Vidéosurveillance en 2026 : les nouvelles normes et réglementations

La réglementation encadrant la vidéosurveillance en France évolue régulièrement, et 2026 apporte plusieurs changements importants que particuliers, commerçants et entreprises doivent connaître. Entre le renforcement des exigences CNIL, les nouvelles obligations de cybersécurité pour les équipements connectés, et les précisions apportées par la jurisprudence récente, rester en conformité n'est pas une mince affaire. Chez Supra Sécurité, nos techniciens intervenant dans les Hauts-de-Seine et à Paris restent en veille permanente sur ces évolutions pour vous garantir des installations toujours conformes.

Le cadre juridique de la vidéosurveillance en France

La vidéosurveillance en France est régie par un ensemble de textes qui s'articulent et se complètent. Comprendre ce cadre est essentiel pour tout installateur ou utilisateur responsable.

Les textes fondateurs : loi de 1995 et RGPD

La loi du 21 janvier 1995 d'orientation et de programmation relative à la sécurité constitue le texte fondateur de la vidéosurveillance en France. Elle distingue deux régimes principaux : la vidéosurveillance sur la voie publique (domaine public), soumise à autorisation préfectorale, et la vidéosurveillance dans les lieux non ouverts au public (locaux privés, résidences), qui relève uniquement du RGPD. Le RGPD (Règlement Général sur la Protection des Données), entré en vigueur en mai 2018, s'applique à toute installation filmant des personnes physiques identifiables, qu'elle soit publique ou privée, et impose des obligations de responsabilité, de minimisation des données et de sécurité technique.

Le rôle central de la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité de contrôle française chargée de veiller au respect du RGPD. Elle publie des recommandations pratiques pour les installateurs et les responsables de traitement, sanctionne les manquements (amendes jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros), et répond aux plaintes des particuliers qui estiment être filmés illégalement. En 2024 et 2025, la CNIL a accentué ses contrôles sur les systèmes de vidéosurveillance des entreprises, des bailleurs et des collectivités. Les sanctions pour défaut d'affichage et conservation excessive des images se sont multipliées.

Les évolutions réglementaires significatives en 2026

Plusieurs développements normatifs et réglementaires marquent l'année 2026 pour les utilisateurs de systèmes de vidéosurveillance.

Le Cyber Resilience Act européen et ses implications

Le Cyber Resilience Act (CRA) de l'Union Européenne, adopté fin 2024 et dont les exigences essentielles commencent à s'appliquer progressivement en 2026, impose de nouvelles obligations aux fabricants de produits connectés, dont les caméras de vidéosurveillance. Concrètement, à partir de 2026, les caméras vendues en Europe doivent : bénéficier de mises à jour de sécurité pendant toute leur durée de vie commerciale (minimum 5 ans), intégrer des mécanismes d'authentification robuste (pas de mots de passe par défaut identiques pour tous les appareils), chiffrer les communications entre la caméra et l'enregistreur ou le cloud, et signaler les vulnérabilités découvertes à une base de données européenne. Les caméras bas de gamme importées qui ne respectent pas ces normes ne pourront plus légalement être vendues dans l'UE.

Les nouvelles recommandations CNIL sur la durée de conservation

La CNIL a publié en 2025 de nouvelles recommandations précisant les durées de conservation maximales acceptables selon les usages. Pour une résidence privée filmant l'entrée : 7 jours recommandés, 15 jours maximum justifiable. Pour les parties communes d'immeubles collectifs : 15 jours recommandés, 30 jours maximum légaux. Pour les commerces et entreprises ouverts au public : 30 jours maximum autorisés, sauf circonstances exceptionnelles documentées. Pour les sites sensibles (infrastructures critiques, établissements de nuit) : une dérogation de la CNIL peut permettre une conservation de 60 à 90 jours. Important : la CNIL précise que la conservation doit être le plus courte possible et adaptée à l'objectif poursuivi (principe de minimisation). Conserver 30 jours par défaut sans justification constitue un manquement.

L'encadrement renforcé de l'analyse d'images par IA

L'utilisation de l'intelligence artificielle pour analyser les images de vidéosurveillance fait l'objet d'un encadrement croissant. La reconnaissance faciale à des fins d'identification de personnes dans les espaces publics reste strictement interdite en France pour les acteurs privés, sauf expérimentation encadrée. L'analyse comportementale automatisée (détection de comportements suspects, de bagages abandonnés, de franchissements de lignes virtuelles) est permise mais doit faire l'objet d'une mention dans la politique de confidentialité et ne peut pas entraîner de décisions automatisées affectant les personnes sans intervention humaine. La détection biométrique à des fins de contrôle d'accès (reconnaissance du visage, des empreintes) est soumise à une analyse d'impact (DPIA) obligatoire et requiert un consentement explicite des personnes concernées.

Obligations pratiques selon votre situation

Les obligations réglementaires varient selon que vous êtes un particulier, un commerçant ou une entreprise. Voici un guide pratique.

Pour les particuliers : résidence, appartement, maison

Un particulier qui installe des caméras filmant uniquement l'intérieur de son logement privatif n'a aucune obligation légale particulière au-delà du bon sens (ne pas filmer les visiteurs dans leur vie intime). Si les caméras filment l'entrée du logement ou le jardin privatif, une déclaration à la CNIL n'est pas obligatoire si aucune partie de la voie publique n'est filmée de manière significative. Si une caméra extérieure filme partiellement le trottoir ou une voie publique, le particulier doit pouvoir justifier la nécessité de cet angle et réduire la zone filmée au strict nécessaire. Les images des parties communes d'immeubles (cage d'escalier, hall) doivent faire l'objet d'une décision de copropriété et d'une politique de confidentialité affichée.

Pour les commerces et entreprises

Les commerces et entreprises disposant d'un système de vidéosurveillance doivent tenir un registre de traitement des données personnelles (obligatoire RGPD), afficher des panneaux d'information à l'entrée des zones filmées, fixer une durée de conservation des images et la respecter strictement, désigner un responsable de traitement, répondre aux demandes d'accès des personnes filmées dans un délai d'un mois, et obtenir une autorisation préfectorale si les caméras filment la voie publique. En cas de violation (piratage de vos caméras, fuite d'images), vous devez notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits des personnes filmées.

Pour les gestionnaires d'immeubles et syndics

Les syndics et gestionnaires d'immeubles ont des responsabilités spécifiques. Ils doivent s'assurer que la décision d'installation a bien été prise en AG de copropriété avec le quorum requis, que l'affichage réglementaire est en place et à jour, que les accès aux images sont limités aux personnes autorisées (syndic, gardien, responsable de traitement), que les images sont effacées automatiquement dans les délais légaux, et que les systèmes sont maintenus et mis à jour pour éviter les failles de sécurité. Le syndic engage sa responsabilité personnelle et celle de la copropriété en cas de manquement.

Cybersécurité : une obligation réglementaire et pratique

La cybersécurité des systèmes de vidéosurveillance est devenue un enjeu réglementaire direct en 2026, et pas seulement une bonne pratique.

Les principales vulnérabilités à corriger

Les risques cybersécurité les plus courants sur les systèmes de vidéosurveillance sont les suivants : utilisation de mots de passe par défaut jamais modifiés (permettant un accès non autorisé en quelques secondes), firmwares non mis à jour depuis plusieurs années (vulnérabilités connues et exploitées publiquement), ports de communication ouverts sur internet sans chiffrement (flux RTSP non sécurisé), absence de séparation réseau entre le système de vidéosurveillance et le réseau informatique de l'entreprise, et stockage des images sur des serveurs cloud sans chiffrement de bout en bout. Supra Sécurité intègre une configuration de cybersécurité de base dans chaque installation : changement des mots de passe par défaut, mise à jour des firmwares, chiffrement des communications, et cloisonnement réseau.

Que faire pour mettre votre système en conformité ?

Si votre système de vidéosurveillance a été installé avant 2022, il y a de bonnes chances qu'il ne réponde pas aux exigences de cybersécurité actuelles. Les étapes de mise en conformité sont : audit du système existant (inventaire des équipements, test d'intrusion basique), mise à jour de tous les firmwares vers les dernières versions, changement de tous les mots de passe (caméras, enregistreur, application mobile), activation du chiffrement HTTPS pour l'interface web et du protocole SRTP pour les flux vidéo, mise en place d'un accès VPN pour la consultation à distance, et audit annuel préventif. Supra Sécurité propose ce service de mise en conformité cybersécurité pour les systèmes existants.

Rester en conformité avec les réglementations 2026 sur la vidéosurveillance est possible sans expertise juridique approfondie à condition de s'appuyer sur les bons partenaires. Supra Sécurité, installateur certifié en Île-de-France depuis 2020, garantit la conformité de chaque installation à la date de mise en service et vous fournit toute la documentation nécessaire (registre de traitement, mentions légales, procédures) pour rester en règle dans la durée.

👉 Découvrez notre page dédiée : vidéosurveillance professionnelle.