Guide 2025 de la réglementation belge en vidéosurveillance pour les entreprises : obligations, conformité RGPD et bonnes pratiques

La vidéosurveillance est devenue un outil central de la sécurité en entreprise, que ce soit pour la protection des personnes, la prévention des vols, le contrôle des accès ou la sécurisation des sites sensibles. En Belgique, l’installation et l’utilisation de caméras de surveillance sont strictement encadrées par un ensemble de textes légaux, dont la loi dite « caméras », le Règlement général sur la protection des données (RGPD) et la loi belge du 30 juillet 2018. Un système non conforme peut entraîner des sanctions administratives, pénales et une atteinte à la réputation de l’entreprise.

Ce guide 2025 fait le point sur la réglementation belge en vidéosurveillance pour les entreprises, les obligations de conformité RGPD et les bonnes pratiques à mettre en œuvre.

Cadre légal belge applicable à la vidéosurveillance en entreprise

En Belgique, la réglementation en matière de caméras de surveillance repose principalement sur :

La loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance (dite « loi caméras »), telle que modifiée, notamment par la loi du 21 mars 2018.

La loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui complète le RGPD.

Le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), directement applicable depuis le 25 mai 2018.

Certains arrêtés royaux d’exécution qui précisent les modalités pratiques (pictogrammes, enregistrements, etc.).

La loi « caméras » définit les règles spécifiques aux systèmes de vidéosurveillance installés dans des lieux accessibles ou non au public, tandis que le RGPD et la loi de 2018 régissent tout traitement de données à caractère personnel, ce qui inclut les images de personnes identifiables.

Les entreprises, en tant que responsables de traitement, doivent donc respecter le cumul de ces textes. La vidéosurveillance est légale en Belgique, à condition d’être nécessaire, proportionnée, déclarée le cas échéant et de respecter les droits des personnes filmées.

Champ d’application : quels systèmes et quels lieux sont concernés ?

La loi du 21 mars 2007 s’applique à toute caméra de surveillance fixe ou mobile utilisée pour prévenir, constater ou déceler des infractions, des nuisances, ou pour maintenir l’ordre et la sécurité.

Elle distingue notamment :

Les lieux accessibles au public : parkings, magasins, halls d’accueil, zones de vente, gares, halls d’immeubles ouverts, etc.

Les lieux non accessibles au public : bureaux, entrepôts, ateliers, réserves, zones de stockage internes, locaux techniques.

Les lieux de travail, où s’appliquent en plus des règles spécifiques du droit du travail (surveillance des employés, contrôle de la prestation de travail, etc.).

En pratique, tout système de caméras d’entreprise filmant des personnes (clients, visiteurs, collaborateurs, prestataires) est soumis aux exigences combinées de la loi « caméras » et du RGPD.

Obligations de base pour les entreprises utilisant la vidéosurveillance

Plusieurs obligations s’imposent à toute entreprise qui installe des caméras de surveillance dans ses locaux ou à ses abords.

1. Justifier une finalité légitime et proportionnée

Conformément à l’article 5 du RGPD et à la loi caméras, la vidéosurveillance doit poursuivre une finalité déterminée, explicite et légitime, par exemple :

Prévention des vols et dégradations.

Sécurisation des accès et des zones sensibles.

Protection des personnes (clients, personnel, sous-traitants).

La vidéosurveillance ne peut pas être généralisée sans justification. Le principe de proportionnalité implique, par exemple, d’éviter de filmer en permanence des zones où cela n’est pas nécessaire (espaces de pause, lieux sanitaires, zones syndicales, etc.).

2. Information claire des personnes filmées

La loi caméras et l’article 13 du RGPD imposent d’informer les personnes concernées :

Par un pictogramme caméra conforme (modèle légal) à l’entrée de la zone filmée, indiquant au minimum : la présence de caméras, l’identité du responsable de traitement, la finalité de la surveillance et les données de contact.

Par une information plus détaillée (affichette, notice sur le site web, règlement interne) précisant notamment : base légale, durée de conservation, droits d’accès et de rectification, droit d’introduire une réclamation auprès de l’Autorité de protection des données (APD).

3. Enregistrement et durée de conservation des images

La loi caméras fixe une durée maximale de conservation des images d’un mois, sauf cas particuliers (enquête suite à incident, infraction, procédure judiciaire en cours, etc.). Au-delà de ce délai, les images doivent être automatiquement effacées ou rendues anonymes.

Le RGPD impose également que les données ne soient pas conservées plus longtemps que nécessaire au regard de la finalité poursuivie (principe de minimisation et de limitation de conservation).

4. Sécurisation technique et organisationnelle

Les articles 24 et 32 du RGPD imposent au responsable de traitement de mettre en place des mesures de sécurité appropriées pour protéger les images :

Contrôle des accès aux enregistrements (authentification, profils d’accès limités).

Chiffrement des flux vidéo et des enregistrements lorsque c’est possible.

Journalisation des consultations et exportations d’images.

Procédures internes sur qui peut visionner, pour quelles raisons et comment documenter ces accès.

Contrats de sous-traitance conformes au RGPD si un prestataire IT ou sécurité gère le système.

Déclaration des caméras de surveillance : obligations en 2025

La loi du 21 mars 2007 impose une déclaration préalable des caméras dans de nombreux cas, via l’outil en ligne mis à disposition par le SPF Intérieur (plateforme de déclaration des caméras).

En fonction du type de lieu surveillé, l’entreprise doit :

Déclarer les caméras installées dans les lieux accessibles au public, en précisant leur emplacement, la finalité, les caractéristiques techniques et les personnes responsables.

Déclarer également certaines caméras situées dans des lieux non accessibles au public, lorsque les conditions de la loi sont remplies.

Cette déclaration remplace les anciennes obligations d’enregistrement auprès de la Commission de la protection de la vie privée (devenue Autorité de protection des données). Le non-respect de cette obligation de déclaration est passible de sanctions pénales prévues par la loi caméras.

Vidéosurveillance et conformité RGPD : points clés pour les entreprises

Un système de vidéosurveillance implique un traitement de données personnelles au sens du RGPD dès lors que des personnes sont identifiables. Les entreprises doivent donc intégrer la vidéosurveillance dans leur démarche de conformité RGPD.

Base légale du traitement

Le responsable de traitement doit identifier sur quelle base juridique il s’appuie (article 6 du RGPD) :

Intérêt légitime (sécurité des biens et des personnes, prévention des fraudes, etc.) dans la plupart des cas pour les entreprises privées.

Éventuellement obligation légale dans des secteurs spécifiques (banques, sites sensibles, infrastructures critiques).

Le recours au consentement est rarement approprié en matière de vidéosurveillance, en raison du déséquilibre évident entre l’entreprise et les personnes filmées.

Analyse d’impact (PIA ou DPIA)

Dans certains cas, une analyse d’impact relative à la protection des données (DPIA, article 35 du RGPD) est recommandée, voire obligatoire, notamment :

Surveillance systématique d’une zone accessible au public à grande échelle.

Surveillance extensive de postes de travail ou de zones sensibles.

Cette analyse permet d’identifier les risques pour les droits et libertés des personnes (surveillance excessive, profilage, fuite d’images, etc.) et de définir les mesures de mitigation (angles de caméra limités, floutage, réduction de la durée de conservation, etc.).

Tenue d’un registre des activités de traitement

Conformément à l’article 30 du RGPD, l’entreprise doit tenir un registre des traitements incluant son dispositif de vidéosurveillance : finalités, catégories de données, destinataires, durées de conservation, mesures de sécurité, transferts éventuels, etc.

Droits des personnes filmées

Les personnes concernées disposent des droits prévus par les articles 12 à 22 du RGPD :

Droit d’information (pictogramme et mention détaillée).

Droit d’accès aux images dans lesquelles elles apparaissent, sous réserve de ne pas porter atteinte aux droits de tiers ou à des enquêtes.

Droit à l’effacement, à la limitation ou à l’opposition, lorsque cela est compatible avec la finalité de sécurité poursuivie.

Les entreprises doivent mettre en place des procédures de réponse aux demandes (réponse dans le délai légal, vérification d’identité, filtrage ou floutage des tiers apparaissant sur les images, etc.).

Spécificités pour la vidéosurveillance sur le lieu de travail

La vidéosurveillance des travailleurs est particulièrement sensible. Outre la loi caméras et le RGPD, les règles du droit du travail et certaines conventions collectives s’appliquent, notamment en matière de contrôle du comportement et de la performance.

Les bonnes pratiques comprennent :

Informer clairement les travailleurs et leurs représentants (conseil d’entreprise, délégation syndicale) de l’installation des caméras.

Limiter autant que possible la surveillance directe des postes de travail.

Éviter de filmer en permanence des zones de détente, vestiaires, réfectoires.

Documenter dans le règlement de travail les finalités et modalités de la vidéosurveillance.

En cas d’utilisation des images comme preuve disciplinaire ou dans un litige, les conditions de légalité de la surveillance seront examinées par les juridictions compétentes (respect de la vie privée, transparence, proportionnalité).

Bonnes pratiques pour concevoir un système de vidéosurveillance conforme

Pour les responsables sécurité, les responsables IT et les dirigeants d’entreprise, la mise en place d’un dispositif conforme passe par une approche structurée.

1. Cartographier les besoins et les zones à risque

Identifier les objectifs de sécurité (intrusion, vol, agression, sabotage…).

Déterminer les zones réellement à risque (accès sensibles, zones de valeur, parkings, quais de chargement).

Éviter de filmer des zones sans enjeu de sécurité ou pouvant porter une atteinte disproportionnée à la vie privée.

2. Intégrer la conformité dès la phase de conception

Travailler avec des fournisseurs et intégrateurs familiers de la réglementation belge sur les caméras de surveillance.

Prévoir les pictogrammes, les procédures de gestion des droits et des demandes d’accès, la politique de conservation et d’effacement.

Intégrer des fonctions techniques utiles : masquage de certaines zones, floutage automatique, gestion des droits utilisateurs, logs d’accès.

3. Formaliser les procédures internes

Rédiger une politique de vidéosurveillance à usage interne, décrivant les finalités, le périmètre, les rôles et responsabilités.

Former les personnels habilités à visionner les images (réception, sécurité, direction) à la confidentialité et aux obligations légales.

Documenter la gestion des incidents : comment extraire des images, qui décide, comment les transmettre à la police, comment les conserver en cas de procédure.

4. Vérifier régulièrement la conformité et l’adéquation du dispositif

Réaliser des audits périodiques (techniques, juridiques et organisationnels).

Réévaluer la nécessité de certaines caméras ou de certaines zones filmées.

Mettre à jour les mentions d’information, le registre des traitements et les déclarations en cas de modification du système.

Rôle des fournisseurs et prestataires de vidéosurveillance

Les installateurs, sociétés de sécurité et prestataires IT qui déploient des systèmes de vidéosurveillance agissent souvent en tant que sous-traitants au sens du RGPD (article 28). L’entreprise reste responsable de traitement mais doit :

Choisir des fournisseurs maîtrisant la réglementation belge en vidéosurveillance et capables de proposer des solutions conformes.

Conclure un contrat de sous-traitance détaillant les instructions, les mesures de sécurité, la gestion des images et les obligations en cas de violation de données.

Vérifier que le prestataire ne conserve pas indûment des images et n’en fait aucun usage non autorisé.

Pour les entreprises multi-sites ou multi-pays, la coordination entre le droit belge, le RGPD et d’éventuelles réglementations locales supplémentaires est essentielle, tout en garantissant une gouvernance centralisée des systèmes de vidéosurveillance.

Ressources officielles et références réglementaires utiles

Pour approfondir et rester à jour des évolutions légales en 2025, il est recommandé de consulter :

Le texte de la loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance (Moniteur belge).

Le Règlement (UE) 2016/679 (RGPD), en particulier les articles 5, 6, 24, 30, 32 et 35.

La loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Les recommandations et lignes directrices de l’Autorité de protection des données (APD) en Belgique concernant la vidéosurveillance.

Les informations pratiques du SPF Intérieur concernant la déclaration des systèmes de caméras de surveillance.

En intégrant ces exigences dans leur stratégie de sûreté et de conformité, les entreprises peuvent tirer pleinement parti de la vidéosurveillance comme outil de sécurité, tout en respectant les droits fondamentaux des personnes et en limitant les risques juridiques et réputationnels.