Modèle de rapport d'audit vidéosurveillance

L'inventaire complet du système est réalisé en début d'audit et consigné dans un tableau récapitulatif par site et par zone. Pour chaque caméra : modèle et constructeur, date de mise en service, type d'objectif, résolution native, état de fonctionnement (opérationnelle / dégradée / hors service), et note de qualité d'image évaluée lors de l'audit (de 1 — insuffisant à 5 — excellent). L'inventaire inclut également les équipements d'enregistrement (NVR, VMS, stockage), les équipements réseau dédiés à la vidéo, et les postes de visualisation.

L'évaluation de la qualité d'image porte sur plusieurs critères mesurables : résolution effective sur les zones d'intérêt (capacité à lire une plaque d'immatriculation ou à identifier un visage), couverture sans zones d'ombre sur les accès et zones sensibles, performance en conditions dégradées (nuit, contre-jour, pluie), et temps de latence des flux en direct. Un rapport photographique illustre les situations les plus représentatives.

La conformité réglementaire des systèmes de vidéoprotection est évaluée sur trois axes principaux. Au regard du RGPD (Règlement Général sur la Protection des Données) : existence et tenu à jour d'un registre des activités de traitement, base légale du traitement (intérêt légitime pour les entreprises privées, arrêté préfectoral pour les établissements soumis à autorisation), et respect des droits des personnes filmées (droit d'accès aux images les concernant).

Au regard de la loi du 21 janvier 1995 et de son décret d'application pour les systèmes soumis à autorisation préfectorale : validité de l'autorisation, respect du périmètre autorisé, conformité des durées de conservation (maximum 30 jours sauf dérogation, en pratique 7 à 15 jours dans la plupart des cas), et désignation d'un référent interne habilité. L'affichage obligatoire est vérifié sur chacun des accès aux zones filmées : présence des panneaux réglementaires, mention de la finalité, durée de conservation, coordonnées du responsable de traitement et du délégué à la protection des données (DPO).

Les recommandations techniques portent sur : le remplacement des caméras obsolètes ou hors service par des modèles adaptés aux besoins de couverture, l'optimisation du positionnement des caméras existantes pour réduire les zones d'ombre, la mise à niveau de l'infrastructure d'enregistrement (capacité de stockage, redondance), et la mise en conformité de l'infrastructure réseau avec les exigences de sécurité (segmentation, chiffrement).

Les recommandations réglementaires portent sur : la mise en conformité RGPD (mise à jour du registre, information des personnes, procédure de réponse aux demandes d'accès), la régularisation des autorisations préfectorales si nécessaire, la mise en place ou la révision de l'affichage réglementaire, et la formation du référent interne à ses obligations. Chaque recommandation est accompagnée d'une indication de priorité et d'un risque juridique en cas de non-conformité.

Le chiffrage estimatif des recommandations est présenté par poste (matériel, installation, ingénierie, formation) et par niveau de priorité. Il distingue les coûts d'investissement (Capex) des coûts récurrents annuels (maintenance, licences logicielles, contrats de service). Cette distinction permet au client d'intégrer les recommandations dans son cycle budgétaire avec une vision claire des engagements à long terme.

Le chiffrage est présenté en fourchettes (mini/maxi) pour refléter les incertitudes liées à l'état exact des infrastructures existantes et aux choix technologiques à arbitrer. Un scénario de mise à niveau minimal (conformité réglementaire uniquement) et un scénario de mise à niveau complet (conformité réglementaire et optimisation technique) sont systématiquement proposés.