Quelle est la durée légale de conservation des images de vidéosurveillance en entreprise ?
Réponse courte
Au Luxembourg, les images de vidéosurveillance se conservent 8 jours en principe : ce délai est suffisant pour l'immense majorité des vérifications de sécurité courantes. L'employeur peut, à titre exceptionnel, prolonger jusqu'à 30 jours maximum s'il documente précisément les raisons de cette extension dans le registre des traitements (nature des locaux, fréquence d'incidents, organisation du travail).
Au-delà de 30 jours, la conservation est jugée disproportionnée sauf en cas d'incident constaté ou de procédure judiciaire en cours, auquel cas seules les séquences pertinentes sont extraites et conservées le temps nécessaire. L'effacement automatique des images doit être configuré techniquement, et tout dépassement injustifié expose l'employeur à des sanctions RGPD (jusqu'à 4 % du chiffre d'affaires mondial).
Définition
La durée de conservation matérialise le principe de limitation posé par l'article 5(1)(e) du RGPD : les données ne sont conservées que pendant une durée n'excédant pas celle nécessaire à la finalité du traitement.
Pour la vidéosurveillance, la CNPD a précisé dans ses lignes directrices une norme à deux niveaux : 8 jours en principe, 30 jours maximum avec justification écrite documentée.
Questions fréquentes
Conditions d’exercice
Le seuil de 8 jours est la règle par défaut ; toute conservation supérieure doit reposer sur une justification écrite documentée dans le registre, et non sur une simple décision verbale.
| Condition | Exigence concrète |
|---|---|
| Principe de 8 jours | Durée standard recommandée, suffisante pour la plupart des incidents |
| Maximum de 30 jours | Justification écrite obligatoire (nature, risques, organisation) |
| Au-delà de 30 jours | Disproportionné sauf incident constaté ou procédure judiciaire |
| Effacement automatique | Configuration technique garantissant la suppression à l'échéance |
| Documentation au registre | Inscription de la durée et de sa justification dans le registre des traitements |
Modalités pratiques
L'effacement automatique configuré techniquement est l'élément principal vérifié par la CNPD : un dispositif sans cycle d'écrasement programmé est presque toujours sanctionné, indépendamment du paramétrage déclaré.
| Démarche | Précision |
|---|---|
| Configuration technique | Effacement automatique programmé après 8 jours par défaut |
| Justification 30 jours | Document écrit motivé (nature des locaux, fréquence d'incidents) |
| Registre des traitements | Article 30 RGPD : durée et justification inscrites |
| Extraction d'incident | Copie des séquences pertinentes uniquement, pas de l'intégralité |
| Conservation prolongée | Limitée aux séquences extraites dans le cadre d'une procédure |
| Audit régulier | Vérification périodique du fonctionnement de l'effacement |
| Notification d'incident | Si dépassement involontaire, traçabilité et information de la CNPD si requis |
Pratiques et recommandations
Configurer un effacement automatique au plus court délai compatible avec la finalité.
Documenter dans le registre toute extension à 30 jours avec justification précise.
Limiter strictement les extractions aux séquences pertinentes pour un incident.
Auditer périodiquement le fonctionnement effectif de l'effacement automatique.
Former le personnel IT à la configuration et à la maintenance du dispositif.
Détruire les extractions après la finalité accomplie ou la clôture de la procédure.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. 5(1)(e) du RGPD | Principe de limitation de la conservation |
| Art. 30 du RGPD | Registre des activités de traitement |
| Art. 32 du RGPD | Sécurité du traitement et destruction des données |
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.261-2 du Code du travail | Sanctions pénales en cas de violation |
| Lignes directrices CNPD vidéosurveillance | 8 jours en principe, 30 jours maximum (mise à jour 2024) |
Note
Le non-respect des durées de conservation expose l'employeur à des sanctions RGPD pouvant atteindre 4 % du chiffre d'affaires mondial et à des sanctions pénales L.261-2. La CNPD contrôle activement la configuration technique de l'effacement automatique et n'hésite pas à sanctionner les manquements.