← Article précédent
Télécharger en PDF
Article suivant →

Quelle est la durée légale de conservation des images de vidéosurveillance en entreprise ?

Réponse courte

Au Luxembourg, les images de vidéosurveillance en entreprise doivent être conservées en principe jusqu'à 8 jours. L'employeur peut exceptionnellement les conserver jusqu'à 30 jours en indiquant les raisons justifiant cette durée prolongée dans le registre des traitements. Une durée supérieure à 30 jours est généralement considérée comme disproportionnée. En cas d'incident ou d'infraction, les images peuvent être conservées au-delà de ces délais pour transmission aux autorités compétentes.

Cette règle s'applique conformément au principe de limitation de la conservation du RGPD et aux lignes directrices de la CNPD Luxembourg.

Définition

La conservation des images de vidéosurveillance désigne la période pendant laquelle l'employeur peut légalement stocker les enregistrements vidéo captés par les caméras installées dans l'entreprise. Ces images constituent des données à caractère personnel soumises au RGPD et aux dispositions spécifiques du Code du travail luxembourgeois.

La durée de conservation doit respecter le principe de proportionnalité : les données doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5(1)(e) du RGPD).

Conditions d’exercice

L'employeur doit respecter plusieurs conditions préalables pour toute conservation d'images :

Conditions légales de base :

  • Finalité légitime de la vidéosurveillance (sécurité, protection des biens)
  • Information collective préalable de la délégation du personnel (article L.261-1 du Code du travail)
  • Information individuelle des salariés selon articles 12 et 13 du RGPD
  • Registre des traitements mentionnant la durée de conservation et ses justifications

Mesures techniques obligatoires :

  • Configuration du système pour suppression automatique après le délai légal
  • Restriction d'accès aux seules personnes habilitées
  • Sécurisation renforcée des systèmes de stockage
  • Destruction effective des images après expiration du délai

Cas particuliers :

  • Conservation prolongée possible en cas d'incident documenté
  • Transmission aux autorités judiciaires ou policières selon procédures légales
  • Extraction d'images spécifiques pour procédures en cours

Modalités pratiques

Gestion standard des images :

Principe général (8 jours) :

  • Configuration automatique : suppression des images après 8 jours calendaires
  • Justification : délai suffisant pour la plupart des vérifications de sécurité
  • Documentation : mention de cette durée dans le registre des traitements
  • Contrôle régulier : vérification du bon fonctionnement de l'effacement automatique

Conservation exceptionnelle (jusqu'à 30 jours) :

  • Justification obligatoire : raisons spécifiques à documenter dans le registre
  • Exemples de justifications : nature sensible des installations, fréquence d'incidents, organisation du travail
  • Validation : décision documentée du responsable du traitement
  • Révision périodique : réévaluation de la nécessité de cette durée prolongée

Conservation au-delà de 30 jours :

  • Principe : généralement considérée comme disproportionnée
  • Exceptions : incident en cours d'investigation, procédure judiciaire, transmission aux autorités
  • Documentation renforcée : justification détaillée et traçabilité complète
  • Limitation : seules les images pertinentes pour l'incident/procédure

Pratiques et recommandations

Organisation administrative :

Procédures écrites obligatoires :

  • Politique de conservation : durées standard et exceptions
  • Procédure d'incident : gestion des prolongations exceptionnelles
  • Registre des accès : qui a consulté quelles images et quand
  • Processus d'effacement : contrôles et validation de la destruction

Formation et sensibilisation :

  • Personnes habilitées : formation aux règles de conservation et d'accès
  • Responsables IT : configuration et maintenance des systèmes d'effacement
  • Management : sensibilisation aux enjeux juridiques et sanctions
  • Procédures d'urgence : gestion des demandes d'extraction en cas d'incident

Contrôles et audits :

Vérifications régulières :

  • Audits techniques : bon fonctionnement de l'effacement automatique
  • Contrôle des durées : respect des délais légaux
  • Révision des justifications : pertinence des conservations prolongées
  • Test des procédures : efficacité des mesures de sécurité

Documentation de conformité :

  • Registre des traitements : mise à jour régulière des informations
  • Journal des incidents : conservation prolongée et justifications
  • Preuves d'effacement : traçabilité de la destruction des images
  • Correspondances CNPD : archivage des échanges en cas de réclamation

Cadre juridique

Règlement (UE) 2016/679 (RGPD) :

  • Art. 5(1)(e) : principe de limitation de la conservation
  • Art. 12-13 : obligation d'information des personnes concernées
  • Art. 30 : registre des activités de traitement
  • Art. 32 : sécurité du traitement et destruction des données

Code du travail luxembourgeois :

  • Art. L.261-1 : surveillance sur le lieu de travail et procédures
  • Art. L.211-8 et L.414-9 : consultation de la délégation du personnel
  • Art. L.261-2 : sanctions pénales en cas de violation

Lignes directrices CNPD Luxembourg :

  • Principe : conservation jusqu'à 8 jours recommandée
  • Exception : jusqu'à 30 jours avec justification écrite
  • Disproportionnalité : au-delà de 30 jours sauf cas spéciaux
  • Mise à jour 2024 : précisions sur l'information et la conservation

Loi du 1er août 2018 :

  • Organisation de la Commission nationale pour la protection des données
  • Procédures de contrôle et de sanction
  • Droits des personnes concernées

Sanctions applicables :

  • RGPD : jusqu'à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros
  • Code du travail : sanctions pénales spécifiques selon article L.261-2
  • Irrecevabilité : images obtenues illégalement non utilisables en justice

Note

Le non-respect des durées de conservation expose l'employeur à des sanctions graves pouvant atteindre 4% du chiffre d'affaires annuel mondial selon le RGPD. La CNPD Luxembourg contrôle activement le respect de ces règles et peut infliger des amendes importantes.

Il est essentiel de configurer les systèmes pour un effacement automatique après 8 jours et de documenter précisément toute conservation prolongée. L'absence de justification écrite pour une conservation dépassant 8 jours constitue une violation du principe de proportionnalité. Aucune autorisation préalable CNPD n'est requise depuis mai 2018, mais les obligations de documentation et d'information restent strictes.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 18.09.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...