les images ne doivent pas être conservées plus longtemps que nécessaire. Pour un magasin de détail typique, cela signifie :

– 30 jours est la norme pratique. La plupart des entreprises n'ont aucune raison de conserver les images au-delà d'un mois. Après 30 jours, la probabilité d'identifier un incident spécifique à partir des images diminue considérablement, et le principe de minimisation des données exige la suppression.

– Une conservation plus longue nécessite une justification spécifique. Si vous avez une enquête en cours, un litige avec un client ou une réclamation d'assurance active, vous pouvez conserver des images spécifiques plus longtemps. Cette conservation doit être documentée et les images supprimées dès que l'affaire est résolue.

– La conservation par habitude n'est pas légale. “ Nous avons toujours conservé les images pendant six mois ” n'est pas une justification. Les durées de conservation doivent être basées sur des besoins réels de l'entreprise, et non sur ce que vous avez toujours fait.

Comment Mettre en Œuvre la Suppression Automatique

La plupart des systèmes de vidéosurveillance modernes prennent en charge la suppression automatique programmée. Configurez votre système pour :

– Remplacer automatiquement les images les plus anciennes lorsque le stockage est plein

– Supprimer toutes les séquences vidéo de plus de 30 jours, sauf si des séquences spécifiques ont été marquées pour conservation dans le cadre d'une enquête en cours

– Consigner toute instance où des séquences vidéo sont conservées au-delà de la période standard et la raison pour laquelle

Si votre système actuel ne prend pas en charge la suppression automatique, c'est une mise à niveau prioritaire. Les processus de suppression manuelle sont peu fiables — quelqu'un doit se souvenir de le faire, et dans un environnement de vente au détail chargé, cela finira par être oublié.

Puis-je Utiliser les Images de Vidéosurveillance pour Surveiller le Personnel ?

This is a question many retailers have, and the answer requires care.

If you installed CCTV primarily for shop security — protecting against customer theft, vandalism, and property damage — using that same footage to monitor staff behaviour, check attendance, or gather evidence for disciplinary proceedings is a secondary purpose.

This is not automatically prohibited, but it is not automatically permitted either. The key question is whether your staff were informed that footage might be used for these purposes.

If your staff privacy notice, employment contracts, or induction materials clearly state that CCTV footage may be used for performance management and disciplinary proceedings, then using footage for these purposes is generally acceptable — provided it is proportionate to the original security purpose.

If staff were only told that CCTV was for “security”, using footage to monitor their behaviour or conduct a new investigation about something unrelated to security is likely to be challenged. The ICO guidance on this is clear: using security CCTV for staff monitoring without adequate disclosure is a potential violation of both data protection law and employment law.

Best practice: Include a clear statement in your employment contracts and staff privacy notice that CCTV may be used for security, safety, and — where proportionate and consistent with the original purpose — performance management and disciplinary purposes.

Qu'en est-il de l'enregistrement audio ?

Many retail CCTV systems include audio — capturing customer conversations as well as video. In most EU jurisdictions, audio recording is subject to stricter rules than video.

Under UK GDPR, recording audio in a retail environment raises additional considerations:

– The Information Commissioner’s Office considers audio recording to be more privacy-intrusive than video alone, particularly when capturing private conversations

– Recording customer conversations without their knowledge may engage additional legal frameworks beyond the GDPR, including laws around interception of communications

– In a retail context, audio recording of customer interactions (at the till, during a refund, in a changing room) raises particular concerns about capturing sensitive personal information

Practical recommendation for most retailers: Disable audio recording unless you have a specific, documented reason to have it on, and have taken legal advice on your jurisdiction’s requirements.

Gestion des Demandes d'Accès aux Images

Under the GDPR, individuals have the right to access footage in which they appear. This is called a Data Subject Access Request (DSAR).

In a retail context, DSARs typically come from:

– Customers who believe they were treated unfairly and want to see what happened

– Former employees involved in disciplinary proceedings

– Individuals making a complaint about an incident in the shop

Responding to a DSAR involving CCTV footage requires:

1. Locating the relevant footage within the one-month response window

2. Reviewing the footage to identify other individuals who may need to be redacted

3. Editing the footage to obscure the faces and identifying features of unrelated third parties (or having a clear legal basis for disclosure without redaction)

4. Providing the footage in a format the requester can access

5. Documenting the response for accountability purposes

DSARs that involve CCTV footage of other customers create a practical tension: you have an obligation to provide the requester with footage of themselves, but you also have an obligation to protect the privacy of other individuals who appear in the same footage.

The ICO’s guidance is that where footage includes third parties who cannot practically be removed, the data controller may provide the footage with the third parties blurred — or may decline to provide the footage altogether if blurring is not feasible. Document the decision either way.

Que Faire Si les Images Montrent un Incident

When CCTV footage captures what appears to be a crime — a theft, an assault, vandalism — the instinct is to hold onto it indefinitely. This is understandable, but it conflicts with your retention obligations.

The correct approach:

1. Secure the relevant footage immediately by downloading it to a separate, protected location

2. Document the download — time, date, who made the copy, and the reason

3. Flag the footage for extended retention — note the specific incident, the date, and the reason it is being retained beyond the standard period

4. Contact the police if a crime has been committed and the footage may assist their investigation

5. Do not share the footage publicly — sharing identifiable footage of individuals on social media or with media organisations is a data protection violation in most circumstances

6. Delete the footage once the matter is resolved (criminal case concluded, disciplinary resolved, insurance claim settled, or confirmed no further action is needed)

Dois-je m'inscrire auprès de l'ICO ?

UK businesses with CCTV that processes personal data are required to pay the data protection fee to the Information Commissioner’s Office — currently £40 per year for small organisations using up to 10 CCTV cameras, or £60 for organisations with more complex processing.

This is a common oversight. Many small retailers are not aware they need to register. Not registering is an offence — and it is one that the ICO does actively enforce, particularly following complaints.

Registration is straightforward and can be completed online at the ICO website. The process takes 15–20 minutes and requires you to describe what CCTV data you process, why, and how long you retain it.

For EU businesses, the equivalent obligation is notification to the national data protection authority — though in most EU countries, this is incorporated into the GDPR compliance framework rather than being a separate registration fee.

Élaborer Votre Liste de Conformité pour la Vidéosurveillance

Work through this list before relying on your CCTV system:

Lawful basis and purpose:

– [ ] I have documented the specific lawful basis for my CCTV processing (legitimate interests)

– [ ] I have documented the specific purposes for which footage is used (security, theft prevention, safety)

– [ ] I have conducted a balancing test confirming that my monitoring is proportionate to these purposes

Camera placement:

– [ ] No cameras are placed in toilets, changing rooms, or staff break rooms

– [ ] Cameras do not capture more public space than is necessary

– [ ] I have considered using privacy masking to exclude unintended areas from recording

Transparence:

– [ ] CCTV signs are displayed at every entrance to the monitored area

– [ ] Signs identify the business as the data controller

– [ ] Signs direct people to where they can find more information

– [ ] Staff have been informed about CCTV in writing (employment contract or privacy notice)

Rétention:

– [ ] I have a documented retention period (30 days is the standard for most retail)

– [ ] Automatic deletion is configured and tested

– [ ] I have a process for flagging and retaining footage related to active incidents

Access and security:

– [ ] Only authorised staff can access CCTV footage

– [ ] CCTV systems are protected with strong passwords (changed from defaults)

– [ ] Firmware on CCTV hardware is kept updated

– [ ] I have a process for responding to DSARs within one month

Registration and documentation:

– [ ] I am registered with the ICO (UK) or the relevant national DPA (EU)

– [ ] I have a documented CCTV policy that is reviewed annually

– [ ] I have a record of who has access to the CCTV system and why

L'Argument Commercial pour Bien Faire les Choses

Beyond avoiding fines, GDPR-compliant CCTV delivers genuine business value. Footage that is properly managed, retained for the right period, and accessible when needed is an effective tool for:

– Deterring opportunistic theft — both customer and employee

– Resolving customer disputes — a refund claim contradicted by footage, or a confrontation with no witnesses

– Supporting insurance claims — documented evidence of incidents, break-ins, or property damage

– Employee safety — cameras in cash handling areas and back-of-house protect staff

– Training — anonymised footage used to demonstrate good and poor practice

A system that is poorly managed — retaining too much footage, accessible to too many people, and not documented properly — fails on all of these counts. It exposes the business to regulatory action, provides poor-quality evidence when you actually need it, and creates unnecessary risk for staff and customers.

GDPR compliance is not a burden. It is the difference between a CCTV system that protects you and one that creates liability.

Need a CCTV system that is built for compliance? comment choisir la meilleure caméra cachée en 2026 to explore our range of CE and RoHS-certified retail security cameras — designed for businesses that take both safety and data protection seriously.

---

Questions fréquemment posées

Le RGPD s'applique-t-il à la vidéosurveillance de mon magasin même si je suis une petite entreprise ?

Yes. The GDPR applies to all businesses of any size that process personal data, and CCTV footage of identifiable individuals is personal data. The size of your business, the number of cameras you have, and whether you actively review footage are all irrelevant to whether the GDPR applies. The obligations are the same for a corner shop as for a major retail chain.

Combien de temps puis-je légalement conserver les images de vidéosurveillance ?

The GDPR requires that footage not be kept longer than necessary. For most retail businesses, 30 days is the practical and defensible standard. Retaining footage for 6–12 months without a specific documented reason is not lawful. You may retain specific footage for longer if it relates to an active investigation, insurance claim, or legal proceedings — but this must be documented and the footage deleted as soon as the matter is resolved.

Où dois-je afficher les panneaux de vidéosurveillance ?

You must display signs at every entrance to the area covered by CCTV — that means every door or entry point through which customers or staff enter a monitored space. Signs should be clearly visible, easy to understand, and include the name of the business as the data controller and information about where customers can read the full privacy notice.

Puis-je utiliser mes images de vidéosurveillance dans des procédures disciplinaires du personnel ?

Yes, in most circumstances — but only if your staff have been informed in advance that footage may be used for this purpose. This disclosure should be in their employment contracts and staff privacy notice. If staff were only told CCTV was for “security”, using footage for performance management or unrelated disciplinary investigations may be challenged. Be specific in your disclosure about the purposes for which footage may be used.

Dois-je flouter les autres clients avant de partager les images de vidéosurveillance ?

When a customer submits a DSAR for footage in which they appear, you have an obligation to provide that footage. Where the footage also shows other identifiable individuals who have not consented to disclosure, you should attempt to obscure their identities — by blurring faces, for example — before providing the footage. If obscuring is not feasible, document the decision and consider whether you have a lawful basis to disclose without redaction. Never share identifiable footage of uninvolved individuals without their consent unless you have a specific legal obligation to do so.

Puis-je enregistrer l'audio sur mon système de vidéosurveillance de détail ?

In most EU jurisdictions, audio recording is subject to stricter rules than video. It is more privacy-intrusive and may engage additional legal frameworks. For most retail businesses, the safest approach is to disable audio recording unless you have a specific documented reason and have taken legal advice on your jurisdiction’s requirements. If you do record audio, it must be included in your signage, your privacy notice, and your retention policy.

Dois-je payer la redevance de protection des données à l'ICO ?

UK businesses with CCTV that processes personal data are required to pay the data protection fee to the Information Commissioner’s Office — currently £40 per year for small organisations. Registration is mandatory and the ICO actively enforces this requirement. Businesses that fail to register risk criminal prosecution and a fine. Registration is straightforward via the ICO website and should be completed before you begin operating any CCTV system.