Procédure de conservation et purge des données

La CNIL recommande une durée maximale de conservation des enregistrements vidéo de trente jours pour la grande majorité des traitements relevant de l'intérêt légitime. Cette durée s'applique par défaut à défaut de justification documentée d'une durée différente. Des durées inférieures (7 à 15 jours) sont recommandées pour les zones à faible enjeu sécuritaire et fortement fréquentées (halls d'entrée, espaces publics intérieurs).

Des exceptions encadrées permettent des durées supérieures : jusqu'à trois mois pour les sites bancaires et financiers, conformément aux recommandations sectorielles de l'ACPR ; jusqu'à six mois pour certains sites industriels classés SEVESO sur décision de l'autorité préfectorale ; au-delà de six mois uniquement sur base légale spéciale (décret en Conseil d'État ou délibération de la CNIL). Toute durée supérieure à trente jours doit être justifiée dans le registre des traitements.

La purge automatique est la méthode de référence pour garantir le respect des durées de conservation sans intervention humaine. Sur les enregistreurs numériques (NVR) et plateformes VMS, la durée de conservation est paramétrée lors de la mise en service et documentée dans le PV de réception. Mileo Technology configure systématiquement la purge cyclique sur la durée définie dans l'analyse de proportionnalité du client.

La purge automatique doit être vérifiée périodiquement pour s'assurer qu'elle fonctionne correctement (espace disque non saturé bloquant la purge, horloge système correcte, paramètres non modifiés). En cas de remplacement du système d'enregistrement, la cohérence des paramètres de durée entre l'ancien et le nouveau système est vérifiée avant mise en service.

Une vérification formelle de l'effectivité de la purge est réalisée au minimum une fois par an, lors de la maintenance annuelle assurée par Mileo Technology. Cette vérification comprend : contrôle de la date des enregistrements les plus anciens présents sur le système, vérification de la configuration de durée par caméra ou par groupe de caméras, test de lecture d'un enregistrement au-delà de la durée configurée (qui doit être absent).

Les plateformes VMS disposant d'une fonction de journalisation des purges produisent un log horodaté de chaque opération de suppression. Ce log est conservé au minimum un an et présenté à la CNIL sur demande. Pour les NVR sans fonction de log intégrée, le compte rendu de maintenance annuelle tient lieu de preuve de la vérification du bon fonctionnement de la purge.

Lorsque des autorités judiciaires ou policières reqièrent la conservation d'enregistrements au-delà de la durée normale, les séquences concernées sont extraites et isolées dans un espace de stockage sécurisé dédié, distinct du système d'enregistrement en production. La purge automatique ne s'applique pas à ces extraits isolés.

La conservation des extraits sur réquisition est tracée dans un registre dédié mentionnant : la nature de la réquisition (numéro de procédure si disponible), la plage horaire et les caméras concernées, la date de conservation et le nom de l'opérateur, la durée prévisionnelle de conservation. Ces extraits sont détruits dès que l'autorité requérante confirme que la procédure est close ou à l'expiration du délai légal de prescription applicable.