RGPD vidéo : conformité de l'infrastructure WebRTC
Réponse courte
Le RGPD s'applique à toute infrastructure vidéo traitant des données personnelles (images, voix, métadonnées de session). Pour une entreprise, la conformité repose sur la résidence des données (hébergement France), le DPA (contrat de sous-traitance), la gouvernance des enregistrements et la transparence sur la chaîne de sous-traitants : pas sur le choix de la technologie seule.
Quelles données personnelles la vidéo traite-t-elle ?
| Donnée | Exemple | Composant concerné |
|---|---|---|
| Image / voix | Flux vidéo, audio | SFU, TURN |
| Identité | Nom, email participant | Signalisation, API |
| Métadonnées | IP, durée, qualité | Logs, monitoring |
| Enregistrements | Replay session | Stockage |
| Chat / fichiers | Messages partagés | Applicatif |
Les 5 piliers RGPD pour l'infrastructure vidéo
1. Base légale
Finalité documentée (réunion interne, assistance client, formation…). La base légale dépend du cas d'usage : l'infrastructure doit la supporter, pas la définir.
2. Résidence des données
SFU, TURN, enregistrements en France ou UE. Pas de transit non encadré vers des pays tiers.
3. DPA (Data Processing Agreement)
Contrat de sous-traitance avec :
- Localisation des traitements ;
- Liste des sous-traitants ;
- Mesures de sécurité ;
- Procédure de notification de violation.
4. Gouvernance des enregistrements
- Consentement ou information préalable ;
- Durée de conservation définie ;
- Droit d'accès et d'effacement ;
- Chiffrement au repos.
5. Sécurité technique
Chiffrement en transit (DTLS-SRTP), authentification, audit logs, contrôle d'accès.
RGPD et choix d'infrastructure
| Critère | Infrastructure souveraine | SaaS US propriétaire |
|---|---|---|
| Résidence | Maîtrisée (France/on-prem) | Souvent US |
| DPA | Négociable | Standard éditeur |
| Sous-traitants | Documentables | Opaque |
| Enregistrements | Stockage configurable | Imposé |
| Audit | Possible (open source) | Limité |
RGPD : pièges fréquents en vidéo en temps réel
- « Page web en France » mais TURN aux US ;
- Enregistrements activés par défaut sans information ;
- Logs conservés indéfiniment ;
- Sous-traitants non listés dans le DPA ;
- Transferts vers des API analytics non encadrés.
Checklist DPO (10 points)
Avant validation d'une infrastructure vidéo, le DPO peut vérifier :
- Registre des traitements : finalité vidéo documentée (support, formation, réunion…) ;
- Base légale : intérêt légitime, contrat ou consentement selon le cas ;
- Minimisation : enregistrement désactivé par défaut si non nécessaire ;
- Information : notice ou bandeau avant capture image/voix ;
- Résidence : SFU, TURN, stockage en France/UE ;
- DPA : art. 28 signé, localisation et sous-traitants listés ;
- Durée de conservation : replays, logs, métriques avec date d'effacement ;
- Droits des personnes : procédure d'accès et d'effacement sur enregistrements ;
- Sécurité : chiffrement transit (DTLS-SRTP) et repos, contrôle d'accès ;
- Transferts : aucun flux vers pays tiers sans garanties (CCT, BCR).
→ Checklist détaillée : communication vidéo et RGPD
Scénario : formation professionnelle
Un organisme de formation anime des classes virtuelles pour des clients entreprise :
| Étape | Donnée personnelle | Mesure RGPD |
|---|---|---|
| Inscription | Nom, email apprenant | Base légale contrat / intérêt légitime |
| Session live | Image, voix, chat | Information préalable, pas d'enregistrement sans mention |
| Replay | Vidéo enregistrée | Durée limitée, accès restreint, droit d'effacement |
| Logs ops | IP, durée session | Conservation limitée, finalité sécurité |
L'infrastructure doit permettre de désactiver l'enregistrement par défaut, de localiser les replays en UE et de documenter les sous-traitants (hébergeur, transcoding éventuel) dans le DPA.
Registre des traitements et sous-traitants
Pour la vidéo, le registre (art. 30) mentionne typiquement :
- Responsable : l'entreprise cliente ;
- Sous-traitant : l'éditeur de la plateforme vidéo ;
- Sous-traitants ultérieurs : hébergeur cloud, CDN, monitoring, sauvegarde ;
- Catégories de données : identité, image, voix, métadonnées session ;
- Destinataires : agents support, formateurs, modérateurs autorisés ;
- Transferts : aucun hors UE ou encadrement explicite.
Le DPO valide la cartographie complète, pas seulement le contrat avec l'éditeur principal. Voir aussi Microsoft Teams et RGPD pour comparer les modèles SaaS US.
RGPD et produits Leagora
Leagora positionne une démarche alignée RGPD avec options hébergement France et on-premise. Les engagements précis sont contractuels : leagora.io ne fournit pas de conseil juridique.
Les cas d'usage métier (assistance, RDV, réunion) sont sur les produits dédiés : assistance-video.fr, mes-rdv.fr, meeting.leagora.io.
FAQ
WebRTC est-il compatible RGPD ?
Le standard ne garantit rien seul. La conformité dépend de l'hébergement, du DPA et de la gouvernance : pas de la technologie.
Faut-il un DPA pour chaque produit vidéo ?
Oui : chaque traitement de données personnelles par un sous-traitant exige un DPA conforme art. 28 RGPD.
Les enregistrements de vidéo en temps réel sont-ils des données personnelles ?
Oui : image et voix sont des données personnelles. Consentement ou base légale requis.
Le RGPD interdit-il le cloud US ?
Il exige des garanties appropriées pour les transferts hors UE (CCT, BCR, décision d'adéquation). L'hébergement France simplie fortement le cadrage.
Le DPO doit-il valider l'infrastructure vidéo ?
Recommandé : cartographie des composants, DPA, enregistrements, sous-traitants.
Aller plus loin
- Sécurité et RGPD : chiffrement, accès, logs et DPA
- Communication vidéo et RGPD : checklist complète pour la DSI et le DPO
- Microsoft Teams et RGPD : critères et alternatives souveraines
- Assistance vidéo client : parcours SAV conforme
À retenir
- RGPD vidéo = résidence + DPA + enregistrements + sécurité.
- Vérifier SFU, TURN, stockage : pas seulement le portail web.
Demander un devis
Pour un cadrage conformité et architecture vidéo : demander un devis.