RGPD vidéo : conformité de l'infrastructure WebRTC
Réponse courte
Le RGPD s'applique à toute infrastructure vidéo traitant des données personnelles (images, voix, métadonnées de session). Pour une entreprise, la conformité repose sur la résidence des données (hébergement France), le DPA (contrat de sous-traitance), la gouvernance des enregistrements et la transparence sur la chaîne de sous-traitants : pas sur le choix de la technologie seule.
Quelles données personnelles la vidéo traite-t-elle ?
| Donnée | Exemple | Composant concerné |
|---|---|---|
| Image / voix | Flux vidéo, audio | SFU, TURN |
| Identité | Nom, email participant | Signalisation, API |
| Métadonnées | IP, durée, qualité | Logs, monitoring |
| Enregistrements | Replay session | Stockage |
| Chat / fichiers | Messages partagés | Applicatif |
Les 5 piliers RGPD pour l'infrastructure vidéo
1. Base légale
Finalité documentée (réunion interne, assistance client, formation…). La base légale dépend du cas d'usage : l'infrastructure doit la supporter, pas la définir.
2. Résidence des données
SFU, TURN, enregistrements en France ou UE. Pas de transit non encadré vers des pays tiers.
3. DPA (Data Processing Agreement)
Contrat de sous-traitance avec :
- Localisation des traitements ;
- Liste des sous-traitants ;
- Mesures de sécurité ;
- Procédure de notification de violation.
4. Gouvernance des enregistrements
- Consentement ou information préalable ;
- Durée de conservation définie ;
- Droit d'accès et d'effacement ;
- Chiffrement au repos.
5. Sécurité technique
Chiffrement en transit (DTLS-SRTP), authentification, audit logs, contrôle d'accès.
RGPD et choix d'infrastructure
| Critère | Infrastructure souveraine | SaaS US propriétaire |
|---|---|---|
| Résidence | Maîtrisée (France/on-prem) | Souvent US |
| DPA | Négociable | Standard éditeur |
| Sous-traitants | Documentables | Opaque |
| Enregistrements | Stockage configurable | Imposé |
| Audit | Possible (open source) | Limité |
RGPD : pièges fréquents en vidéo en temps réel
- « Page web en France » mais TURN aux US ;
- Enregistrements activés par défaut sans information ;
- Logs conservés indéfiniment ;
- Sous-traitants non listés dans le DPA ;
- Transferts vers des API analytics non encadrés.
RGPD et produits Leagora
Leagora positionne une démarche alignée RGPD avec options hébergement France et on-premise. Les engagements précis sont contractuels : leagora.io ne fournit pas de conseil juridique.
Les cas d'usage métier (assistance, RDV, réunion) sont sur les produits dédiés : assistance-video.fr, mes-rdv.fr, meeting.leagora.io.
FAQ
WebRTC est-il compatible RGPD ?
Le standard ne garantit rien seul. La conformité dépend de l'hébergement, du DPA et de la gouvernance : pas de la technologie.
Faut-il un DPA pour chaque produit vidéo ?
Oui : chaque traitement de données personnelles par un sous-traitant exige un DPA conforme art. 28 RGPD.
Les enregistrements de vidéo en temps réel sont-ils des données personnelles ?
Oui : image et voix sont des données personnelles. Consentement ou base légale requis.
Le RGPD interdit-il le cloud US ?
Il exige des garanties appropriées pour les transferts hors UE (CCT, BCR, décision d'adéquation). L'hébergement France simplie fortement le cadrage.
Le DPO doit-il valider l'infrastructure vidéo ?
Recommandé : cartographie des composants, DPA, enregistrements, sous-traitants.
À retenir
- RGPD vidéo = résidence + DPA + enregistrements + sécurité.
- Vérifier SFU, TURN, stockage : pas seulement le portail web.
- Leagora.io = hub infrastructure ; conseil juridique = votre DPO.