La CNPD doit-elle être consultée avant la mise en place d'un système de vidéosurveillance ?
Réponse courte
La consultation préalable de la CNPD n'est obligatoire que dans un cas précis : lorsque l'AIPD (article 35 du RGPD) révèle un risque résiduel élevé pour les droits et libertés des salariés que l'employeur ne peut atténuer par des mesures appropriées (article 36 du RGPD). Hors cette hypothèse, aucune déclaration ni autorisation préalable n'est requise depuis l'entrée en vigueur du RGPD le 25 mai 2018.
Le régime applicable est désormais celui de l'accountability : l'employeur reste pleinement responsable de la conformité du dispositif, doit tenir un registre des traitements (article 30 du RGPD), informer les salariés, consulter la délégation du personnel (article L.414-9), et pouvoir démontrer à la CNPD la conformité de son installation lors d'un contrôle a posteriori.
Définition
La consultation préalable de la CNPD est une procédure exceptionnelle prévue à l'article 36 du RGPD : elle ne remplace pas l'AIPD mais s'enchaîne lorsque celle-ci ne permet pas de réduire le risque à un niveau acceptable.
Le principe d'accountability (article 5(2) du RGPD) inverse la logique de l'autorisation préalable : c'est désormais à l'employeur de documenter sa conformité, sans intervention systématique de la CNPD.
Questions fréquentes
Conditions d’exercice
La consultation préalable n'est ni la règle ni un cas isolé : elle se déclenche uniquement après une AIPD aboutissant à un risque résiduel élevé, ce qui doit alerter sur la légitimité même du projet.
| Condition | Exigence concrète |
|---|---|
| AIPD préalable | Article 35 du RGPD : obligatoire si risque élevé pour les droits et libertés |
| Risque résiduel élevé | L'AIPD ne permet pas de réduire le risque à un niveau acceptable |
| Consultation article 36 | Obligatoire dans ce seul cas, avec dossier complet à transmettre |
| Délai de réponse CNPD | 8 semaines (extensibles à 14) à compter de la réception du dossier |
| Hors ces cas | Aucune déclaration ni autorisation préalable depuis le 25 mai 2018 |
Modalités pratiques
L'AIPD est l'élément central : un dispositif déployé sans AIPD lorsque celle-ci était requise est sanctionnable indépendamment de la consultation préalable de la CNPD.
| Démarche | Précision |
|---|---|
| AIPD documentée | Article 35 du RGPD : analyse écrite des risques et mesures d'atténuation |
| Évaluation du risque résiduel | Si élevé, consultation CNPD obligatoire |
| Dossier de consultation | Description du traitement, AIPD, mesures envisagées |
| Avis CNPD | Recommandations à intégrer avant mise en service |
| Registre des traitements | Article 30 RGPD : finalités, durées, destinataires |
| Information des salariés | Notice individuelle et affichage obligatoires |
| Consultation délégation | Article L.414-9 : co-décision pour ≥ 150 salariés |
Pratiques et recommandations
Réaliser systématiquement une AIPD pour tout projet de vidéosurveillance.
Documenter précisément les mesures d'atténuation des risques identifiés.
Tenir le registre des traitements à jour avec finalités, durées et destinataires.
Désigner un DPO ou un référent en cas de dispositif d'envergure.
Solliciter un avis informel de la CNPD en cas de doute, sans attendre une situation litigieuse.
Réviser l'AIPD à chaque modification substantielle du dispositif.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. 35 du RGPD | Analyse d'impact relative à la protection des données |
| Art. 36 du RGPD | Consultation préalable de l'autorité de contrôle |
| Art. 30 du RGPD | Registre des activités de traitement |
| Art. 5(2) du RGPD | Principe d'accountability |
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel |
| Loi modifiée du 1er août 2018 | Régime général de protection des données |
Note
L'absence de consultation lorsqu'elle est requise par l'article 36 du RGPD constitue une violation autonome exposant l'employeur à des sanctions administratives jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. La CNPD effectue des contrôles a posteriori et peut sanctionner toute non-conformité documentée.