Réglementation 13 juin 2026 ⏱️ 9 min de lecture

Caméras et alarmes connectées : ce que la CNIL attend de vous

Vous configurez un système qui filme, écoute, géolocalise. Pour la CNIL, vous n'êtes ni un simple prestataire ni un simple installateur. Vous êtes un acteur de la chaîne RGPD — avec des obligations chiffrées.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Dès qu'un domoticien installe une caméra, un interphone connecté ou une alarme avec détection de présence, des données personnelles sont traitées : le RGPD et la loi Informatique et Libertés s'appliquent.
Le client est responsable de traitement ; vous êtes le plus souvent sous-traitant au sens de l'article 28 du RGPD, avec des obligations contractuelles précises.
La CNIL contrôle activement les installateurs : mots de passe usine non changés, accès à distance non sécurisés et caméras filmant la voie publique sont les motifs de sanction les plus fréquents.
Une charte de pose, un registre de paramétrages et un contrat de sous-traitance type vous protègent juridiquement et limitent votre exposition au régime de sanctions de la CNIL.

Pourquoi un domoticien est désormais dans le viseur de la CNIL

Pendant longtemps, la CNIL concentrait ses contrôles sur les responsables de traitement « visibles » : grandes entreprises, plateformes, employeurs, collectivités. Depuis le développement massif de la maison connectée — caméras IP grand public, sonnettes vidéo, serrures connectées, hubs vocaux —, la chaîne d'acteurs s'est rallongée et l'autorité s'intéresse de près aux installateurs et intégrateurs.

La raison est simple : c'est presque toujours vous qui configurez le mot de passe d'accès, qui décidez de l'angle de la caméra, qui ouvrez un port sur le routeur, qui paramétrez l'envoi des notifications vers un cloud étranger. Le client, lui, sait rarement ce qu'il a accepté techniquement. Les rapports d'activité 2023 et 2024 de la CNIL mentionnent explicitement la vidéosurveillance domestique parmi les sujets prioritaires, avec des mises en demeure rendues publiques contre des installateurs qui avaient laissé des comptes administrateur par défaut.

Le risque pour vous est double : sanction administrative directe en cas de manquement caractérisé, et engagement de votre responsabilité civile professionnelle si le client subit un préjudice (piratage, fuite de données, atteinte à la vie privée d'un visiteur filmé).

Responsable de traitement, sous-traitant ou rien ? Le bon positionnement juridique

Le RGPD distingue trois rôles, et il est essentiel de savoir lequel vous occupez sur chaque chantier. Le mauvais positionnement vous fait porter des obligations qui ne sont pas les vôtres — ou vous expose à des sanctions parce que vous ne saviez pas qu'elles s'appliquaient à vous.

Rôle	Définition	Cas typique
Responsable de traitement	Détermine les finalités et les moyens du traitement (art. 4 RGPD)	Le particulier qui décide d'installer une caméra chez lui (sauf usage exclusivement domestique, voir ci-dessous)
Sous-traitant	Traite des données pour le compte du responsable (art. 28 RGPD)	Vous, lorsque vous configurez le matériel, hébergez les enregistrements ou assurez la télémaintenance
Tiers / hors champ	Aucun accès aux données après prestation	Pose pure sans accès au cloud du client, sans télémaintenance, sans clé d'accès conservée

L'exception domestique de l'article 2 du RGPD est une fausse amie. Elle ne s'applique que si le traitement est exclusivement personnel et ne sort pas du foyer. Dès qu'une caméra filme une partie de la voie publique, un palier d'immeuble ou un employé à domicile (femme de ménage, aide à la personne), l'exception saute et le client devient responsable de traitement à part entière. Votre rôle de sous-traitant s'active alors automatiquement si vous gardez le moindre accès.

Les 5 manquements qui font perdre des dossiers

L'analyse des décisions publiées par la CNIL et des sinistres traités par les assureurs RC Pro fait apparaître toujours les mêmes erreurs. Aucune n'est complexe à éviter, toutes coûtent cher si elles surviennent.

Mot de passe usine conservé. C'est le point n°1 dans les contrôles CNIL. Un installateur consciencieux change systématiquement les identifiants par défaut, sur la caméra, le NVR, le routeur et le compte cloud, et remet les nouveaux identifiants au client par écrit.
Champ de vision filmant la voie publique. Filmer le trottoir, la rue ou la fenêtre du voisin est interdit aux particuliers (art. L251-2 et suivants du Code de la sécurité intérieure). C'est à vous de cadrer l'objectif au moment de la pose et de documenter ce cadrage avec une capture d'écran datée.
Cloud étranger non documenté. Beaucoup de marques chinoises ou américaines hébergent les vidéos sur des serveurs hors UE, sans clause de transfert valide. Vous devez l'indiquer au client par écrit avant de lui faire signer le devis.
Télémaintenance non encadrée. Vous gardez un accès à distance pour intervenir vite ? Très bien, mais cet accès doit être contractualisé (contrat de sous-traitance écrit, durée, finalité, traçabilité).
Absence d'information des personnes filmées. Si le client filme une zone où d'autres personnes peuvent apparaître (interphone vidéo, sonnette connectée), il doit afficher une information conforme à l'article 13 du RGPD. C'est votre rôle de conseil de le lui rappeler par écrit.

Le contrat de sous-traitance article 28 : votre filet de sécurité

L'article 28 du RGPD vous oblige, dès que vous êtes sous-traitant, à formaliser la relation par écrit. Un contrat de sous-traitance bien rédigé est paradoxalement votre meilleur outil de protection juridique : il borne ce que vous traitez, ce que vous ne traitez pas, et qui paie quoi en cas d'incident.

Les mentions minimales à insérer dans votre annexe RGPD au devis :

Objet et durée du traitement (« télémaintenance du système d'alarme pour 24 mois renouvelables »).
Nature et finalité (« diagnostic à distance, mise à jour de firmware »).
Type de données et catégories de personnes concernées (« vidéos, journaux d'événements, occupants du logement »).
Obligations du sous-traitant : confidentialité, sécurité, notification d'incident sous 48 h.
Conditions de sous-traitance ultérieure (si vous-même utilisez un cloud tiers : Synology C2, Reolink Cloud, Verisure…).
Sort des données en fin de prestation : suppression ou restitution.

Sans ce document, en cas de contrôle, la CNIL peut considérer que vous opérez « hors cadre » et vous appliquer le régime des amendes prévu à l'article 83 du RGPD — jusqu'à 4 % du chiffre d'affaires annuel mondial pour les manquements les plus graves.

🛡️

Besoin d'une RC Professionnelle ? Devis en 2 minutes, dès 9,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Sécurité technique : ce que dit l'état de l'art en 2026

L'article 32 du RGPD impose une « sécurité adaptée au risque ». L'expression est volontairement floue, mais la CNIL et l'ANSSI publient régulièrement des recommandations qui constituent désormais l'état de l'art exigible d'un installateur professionnel.

Couche réseau

Segmentation systématique : un VLAN dédié pour les caméras et objets connectés, distinct du réseau famille. Désactivation de l'UPnP sur le routeur, refus des ports ouverts en entrée si une solution de cloud relais existe.

Couche identité

Mot de passe unique par équipement, généré aléatoirement (au moins 12 caractères), MFA activé sur le compte cloud du client, suppression de votre propre compte d'installation à la remise des clés (sauf contrat de maintenance signé).

Couche mise à jour

Vérification que le firmware installé est à jour le jour de la pose, activation des mises à jour automatiques quand le constructeur les propose, et mention explicite dans le contrat de maintenance de votre obligation de surveillance des CVE publiées.

Documenter ces trois couches dans un registre de paramétrages simple (un tableau Excel suffit) vous donne une preuve majeure en cas de contrôle ou de sinistre. C'est aussi un argument commercial : peu d'installateurs le font, c'est un facteur de différenciation rentable. Pour calibrer votre couverture face à ces risques très spécifiques, vérifiez avec notre équipe que votre contrat domoticien intègre bien un volet cyber et données personnelles.

Que se passe-t-il en cas de contrôle ou de plainte ?

La CNIL peut être saisie par un client mécontent, par un voisin qui se plaint d'être filmé, ou se saisir d'office après une fuite de données médiatisée. Le scénario habituel suit trois étapes :

Mise en demeure publique ou non publique, avec un délai de mise en conformité (souvent 1 à 3 mois).
Contrôle de suivi : si la mise en conformité est satisfaisante, l'affaire s'arrête. Sinon, la formation restreinte de la CNIL est saisie.
Sanction : avertissement, rappel à l'ordre, amende administrative, voire injonction sous astreinte. Les sanctions financières contre les TPE/PME sont rares mais en augmentation depuis 2024.

Côté assurance, plusieurs garanties peuvent être mobilisées en parallèle : protection juridique pour la phase de mise en demeure, RC Pro pour les dommages causés au client ou à un tiers, et garantie cyber pour les frais d'analyse forensic, de notification CNIL et d'accompagnement juridique. Articuler ces trois garanties suppose de les avoir toutes les trois dans le même contrat — un point que peu de RC Pro bas de gamme intègrent.

Questions fréquentes

Le client est-il responsable et pas moi : pourquoi je devrais m'inquiéter ?

Parce que le RGPD vous qualifie de sous-traitant dès que vous configurez, hébergez ou maintenez. Cette qualification vous fait porter des obligations propres (sécurité, notification, registre) dont les manquements peuvent être sanctionnés directement par la CNIL, indépendamment de ce que fait le client.

Une caméra qui filme l'allée privée mais en bordure de rue, c'est légal ?

Tant que le champ filmé reste strictement dans la propriété, oui. Dès que le trottoir ou la rue apparaissent, même partiellement, le client perd le bénéfice de l'usage domestique. Votre rôle est de cadrer l'objectif pour exclure tout débord et de documenter ce cadrage avec une capture datée le jour de la pose.

Mes clients me demandent l'accès à distance « pour me dépanner vite » : c'est un piège ?

Pas si vous l'encadrez. Vous devez signer un contrat de sous-traitance article 28, tracer chaque connexion, et limiter les accès au strict nécessaire. Sans ces formalités, vous portez une responsabilité sans cadre juridique — la pire des situations en cas d'incident.

Un piratage d'une caméra que j'ai installée engage-t-il automatiquement ma responsabilité ?

Non, pas automatiquement, mais une enquête sera menée. Si elle révèle que le mot de passe usine était conservé, que le firmware était obsolète à la pose ou que vous n'avez pas conseillé la MFA, votre part de responsabilité sera significative. D'où l'intérêt du registre de paramétrages.

L'amende de 4 % du chiffre d'affaires concerne-t-elle vraiment une TPE comme la mienne ?

Le plafond légal s'applique en théorie, mais la CNIL adapte les sanctions à la taille et à la bonne foi de l'entreprise. Pour une TPE de domotique, les sanctions effectives observées vont plutôt du rappel à l'ordre à quelques milliers d'euros. Le vrai risque financier reste les actions civiles du client : c'est la RC Pro qui les absorbe.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Domoticien / installateur maison connectée — attestation immédiate, sans engagement.

Recommandé pour vous 🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Domoticien / installateur maison connectée →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.